Rapport de conformité Loi 25

Une bannière de consentement est clairement visible au bas de la page. Elle se présente sous la forme d'une boîte modale centrée avec un fond clair contenant du texte explicatif sur l'utilisation des témoins. Le message indique : « Ce site utilise des cookies pour vous garantir la meilleure expérience sur notre site. En utilisant notre site, vous acceptez les cookies. »

Plusieurs traceurs non essentiels ont été chargés avant le consentement : Google Tag Manager (www.googletagmanager.com), Google Maps API (maps.googleapis.com), Firebase (firebase.googleapis.com et firebaseinstallations.googleapis.com), et Sentry (o1069899.ingest.us.sentry.io) sont tous présents dès le chargement initial de la page sans interaction préalable de l'utilisateur.

Recommandation — Implémenter un gestionnaire de consentement qui bloque le chargement de Google Tag Manager, Firebase, Sentry et Maps jusqu'à ce que l'utilisateur accepte explicitement les cookies de marketing et d'analytics. Charger uniquement les scripts essentiels (Bootstrap, Google Sign-In pour la fonctionnalité) avant le consentement.

La bannière présente uniquement deux boutons d'action : « Refuser » et « Accepter ». Il n'existe pas de bouton « Personnaliser », « Gérer mes préférences » ou équivalent visible qui permettrait à l'utilisateur de faire des choix granulaires par catégorie de témoins (essentiels, marketing, analytique, etc.). Le lien « Apprendre encore plus » offre une navigation supplémentaire mais ne constitue pas un choix granulaire directement dans la bannière.

Recommandation — Ajouter un bouton « Personnaliser » ou « Gérer mes préférences » dans la bannière pour permettre aux utilisateurs de consentir de manière sélective à chaque catégorie de témoins. Ceci est requis par la Loi 25 du Québec qui exige que le consentement soit spécifique et granulaire.

Les deux boutons « Refuser » et « Accepter » sont affichés côte à côte avec des dimensions et une apparence visuelle similaires. Ils ont tous deux un fond vert foncé et du texte blanc, offrant un contraste équivalent. Aucun des boutons n'est caché, relégué ou moins visible que l'autre.

Aucun mécanisme de consentement visible n'a été détecté. Les traceurs tiers (Google Analytics via GTM, Firebase Analytics, Sentry) continuent de se charger et de fonctionner sans possibilité pour l'utilisateur de les refuser. Il n'existe pas de système permettant de bloquer efficacement ces services lorsque l'utilisateur refuse le consentement.

Recommandation — Déployer une banneau de consentement robuste qui gère les catégories suivantes : essentiels, analytics, marketing et support. Utiliser des tags conditionnels dans Google Tag Manager pour activer ou désactiver le suivi analytique et les pixels de remarketing en fonction du choix de l'utilisateur.

Aucun lien de gestion des cookies n’a été trouvé sur le site.

Recommandation — Ajouter un lien « Gestion des cookies » ou « Paramètres des cookies » dans le pied de page permettant aux utilisateurs de modifier leurs préférences de consentement après avoir fermé la bannière.

Aucun lien vers une politique de confidentialité, de cookies ou de protection des données n'est visible directement dans ou immédiatement près de la bannière. Le lien « Apprendre encore plus » est présent mais ne pointe pas explicitement vers une politique formelle. La bannière elle-même ne contient pas de hyperlien vers les informations légales requises.

Recommandation — Ajouter un lien hypertexte explicite vers la politique de confidentialité et la politique relative aux témoins directement dans la bannière de consentement. Ce lien doit être facile à identifier et donner accès aux informations complètes sur l'utilisation des témoins conformément à la Loi 25.

La bannière ne bloque pas l'accès au contenu de la page. Les utilisateurs peuvent voir le contenu de la page d'accueil (titre, description, image) derrière la bannière modale. Il n'y a pas de cookie wall qui forcerait les utilisateurs à consentir pour accéder au site.

J'ai examiné le site et j'ai trouvé la page de politique de confidentialité accessible via le lien en bas de page. La politique porte la date de mise à jour du 25 septembre 2023 et contient une structure complète couvrant la collecte, l'utilisation et la protection des renseignements personnels.

J'ai identifié un responsable de la protection des renseignements personnels nommé dans la section « Nous joindre » : Jean-Philippe Pilon, pharmacien co-propriétaire. Cette identification est claire et explicite.

Les coordonnées complètes du RPRP sont fournies : adresse postale (4790 d'Angora, Terrebonne, Qc J6X 0J6), numéro de téléphone ((450) 824-9060), numéro de télécopieur ((450) 824-9070) et adresse courriel (proprio@familiprixflorea.ca). Les moyens de contact sont multiples et facilement identifiables.

La politique énumère précisément les types de renseignements personnels collectés : nom complet, adresse postale, date de naissance, genre, adresse courriel, numéro de téléphone, et tout autre identificateur utilisé pour contacter l'utilisateur. La section « Quels sont les renseignements que nous recueillons? » clarifie la définition et les catégories de données.

J'ai examiné la section « Comment utilisons-nous vos renseignements? » qui énonce plusieurs finalités explicites : réalisation des objectifs de service pharmaceutique, exécution des obligations légales, facturation, communication administrative, conformité légale et demandes gouvernementales, respect des modalités et conditions, et utilisation avec consentement.

La politique contient une section dédiée « Conservation de vos renseignements » qui indique que les données seront conservées aussi longtemps que nécessaire pour réaliser les objectifs de collecte, y compris les exigences contractuelles, juridiques, comptables ou de déclaration. Des critères de conservation sont donc établis.

La section « Comment divulguons-nous vos renseignements? » décrit précisément le partage avec les tiers : membres de l'organisation interne, fournisseurs de services tiers (énumérés spécifiquement : hébergement web, analyse de données, traitement des paiements, TI, envoi de courriels, audit). Les conditions de divulgation légale et gouvernementale sont également mentionnées.

J'ai observé une section complète « Accès à vos renseignements personnels et correction de ceux-ci » expliquant les droits des utilisateurs : révision, correction, mise à jour, suppression, effacement et limitation d'utilisation. Une procédure claire est fournie : contacter le RPRP par téléphone ou courrier avec une demande écrite explicite. Les limites légales possibles sont aussi mentionnées.

J'ai examiné le formulaire de contact visible sur le site et il n'y a pas de case de consentement pour la collecte et le traitement des renseignements personnels. Le formulaire collecte l'adresse courriel, le nom et le numéro de téléphone sans que l'utilisateur ne donne son consentement explicite par une case à cocher.

Recommandation — Ajouter une case de consentement obligatoire au formulaire de contact permettant à l'utilisateur de consentir explicitement au traitement de ses renseignements personnels. Cette case doit être bien visible et précéder le bouton d'envoi.

Comme aucune case de consentement n'est présente sur le formulaire, je ne peux pas vérifier cet attribut. Cependant, l'absence même de case de consentement constitue une violation majeure des exigences de la Loi 25.

Recommandation — Implémenter une case de consentement qui ne doit jamais être pré-cochée par défaut. L'utilisateur doit activement cocher la case pour donner son consentement au traitement de ses données.

J'ai examiné le formulaire de contact et je n'ai observé aucune indication de la finalité de la collecte au point de collecte. Le formulaire recueille des données sans expliquer pourquoi ces données sont collectées ou comment elles seront utilisées.

Recommandation — Ajouter un texte explicatif clair près du formulaire indiquant la finalité de la collecte des renseignements personnels. Par exemple : « Nous collectons ces informations pour traiter votre demande et vous répondre. »

J'ai examiné le formulaire de contact sur la page d'accueil et je ne vois pas de lien vers la politique de confidentialité à proximité immédiate ou au sein du formulaire. Bien que la politique soit accessible en bas de page, elle n'est pas directement liée au formulaire de collecte.

Recommandation — Ajouter un lien explicite vers la politique de confidentialité directement sur le formulaire de contact, idéalement avant le bouton d'envoi ou dans la zone de consentement. Utiliser un lien texte clair comme « Lire notre politique de confidentialité ».

Le site utilise HTTPS pour toutes les connexions. J'ai vérifié les en-têtes HTTP qui confirment l'utilisation du protocole sécurisé (https://familiprixflorea.ca). La transmission des données du formulaire s'effectue via HTTPS.

Les traceurs suivants ont été chargés au moment du chargement initial de la page sans aucune interaction de consentement : Google Tag Manager, Google Maps, Firebase, Sentry, et Google Analytics. Aucune banneau de consentement n'était présent pour obtenir l'accord préalable de l'utilisateur.

Recommandation — Implémenter un gestionnaire de consentement avant le chargement de tout contenu tiers. Mettre en place une banneau de consentement qui s'affiche immédiatement et bloque le chargement des scripts de suivi jusqu'à l'obtention du consentement explicite.

Le site charge 8 domaines tiers non essentiels : Google Tag Manager, Firebase, Firebaseinstallations, Sentry, Google Maps, Unsplash (images externes), Bootstrap CDN et Soloist.ai. Cela dépasse largement la limite recommandée de 10 domaines tiers, même en incluant les ressources essentielles.

Recommandation — Minimiser le nombre de dépendances externes. Considérer l'hébergement interne de ressources critiques (Bootstrap), réduire l'utilisation de Maps si elle n'est pas essentielle, et évaluer si Firebase et Sentry sont tous deux nécessaires. Consolider les outils d'analytics et de monitoring.

Après examen approfondi de la politique de confidentialité, aucune mention explicite n'est faite concernant les transferts transfrontaliers de données ni la localisation géographique du stockage ou du traitement des données. Or, j'ai identifié plusieurs traceurs utilisant des services américains (Google Analytics, Firebase, Google Tag Manager, Sentry) qui impliquent des transferts possibles vers les États-Unis. La politique ne divulgue pas cette réalité.

Recommandation — Modifier la politique de confidentialité pour ajouter une section explicite sur les transferts transfrontaliers de données. Indiquer précisément quels services tiers américains sont utilisés et qu'un transfert de données peut survenir. Mentionner les mesures de protection en place (le cas échéant, comme les clauses contractuelles types ou d'autres mécanismes de transfert légal).

Google Maps est chargé sans consentement explicite et peut servir à des fins de ciblage géographique. Google Tag Manager est également chargé d'emblée sans consentement, ce qui peut déclencher des pixels de remarketing et de conversion. Aucun mécanisme n'empêche l'envoi de données personnelles à ces services.

Recommandation — Bloquer Google Maps et tous les pixels de remarking associés à Google Ads jusqu'à l'obtention du consentement pour les cookies de marketing. Implémenter une validation du consentement avant l'activation de tout événement de conversion ou de suivi de publicité.

En examinant les en-têtes HTTP de réponse, j'ai observé l'en-tête Strict-Transport-Security présent avec la valeur « max-age=31536000; includeSubDomains; preload ». Cela signifie que HTTPS est imposé pour une durée d'un an et s'applique aux sous-domaines avec préchargement HSTS. La redirection HTTPS est donc bien configurée.

J'ai examiné la liste des cookies et aucun cookie n'est actuellement défini sur le site au moment de mon analyse (la liste des cookies est vide). Il n'y a donc pas de cookie sans les attributs Secure et HttpOnly à ce stade. La banneau de consentement aux cookies est présent et fonctionnel.

En examinant les en-têtes HTTP de la réponse, je ne détecte pas la présence d'un en-tête Content-Security-Policy (CSP). L'absence de cet en-tête est une faiblesse de sécurité qui laisse le site vulnérable à certaines attaques par injection de contenu.

Recommandation — Implémenter un en-tête Content-Security-Policy strict. Cet en-tête doit définir des directives restrictives pour les sources de script, de style, d'image et autres ressources. Exemple minimal : « default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https: » (à adapter selon les besoins réels du site).