Rapport de conformité Loi 25

Une bannière de consentement est visible sur la page dans le coin inférieur droit. Elle contient un titre « Ce site utilise des cookies. » suivi d'une description expliquant l'utilisation des témoins pour analyser le trafic et optimiser l'expérience de navigation. Un bouton « J'accepte » est présent en noir.

Plusieurs traceurs non essentiels ont été chargés avant le consentement : Google Ads (googleads.g.doubleclick.net), DoubleClick (static.doubleclick.net), Google reCAPTCHA (www.google.com), ainsi que les traceurs Vimeo (arclight.vimeo.com, lensflare.vimeo.com, skyfire.vimeocdn.com) et les requêtes vers Bending Spoons (orion.bendingspoons.com) et GoDaddy CSP (csp.secureserver.net).

Recommandation — Implémenter un gestionnaire de consentement qui bloque complètement les scripts de publicité et de suivi avant que l'utilisateur n'accepte explicitement. Les pixels publicitaires et traceurs analytiques doivent être chargés uniquement après l'obtention du consentement.

Aucun bouton « Personnaliser », « Gérer mes préférences » ou équivalent n'est visible sur la bannière actuelle. Seul le bouton « J'accepte » est affiché. Il n'y a pas de mécanisme apparent pour faire des choix granulaires par catégorie de témoins.

Recommandation — Vous devez ajouter un bouton ou un lien « Personnaliser » ou « Gérer mes préférences » permettant à l'utilisateur d'accéder à une interface de gestion granulaire des consentements. Selon la Loi 25, l'utilisateur doit pouvoir accepter ou refuser chaque catégorie de témoins séparément (analytique, marketing, etc.).

Il n'y a aucun bouton de refus visible sur la bannière. Seul un bouton d'acceptation « J'accepte » est présenté à l'utilisateur. L'absence de bouton de refus de même visibilité crée une asymétrie importante.

Recommandation — Vous devez ajouter un bouton de refus de consentement (par exemple « Refuser » ou « Continuer sans accepter ») qui soit aussi visible et proéminent que le bouton d'acceptation. Ce bouton doit se trouver au même niveau hiérarchique et avec un contraste similaire pour respecter les exigences de la Loi 25.

Il n'existe aucun mécanisme de consentement visible qui bloquerait réellement les traceurs non essentiels au refus. Les domaines marketing (googleads.g.doubleclick.net, static.doubleclick.net) et les traceurs tiers (orion.bendingspoons.com, arclight.vimeo.com) sont chargés sans vérification de consentement préalable.

Recommandation — Mettre en place un véritable système de gestion du consentement qui désactive les traceurs marketing et analytiques lorsque l'utilisateur refuse. Chaque catégorie de traceur doit être contrôlée par un switch de consentement séparé.

Aucun lien de gestion des cookies n’a été trouvé sur le site.

Recommandation — Ajouter un lien « Gestion des cookies » ou « Paramètres des cookies » dans le pied de page permettant aux utilisateurs de modifier leurs préférences de consentement après avoir fermé la bannière.

Aucun lien vers une politique de confidentialité, de cookies ou de protection des données n'est visible dans ou près de la bannière. La bannière explique l'utilisation des témoins, mais ne dirige pas l'utilisateur vers une documentation complète.

Recommandation — Vous devez ajouter un lien vers votre politique de confidentialité ou de témoins dans la bannière. Ce lien doit être facilement accessible pour permettre à l'utilisateur de comprendre comment ses données sont traitées avant de donner son consentement, comme l'exige la Loi 25.

La bannière ne bloque pas l'accès au contenu principal de la page. Le contenu de la page d'accueil (titre, textes, vidéo) reste visible derrière la bannière, qui apparaît sous forme de boîte superposée sans faire obstacle à la consultation.

En visitant le site, j'ai trouvé une page de politique de confidentialité complète et facilement accessible. Le document est daté du 9 septembre 2025 et couvre tous les aspects essentiels de la protection des renseignements personnels conformément à la Loi 25 du Québec.

Le RPRP est clairement identifié dans la section 2 de la politique. Le responsable nommé est Jean-Sébastien Rodriguez, avec sa fonction explicitement mentionnée.

Les coordonnées complètes du RPRP sont fournies : courriel (js@collectifnord.ca), téléphone (418 880-2577) et adresse postale (2216, rue de l'Acropole, Québec QC G3E 2H6).

La section 3 décrit précisément les types de renseignements collectés : identité et contact (nom, prénom, adresse courriel, téléphone, entreprise, rôle), données de navigation (adresse IP, type d'appareil/navigateur, pages consultées, durée de session, référent, préférences cookies), communications (messages via formulaires, demandes de support, inscriptions infolettre), facturation/transaction, et données de recrutement (CV, lettre de présentation).

La section 4 indique clairement les finalités pour chaque catégorie de données : fourniture et amélioration des services, communication avec les utilisateurs, analyse et sécurité, respect des obligations légales, et prospection/marketing avec consentement. Chaque finalité est bien liée aux types de données collectées.

La section 8 précise que les données sont conservées pour la durée nécessaire aux fins déclarées, puis anonymisées ou détruites de façon sécuritaire selon un calendrier de conservation interne. Bien que les durées spécifiques par catégorie ne soient pas détaillées dans le texte affiché, un calendrier interne est mentionné.

La section 7 divulgue le partage avec des tiers de manière générale : prestataires d'hébergement, courriel, analytique, paiement et sécurité. Il est mentionné que ces tiers n'accèdent qu'aux données nécessaires avec des obligations de confidentialité. Les transferts hors Québec sont également abordés.

La section 9 énumère clairement les droits des utilisateurs : accès et copie des renseignements, rectification, retrait du consentement, cessation de diffusion/désindexation, et dépôt de plainte auprès du RPRP ou de la Commission d'accès à l'information. La procédure est simple : contacter le RPRP avec vérification d'identité.

En examinant le formulaire de contact (« Parlons de vos besoins »), j'observe une case à cocher pour l'infolettre (data-aid="CONTACT_FORM_EMAIL_OPT_IN"), mais aucune case de consentement explicite pour accepter la collecte et l'utilisation des renseignements personnels (nom, courriel, message). Le formulaire ne demande pas expressément le consentement à la collecte de ces données avant soumission.

Recommandation — Ajouter une case de consentement explicite et non pré-cochée avant le bouton d'envoi du formulaire, indiquant clairement : « J'accepte que mes renseignements personnels (nom, courriel, message) soient collectés et utilisés pour répondre à ma demande. »

La case à cocher pour l'infolettre n'est pas pré-cochée dans le code HTML (absent l'attribut 'checked'). Cette cas à cocher est au-delà de la soumission du formulaire obligatoire, ce qui est conforme.

Le formulaire de contact ne précise pas clairement la finalité de la collecte des données au moment de la collecte. Il est titré « Parlons de vos besoins » sans expliquer comment les données seront traitées ni la base légale de la collecte.

Recommandation — Ajouter un texte descriptif clair sous le titre du formulaire ou avant les champs de saisie, expliquant : « Nous collectons vos renseignements pour répondre à votre demande et vous offrir nos services. Consultez notre politique de confidentialité pour plus de détails. »

En examinant le formulaire de contact, je n'observe aucun lien vers la politique de confidentialité à proximité du formulaire. Le lien vers la politique n'apparaît que dans le pied de page du site, loin de la zone de collecte.

Recommandation — Ajouter un lien hypertexte vers la politique de confidentialité immédiatement avant ou après le formulaire, ou intégrer une mention lisible comme : « [Politique de confidentialité](lien) ».

Le formulaire est soumis via HTTPS, confirmé par l'en-tête HTTP 'strict-transport-security' et les attributs 'secure' sur les cookies.

Sans aucune interaction de consentement, les traceurs suivants sont immédiatement chargés : pixels publicitaires Google (googleads.g.doubleclick.net), scripts d'annonces (static.doubleclick.net), services Vimeo analytics (arclight.vimeo.com, lensflare.vimeo.com), services GoDaddy (csp.secureserver.net, contact.apps-api.instantpage.secureserver.net) et identité Bending Spoons (orion.bendingspoons.com).

Recommandation — Différer le chargement de tous les scripts et pixels non essentiels jusqu'à ce que l'utilisateur interagisse explicitement avec le banneau de consentement ou donne son accord.

Au moins 13 domaines tiers non essentiels sont présents : googleads.g.doubleclick.net, static.doubleclick.net, www.gstatic.com, www.youtube.com, youtube.com, player.vimeo.com, f.vimeocdn.com, arclight.vimeo.com, skyfire.vimeocdn.com, lensflare.vimeo.com, orion.bendingspoons.com, csp.secureserver.net et contact.apps-api.instantpage.secureserver.net. Cela dépasse largement le seuil de 10.

Recommandation — Réduire le nombre de domaines tiers utilisés. Évaluer la nécessité réelle de chaque intégration (YouTube, Vimeo, Google Ads, GoDaddy) et consolidar les services lorsque possible. Considérer des alternatives moins invasives pour les fonctionnalités non critiques.

La politique de confidentialité mentionne explicitement à la section 7 que les données peuvent être hébergées ou accessibles à l'extérieur du Québec, en conformité avec la Loi 25, avec des mesures contractuelles et organisationnelles appropriées. Cela reconnaît les transferts transfrontaliers.

Des pixels marketing et de remarketing sont présents et chargés sans consentement explicite : googleads.g.doubleclick.net (2 requêtes XHR de suivi Google Ads), static.doubleclick.net (script d'état des annonces), et arclight.vimeo.com avec lensflare.vimeo.com (traceurs Vimeo analytics).

Recommandation — Bloquer complètement les pixels publicitaires et de remarketing (Google Ads, DoubleClick) jusqu'à ce que l'utilisateur accepte spécifiquement les cookies marketing. Ajouter des contrôles granulaires dans le banneau de consentement pour chaque catégorie de suivi publicitaire.

L'en-tête HTTP 'strict-transport-security' est présent avec la valeur 'max-age=63072000; includeSubDomains; preload', ce qui impose HTTPS avec redirection et active la précharge HSTS pour une sécurité maximale.

En analysant les cookies, plusieurs présentent des lacunes de sécurité : '_tccl_visitor', '_tccl_visit', '_scc_session' et 'dps_site_id' possèdent l'attribut 'secure' mais manquent de l'attribut 'httpOnly' (httpOnly: false). Cela permet à JavaScript d'accéder à ces cookies, augmentant le risque d'attaques XSS. Les cookies YouTube (__Secure-YNID, __Secure-ROLLOUT_TOKEN) sont correctement sécurisés avec httpOnly: true.

Recommandation — Modifier la configuration des cookies de suivi et de session pour ajouter l'attribut httpOnly=true (sauf si JavaScript doit accéder à ces valeurs pour une raison technique légitime, comme la protection CSRF). Évaluer si '_tccl_visitor' et '_tccl_visit' sont essentiels ou peuvent être remplacés par des approches plus sécurisées.

Un en-tête Content-Security-Policy est présent avec la valeur 'frame-ancestors 'self' godaddy.com *.godaddy.com dev-godaddy.com *.dev-godaddy.com test-godaddy.com *.test-godaddy.com', limitant les sources autorisées à intégrer le site en iframe.