Rapport de conformité Loi 25

Une bannière de consentement est clairement visible au bas de la page d'accueil. Elle contient un message expliquant l'utilisation des témoins (cookies) pour le fonctionnement et l'amélioration de l'expérience utilisateur, avec une mention explicite de conformité à la Loi 25 du Québec. La bannière est positionnée comme une boîte modale superposée au contenu principal.

Aucun cookie ou traceur non essentiel n'a été chargé avant le consentement. Les seules requêtes détectées proviennent de ressources essentielles internes (heysimone.ca) et de ressources externes légitimes pour les polices (fonts.googleapis.com et fonts.gstatic.com), qui ne constituent pas des traceurs.

La bannière actuelle n'offre que deux boutons principaux : « Refuser » et « Accepter ». Il n'y a pas de bouton « Personnaliser » ou « Gérer mes préférences » visible qui permettrait aux utilisateurs de faire des choix granulaires concernant les différentes catégories de témoins (analytique, marketing, fonctionnalité, etc.).

Recommandation — Ajoutez un bouton « Personnaliser mes préférences » ou « Gérer mes paramètres » qui donne accès à une interface de gestion détaillée permettant d'accepter ou de refuser chaque catégorie de témoins individuellement. Cela est exigé par la Loi 25 du Québec pour respecter le droit à la granularité du consentement.

Le bouton « Accepter » est mis en évidence avec une couleur bleue vive et semble être le bouton principal. Le bouton « Refuser » est présenté en arrière-plan avec un style moins proéminent, créant une hiérarchie visuelle qui favorise l'acceptation par rapport au refus.

Recommandation — Rendez les deux boutons (« Accepter » et « Refuser ») visuellement équivalents en termes de taille, de contraste, de couleur et de positionnement. Les deux options doivent être tout aussi accessibles et attrayantes pour respecter le principe d'équivalence du consentement exigé par la Loi 25.

Aucun traceur non essentiel n'est présent sur le site. Les ressources détectées sont limitées aux éléments essentiels (CSS, JavaScript interne, polices). Il n'y a pas de traceurs marketing, analytiques ou de réseaux sociaux à bloquer ou débloquer selon le consentement.

Aucun lien de gestion des cookies n’a été trouvé sur le site.

Recommandation — Ajouter un lien « Gestion des cookies » ou « Paramètres des cookies » dans le pied de page permettant aux utilisateurs de modifier leurs préférences de consentement après avoir fermé la bannière.

La bannière contient un lien « Politique de confidentialité » clairement visible et accessible directement depuis la boîte modale de consentement. Ce lien permet aux utilisateurs de consulter les informations détaillées sur le traitement des données personnelles et l'utilisation des témoins.

La bannière de consentement ne bloque pas l'accès au contenu principal de la page. Les utilisateurs peuvent voir l'interface de recherche de prestataires et accéder aux fonctionnalités du site. La bannière est une couche modale non-bloquante qui permet l'interaction avec le contenu sous-jacent.

Une page de politique de confidentialité complète et bien structurée est présente sur le site. Elle explique clairement comment les données sont protégées et traitées.

Un responsable de la protection des renseignements personnels est explicitement désigné selon la Loi 25, comme indiqué dans la section « Personne responsable ».

Les coordonnées du responsable de la protection des renseignements personnels sont fournies : courriel info@heysimone.ca. Cette adresse est mentionnée à plusieurs reprises dans la politique.

Les types de renseignements personnels collectés sont énumérés précisément dans la section « Ce que Simone stocke sur vous » : nom, courriel, code postal, messages avec prestataires, conversations IA, détails de l'aide demandée et informations de paiement.

Pour chaque type de données énumérées, la finalité de la collecte est clairement indiquée. Par exemple : « Votre nom et courriel » pour « créer votre compte et vous joindre », « Votre code postal » pour « trouver des prestataires dans votre région », etc.

La section « Conservation des renseignements » précise les critères de conservation : les données sont conservées « aussi longtemps que votre compte est actif ou que nécessaire pour fournir nos services ». Pour les conversations IA, la conservation est justifiée par la personnalisation.

Le partage avec des tiers est divulgué de manière transparente. La politique nomme spécifiquement les destinataires : Supabase pour l'hébergement des données, Stripe pour les paiements, et Anthropic pour l'intelligence artificielle. Des garanties de protection sont mentionnées pour chaque tiers.

Les droits des utilisateurs selon la Loi 25 sont expliqués clairement dans la section « Vos droits (Loi 25) ». Ils incluent : accès aux données, rectification, suppression du compte et des données, retrait du consentement, et dépôt de plainte à la Commission d'accès à l'information. La procédure pour exercer ces droits est précisée : contacter info@heysimone.ca.

Les formulaires de recherche par code postal ou ville examinés ne contiennent pas de case de consentement explicite pour la collecte des renseignements personnels. L'utilisateur entre son code postal sans donner son consentement de manière explicite et visuelle au point de collecte.

Recommandation — Ajouter une case de consentement déroulante ou une case à cocher explicite sur chaque formulaire collectant le code postal ou d'autres renseignements personnels, permettant à l'utilisateur de consentir à la collecte avant de soumettre le formulaire.

Puisqu'aucune case de consentement n'est présente, cette vérification ne s'applique pas.

Aucune indication de la finalité de la collecte n'est affichée au point de collecte (c'est-à-dire dans ou près du formulaire de recherche). L'utilisateur ignore pourquoi son code postal ou sa ville sont collectés.

Recommandation — Ajouter un texte clair ou une infobulle expliquant la finalité de la collecte du code postal ou de la ville au point de collecte, par exemple : « Votre code postal nous permet de trouver des prestataires dans votre région ».

Aucun lien vers la politique de confidentialité n'est visible à proximité des formulaires de recherche. L'utilisateur ne peut pas accéder facilement à la politique depuis le formulaire.

Recommandation — Ajouter un lien vers la politique de confidentialité à proximité immédiate de chaque formulaire collectant des renseignements personnels, par exemple en bas du formulaire ou sous forme d'une petite infobulle.

Le site utilise HTTPS pour soumettre les formulaires, comme indiqué dans les paramètres de vérification et confirmé par la présence d'en-têtes de sécurité HTTPS.

Aucun traceur n'a été chargé lors du chargement initial de la page sans interaction de consentement. Les seules requêtes proviennent de ressources essentielles internes et de polices web, qui ne nécessitent pas de consentement.

Seulement 2 domaines tiers non essentiels ont été détectés (fonts.googleapis.com et fonts.gstatic.com pour les polices web), ce qui est bien en dessous de la limite de 10 scripts tiers non essentiels.

La politique de confidentialité divulgue clairement les transferts transfrontaliers de données. Elle précise que certaines infrastructures techniques peuvent être situées à l'extérieur du Québec (notamment Supabase, Stripe et Anthropic), et que des mesures de protection équivalentes à celle prévue par la loi québécoise sont mises en place pour assurer la protection des données.

Aucun pixel marketing ou de remarketing n'a été détecté. Il n'y a pas de pixels Facebook, Google Ads, LinkedIn ou autres services de publicité ciblée présents sur le site.

HTTPS est imposé et configuré correctement. L'en-tête HSTS (strict-transport-security) est présent avec « max-age=31536000 ; includeSubDomains », ce qui force les connexions sécurisées et protège contre les attaques par dégradation de protocole.

Les deux cookies détectés présentent les attributs de sécurité appropriés. Le cookie « __dpl » est marqué Secure et SameSite=Lax. Le cookie « __cf_bm » est marqué Secure et HttpOnly. Ces attributs protègent efficacement les données sensibles.

Aucun en-tête Content-Security-Policy (CSP) n'est présent dans les en-têtes HTTP retournés. Cet en-tête est essentiel pour prévenir les attaques par injection de contenu (XSS) et contrôler les ressources que le navigateur peut charger.

Recommandation — Ajouter un en-tête Content-Security-Policy robuste et adapté à l'application, par exemple : « default-src 'self'; script-src 'self' fonts.googleapis.com; style-src 'self' fonts.googleapis.com fonts.gstatic.com 'unsafe-inline'; » (à adapter selon les besoins réels du site).