Rapport de conformité Loi 25

Une bannière de consentement est clairement visible au centre de la page. Il s'agit d'un modal intitulé « Gérer le consentement » qui présente un texte explicatif sur l'utilisation des technologies de suivi et des données. La bannière est prominente et occupe une position centrale sur l'écran.

Plusieurs traceurs non essentiels ont été chargés avant le consentement de l'utilisateur. Google Tag Manager (www.googletagmanager.com) et Google Analytics (www.google-analytics.com) se sont chargés sans attendre la confirmation du consentement. De plus, Cloudflare Insights (static.cloudflareinsights.com) et Trust Index (cdn.trustindex.io) ont également été initialisés d'emblée.

Recommandation — Implémenter un gestionnaire de consentement qui bloque le chargement de www.googletagmanager.com, www.google-analytics.com, cdn.trustindex.io et static.cloudflareinsights.com jusqu'à ce que l'utilisateur accepte explicitement les traceurs analytiques et marketing. Ces scripts doivent être chargés de façon asynchrone et conditionnelle selon le consentement.

La bannière offre un choix granulaire par l'intermédiaire du bouton « Voir les préférences » situé en bas à droite du modal. Cette option permet à l'utilisateur de gérer ses préférences de consentement de manière personnalisée plutôt que d'accepter ou refuser en bloc.

Trois boutons sont présents : « Accepter » (bleu foncé), « Refuser » (blanc avec bordure noire) et « Voir les préférences » (blanc). Les boutons « Accepter » et « Refuser » ont une taille et une visibilité similaires. Le bouton de refus est clairement visible et n'est pas relégué à un endroit moins proéminent.

Le refus du consentement ne bloquerait pas réellement tous les traceurs non essentiels. Google Tag Manager, Google Analytics, Cloudflare Insights et Trust Index n'ont pas de mécanisme de consentement visible ou fonctionnel qui permettrait à l'utilisateur de les désactiver complètement. Ces traceurs continueraient à fonctionner même après un refus.

Recommandation — Configurer un système de consentement granulaire qui permet réellement de désactiver chaque catégorie de traceur (analytique, marketing, support). Vérifier que le refus du consentement empêche effectivement le chargement et l'exécution de tous les scripts non essentiels avant de permettre au site de se charger complètement.

Aucun lien de gestion des cookies n’a été trouvé sur le site.

Recommandation — Ajouter un lien « Gestion des cookies » ou « Paramètres des cookies » dans le pied de page permettant aux utilisateurs de modifier leurs préférences de consentement après avoir fermé la bannière.

Un lien « Politique de témoins » est visible en bas à gauche de la bannière de consentement, en bleu et souligné. Ce lien donne accès à la documentation relative à l'utilisation des témoins et à la collecte de données.

La bannière de consentement ne bloque pas l'accès au contenu principal de la page. L'utilisateur peut interagir avec le site même si la bannière est présente, et les options de consentement sont clairement accessibles sans restriction abusive.

Une page de politique de confidentialité est présente et accessible sur le site. Le document contient du contenu relatif à la protection des renseignements personnels, bien que le texte soit largement composé de code CSS et de balises HTML.

L'analyse du contenu de la politique de confidentialité ne révèle pas la nomination explicite d'un responsable de la protection des renseignements personnels (RPRP). Seul du code de mise en page est présent dans l'extrait fourni.

Recommandation — Ajouter clairement le nom, le titre et l'identification du responsable de la protection des renseignements personnels dans la politique de confidentialité, conformément à la Loi 25.

Les coordonnées du RPRP ne sont pas visibles dans le contenu analysé. Aucune adresse courriel, numéro de téléphone ou adresse physique n'est fourni pour joindre cette personne.

Recommandation — Inclure les coordonnées complètes du RPRP (courriel, téléphone et adresse physique ou postale) pour que les personnes puissent le contacter facilement concernant leurs renseignements personnels.

La politique de confidentialité fournie ne contient pas de description précise et lisible des types de renseignements personnels collectés. Le texte visible est principalement du code CSS sans contenu substantif.

Recommandation — Énumérer clairement tous les types de renseignements personnels collectés (nom, adresse courriel, adresse IP, données de localisation, etc.) avec des détails précis sur chaque catégorie.

Aucune information concernant les finalités de la collecte de données n'est visible dans l'extrait de politique analysé. Les raisons et objectifs pour lesquels chaque type de données est collecté ne sont pas explicités.

Recommandation — Décrire précisément pour chaque type de données collectées la ou les finalités (amélioration du service, marketing, analyse, etc.) et justifier la nécessité de cette collecte.

La politique ne spécifie pas les durées de conservation des renseignements personnels ni les critères de suppression. Aucune information sur la gestion du cycle de vie des données n'est apparente.

Recommandation — Préciser pour chaque type de données la durée de conservation, les critères de suppression ou d'anonymisation, ainsi que la politique de rétention ou d'archivage le cas échéant.

Aucune divulgation concernant le partage de données avec des tiers n'est visible dans la politique examinée. Les destinataires potentiels des renseignements personnels ne sont pas identifiés.

Recommandation — Décrire tous les partenaires, sous-traitants ou tiers externes auxquels des renseignements personnels pourraient être transmis, avec les catégories de destinataires et les justifications légales.

La politique de confidentialité ne contient pas d'explications claires des droits des utilisateurs ni de procédures pour exercer ces droits. Aucun mécanisme de demande d'accès, de rectification ou de suppression n'est décrit.

Recommandation — Ajouter une section détaillée expliquant les droits des individus (accès aux données, rectification, suppression, portabilité, opposition) avec des instructions précises et des délais pour soumettre une demande et recevoir une réponse.

Aucun formulaire détecté sur le site.

Aucun formulaire détecté sur le site.

Aucun formulaire détecté sur le site.

Aucun formulaire détecté sur le site.

Aucun formulaire détecté sur le site.

Des traceurs ont été chargés avant toute interaction de consentement. Lors du chargement initial du site, sans aucun clic de l'utilisateur, Google Tag Manager, Google Analytics, Cloudflare Insights et Trust Index ont immédiatement envoyé des requêtes. Cela viole le principe du consentement préalable exigé par la Loi 25 du Québec.

Recommandation — Implémenter un bloqueur de scripts qui empêche l'exécution de tous les traceurs non essentiels avant que l'utilisateur n'ait interagi avec la banneau de consentement. Seuls les scripts essentiels (ressources internes, polices, fonctionnalités de base) doivent se charger avant le consentement.

Il y a 13 domaines tiers détectés, dont au moins 6 sont non essentiels (www.googletagmanager.com, cdn.trustindex.io, static.cloudflareinsights.com, www.google-analytics.com, maps.googleapis.com avec ses fonctionnalités de suivi). Cela dépasse largement la limite de 10 scripts tiers non essentiels recommandée pour la conformité.

Recommandation — Réduire le nombre de domaines tiers non essentiels en consolidant les outils utilisés. Par exemple, remplacer Google Analytics et Google Tag Manager par une solution unique. Évaluer si tous les traceurs sont vraiment nécessaires au fonctionnement du site et supprimer ceux qui ne fournissent pas de valeur significative.

La politique de confidentialité ne mentionne pas les transferts transfrontaliers de données ni l'emplacement géographique du stockage et du traitement des données. Or, plusieurs traceurs identifiés (Google Analytics, Google Tag Manager, Cloudflare Insights) sont basés aux États-Unis, ce qui implique des transferts internationaux.

Recommandation — Ajouter une section documentant tous les transferts de données vers d'autres juridictions, particulièrement vers les États-Unis, et décrire les mesures de protection mises en place (clauses contractuelles types, adoptions de décisions d'adéquation, etc.).

Plusieurs pixels et traceurs de remarketing/analytique sont présents et chargés sans consentement explicite. Google Tag Manager et Google Analytics transmettent des données à Google sans que l'utilisateur n'ait donné son consentement au préalable. Trust Index collecte également des données sur les utilisateurs.

Recommandation — Désactiver tous les pixels de remarketing et les traceurs analytiques tiers jusqu'à ce que l'utilisateur accepte explicitement les cookies analytiques et marketing. Mettre en place une banneau de consentement clara qui s'affiche avant le chargement de ces traceurs, et ne permettre leur chargement que si l'utilisateur accepte cette catégorie.

L'en-tête Strict-Transport-Security (HSTS) n'est pas présent dans les en-têtes HTTP retournés par le serveur. Bien que HTTPS soit utilisé, il n'y a pas de redirection forcée ni de configuration HSTS pour prévenir les attaques de rétrogradation.

Recommandation — Ajouter l'en-tête Strict-Transport-Security au serveur avec une valeur appropriée (ex: max-age=31536000; includeSubDomains) pour forcer l'utilisation systématique de HTTPS et protéger contre les attaques de rétrogradation SSL/TLS.

Plusieurs cookies ne possèdent pas les attributs de sécurité adéquats. Les cookies de Google Analytics (_ga, _ga_E8GN52061G) et les cookies de suivi Source (sbjs_*) n'ont pas l'attribut Secure défini et ne sont pas marqués comme HttpOnly. Seul le cookie 'pll_language' possède l'attribut Secure, mais pas HttpOnly. Cette configuration expose les cookies au vol via des connexions non chiffrées et à des attaques XSS.

Recommandation — Modifier la configuration des cookies pour que : 1) tous les cookies sensibles aient l'attribut Secure activé, 2) tous les cookies (sauf ceux nécessaires au JavaScript côté client) aient l'attribut HttpOnly activé, et 3) l'attribut SameSite soit défini à 'Strict' ou 'Lax' pour tous les cookies pour mitiger les attaques CSRF et XSS.

Un en-tête Content-Security-Policy est présent avec la valeur 'upgrade-insecure-requests', ce qui demande au navigateur de convertir automatiquement les requêtes HTTP non sécurisées en requêtes HTTPS.