Ich habe eine HTML Seite erstellt, auf der ein JavaScript prüft, ob an dem URI noch ein Parameter nach einem "?" angehängt ist.

Nun hat mir ein Kollege gesagt, das bei einem URI mit html-Endung es nicht erlaubt sei, Parameter mitzugeben.

Dein Kollege liegt falsch. Das, was in einer URI wie eine Dateiendung aussieht (wohlgemerkt: so aussieht wie), hat für die URI überhaupt keine Bedeutung, von daher kann es auch nicht Basis für ein angebliches Verbot von Parametern sein. Genau genommen macht die gesamte Pfadangabe einer URI keinerlei Aussage darüber, wie der Server diese URI verarbeitet, ob da tatsächlich eine einfache Datei in einem Verzeichnis hintersteckt (wie bei Privatseiten üblich) oder womöglich das ganze Teil erstmal komplett zerlegt und dann aus einer Datenbank zusammengestellt wird, d.h. daß dieser Pfad im Dateisystem des Server garnicht existiert.
Es kann also sehr wohl sein, daß ein Objekt mit einer auf .html endenden URI die Fähigkeit hat, Parameter zu verarbeiten - also warum verbieten.

Und es ist im übrigen auch nicht vorgeschrieben, wie bzw. ob der Parameter ("query string") strukturiert sein soll.

Du mußt lediglich darauf achten, daß keine Sonderzeichen benutzt werden. Verwende dazu Funktionen wie escape() oder encodeURI() (Javascript, andere Sprachen bieten ähnlich benannte Funktionen). Die Grundlage ist in http://www.w3.org/Addressing/rfc1738.txt, Abschnitt 2.2, beschrieben.

Gruß,
  soenk.e