Rapport de conformité Loi 25

Aucune bannière de consentement, modal ou couche superposée concernant les témoins ou les cookies n'est visible sur la page d'accueil de La Presse. La page affiche le contenu éditorial sans demander le consentement préalable de l'utilisateur pour la collecte de données personnelles.

Recommandation — Implémenter une bannière de consentement visible et facilement accessible dès le chargement initial de la page. Cette bannière doit clairement informer l'utilisateur de la collecte de données et demander son consentement explicite avant de déployer des témoins ou des technologies de suivi.

Plusieurs traceurs non essentiels ont été chargés avant le consentement de l'utilisateur. On détecte notamment Google Tag Manager (www.googletagmanager.com), Google Ads (securepubads.g.doubleclick.net, pagead2.googlesyndication.com), Braze (sdk.iad-06.braze.com), Rubicon Project (micro.rubiconproject.com, fastlane.rubiconproject.com), Casale Media (htlb.casalemedia.com, ssum-sec.casalemedia.com), et plusieurs autres pixels publicitaires de DoubleClick qui se sont chargés immédiatement sans attendre le consentement explicite.

Recommandation — Implémenter un gestionnaire de consentement qui bloque tous les scripts de tracking marketing et analytiques avant que l'utilisateur n'accepte les cookies. Seuls les scripts essentiels doivent se charger au démarrage de la page.

Sans bannière de consentement présente, aucune option de personnalisation ou de gestion des préférences granulaires n'est disponible pour l'utilisateur. Le site ne propose donc aucun bouton « Personnaliser » ou « Gérer mes préférences » visible.

Recommandation — Ajouter un mécanisme de consentement granulaire permettant à l'utilisateur de choisir précisément les catégories de témoins ou de technologies qu'il souhaite accepter ou refuser (analytique, publicité, suivi personnalisé, etc.). Un lien vers les préférences doit être facilement accessible.

Aucun bouton de refus ou d'acceptation n'est visible sur la page. En l'absence de bannière, il est impossible d'évaluer la proéminence relative des options d'acceptation et de refus.

Recommandation — Lorsqu'une bannière sera mise en place, s'assurer que les boutons de refus et d'acceptation ont une visibilité et une proéminence égales. Le bouton de refus ne doit pas être moins visible, moins accessible ou moins contrasté que le bouton d'acceptation.

Le refus du consentement ne bloquerait pas réellement tous les traceurs non essentiels. De nombreux domaines publicitaires (Google Ads, DoubleClick, Rubicon Project, Casale Media, Index Exchange) n'ont aucun mécanisme visible de consentement intégré et continueraient à opérer même après un refus. Les requêtes fetch vers ces domaines s'exécuteraient indépendamment de la sélection de l'utilisateur.

Recommandation — Configurer le gestionnaire de consentement pour arrêter complètement le chargement des scripts marketing avant leur exécution, plutôt que de compter sur un arrêt après coup. Utiliser des attributs comme async/defer combinés à une logique de consentement préalable.

Aucun lien de gestion des cookies n’a été trouvé sur le site.

Recommandation — Ajouter un lien « Gestion des cookies » ou « Paramètres des cookies » dans le pied de page permettant aux utilisateurs de modifier leurs préférences de consentement après avoir fermé la bannière.

Bien que le site dispose d'un pied de page avec des liens « À propos de La Presse », « Centre d'aide » et autres, aucun lien spécifique vers une politique de confidentialité ou une politique relative aux cookies n'est visible dans une bannière de consentement ou à proximité immédiate de celle-ci (puisqu'aucune bannière n'existe).

Recommandation — Inclure un lien explicit vers la politique de confidentialité et la politique relative aux cookies directement dans ou à proximité immédiate de la bannière de consentement. Ce lien doit être facilement repérable et accédable pour permettre à l'utilisateur de consulter les détails sur le traitement de ses données avant de donner son consentement.

Le contenu éditorial de la page d'accueil (articles, vidéos, sections de navigation) est accessible sans restriction. L'utilisateur peut consulter La Presse sans avoir à accepter une bannière de consentement. Aucun cookie wall ne bloque l'accès au contenu.

La page de politique de confidentialité est présente et accessible sur le site. Elle contient une explication détaillée des pratiques en matière de protection des renseignements personnels. La politique indique qu'elle a été mise à jour en janvier 2021.

Un responsable de la protection des renseignements personnels (RPRP) est nommé dans la politique de confidentialité. Il s'agit de Me Patrick Bourbeau, Vice-président, Affaires juridiques.

Les coordonnées du RPRP sont fournies de deux façons : par courrier postal (La Presse, Service à la clientèle, 750, boul. Saint-Laurent, Montréal, Canada H2Y 2Z4) et il est indiqué qu'une adresse courriel est disponible via le Centre d'aide. Une référence à un formulaire de contact est également fournie.

Les types de renseignements personnels collectés sont décrits avec précision dans la section 2. Ils incluent : nom, prénom, adresse courriel, mot de passe, numéro de téléphone, coordonnées bancaires, informations de géolocalisation, adresse IP, type de navigateur et historique de navigation, pour différents points de collecte (formulaires de contact, création de compte, abonnement à l'infolettre, participation à des concours, etc.).

Les finalités de la collecte sont indiquées pour chaque type de données. La politique explique que les données servent à : fournir les services, améliorer l'expérience utilisateur, cibler la publicité, analyser le comportement, gérer les concours, traiter les contributions volontaires et se conformer aux obligations légales.

Bien que la section 5 (Conservation des Renseignements personnels) indique que les données seront conservées « le temps nécessaire à la réalisation des objectifs pour lesquels ces données ont été collectées et dans la mesure permise ou requise par la loi », aucune durée de rétention spécifique n'est fournie pour les différentes catégories de données. La politique renvoie les utilisateurs à contacter le responsable pour obtenir plus d'information.

Recommandation — Ajouter un tableau ou une section annexe précisant les durées de rétention (en mois ou années) pour chaque type de données : cookies de session, cookies persistants, données de compte, données de paiement, logs de navigation, etc. Cela doit être conforme à la Loi 25 du Québec.

Le partage avec des tiers est divulgué en détail dans la section 4. La politique nomme spécifiquement les fournisseurs de services utilisés (iWeb, AWS, Snowflake, Mediarithmics, Braze, Snowplow, Dialog Insight, Stripe, Hosted PCI, Chase, Optable, Firebase) avec des liens vers leurs politiques de confidentialité respectives. Les catégories d'utilisation sont également décrites (hébergement, paiement, analyse, marketing, authentification).

Les droits des utilisateurs sont expliqués dans la section 8. La politique mentionne l'accès aux renseignements personnels sur demande écrite, le droit de rectification, et le droit de suppression de compte et de données personnelles. Un formulaire dédié est fourni pour les demandes de suppression.

En examinant les formulaires HTML présents sur le site (formulaire de recherche principal et formulaire de recherche du menu burger), aucune case de consentement n'est visible. Ces formulaires recueillent uniquement une requête de recherche, ce qui ne pose pas de problème, mais l'absence générale de cases de consentement aux points de collecte de données personnelles (inscription, abonnement à l'infolettre, contribution volontaire) doit être vérifiée sur l'ensemble du site.

Recommandation — Ajouter des cases de consentement explicite à tous les formulaires collectant des renseignements personnels (création de compte, abonnement à l'infolettre, contact, concours, contributions), conformément aux exigences de la Loi 25 du Québec.

Aucune case de consentement n'est visible dans les formulaires HTML examinés. Il n'est donc pas possible de vérifier si les cases de consentement (si elles existent ailleurs) sont pré-cochées ou non. Cette absence suggère que le site pourrait ne pas être conforme à l'exigence de consentement explicite.

Recommandation — Implémenter des cases de consentement qui ne sont PAS pré-cochées par défaut sur tous les formulaires collectant des données personnelles. Les utilisateurs doivent cocher activement pour donner leur consentement.

Aucune indication de finalité n'est visible dans les formulaires HTML fournis. Les formulaires de recherche ne collectent pas de données personnelles, mais il manque une vérification des autres formulaires du site (inscription, abonnement, etc.) pour confirmer la présence d'indications claires de finalité.

Recommandation — Ajouter au point de collecte, près de chaque champ, une brève explication de la finalité (ex. : « Votre adresse courriel sera utilisée pour envoyer la lettre d'information hebdomadaire ») conformément à la Loi 25.

Aucun lien vers la politique de confidentialité n'est visible dans les formulaires HTML examinés. Bien que la politique de confidentialité soit accessible via le pied de page général du site, elle n'est pas spécifiquement liée au point de collecte des données.

Recommandation — Ajouter un lien vers la politique de confidentialité directement à proximité ou dans chaque formulaire collectant des données personnelles pour assurer que l'utilisateur peut la consulter avant de soumis ses informations.

Les formulaires sont soumis via HTTPS. L'en-tête HTTP indique un protocole sécurisé (redirection vers https://www.lapresse.ca:443/), ce qui garantit le chiffrement des données en transit.

Plusieurs traceurs ont été chargés avant toute interaction de consentement. À la capture initiale de la page (sans aucun clic), on détecte des requêtes depuis Google Tag Manager, Google Ads, Braze, les systèmes publicitaires de Rubicon Project, Casale Media, DoubleClick, et d'autres partenaires analytiques et de remarketing. Cela viole le principe du consentement préalable.

Recommandation — Retarder le chargement de tous les scripts de tracking jusqu'à ce que l'utilisateur ait explicitement accepté les catégories de cookies correspondantes. Implémenter une banneau de consentement qui bloque immédiatement tous les traceurs non essentiels dès le chargement initial.

Il y a 27 domaines tiers non essentiels détectés : Google Tag Manager, Google Ads (multiples domaines), Braze, Rubicon Project (3 domaines), Casale Media (2 domaines), ScorecardResearch, Optable, Index Exchange (2 domaines), DoubleClick (multiples domaines), Google Syndication (2 domaines), Google AdServices, Google AdTraffic Quality (2 domaines), Nuclei, et autres. Cela dépasse largement le seuil de 10 domaines non essentiels.

Recommandation — Auditer chaque intégration tierce et évaluer son besoin réel. Éliminer les traceurs redondants et consolider les solutions de tracking. Par exemple, réduire le nombre de partenaires publicitaires et privilégier une seule solution analytique principale.

La politique de confidentialité divulgue clairement les transferts transfrontaliers de données. La section 9 indique que les renseignements personnels sont hébergés au Québec (Canada) et aux États-Unis auprès de fournisseurs de service. La politique précise que les données stockées aux États-Unis sont assujetties à des règles de protection différentes et peuvent être divulguées aux gouvernements, tribunaux et organismes d'application de la loi américains conformément aux lois locales.

Plusieurs pixels marketing et de remarketing sont présents et chargés sans consentement explicite : Google Ads conversion pixels (pagead/1p-conversion, pagead/conversion), DoubleClick impression tracking (ad.doubleclick.net/ddm/trackimp), pixels de view-through conversion (googleads.g.doubleclick.net), et les pixels Braze pour le suivi comportemental. Tous ces éléments se chargent avant l'interaction de consentement.

Recommandation — Bloquer tous les pixels de conversion et de remarketing jusqu'à ce que l'utilisateur accepte explicitement les cookies marketing. Implémenter des événements de consentement qui déclenchent ces pixels seulement après approbation, ou utiliser des wrapper qui retardent leur exécution.

Bien que HTTPS soit utilisé, l'en-tête HTTP fourni ne contient pas l'en-tête Strict-Transport-Security (HSTS). Sans cet en-tête, le navigateur n'est pas forcé à utiliser HTTPS pour les connexions futures, ce qui pourrait exposer les utilisateurs à des attaques par interception si une première visite n'utilise pas HTTPS.

Recommandation — Ajouter l'en-tête HTTP Strict-Transport-Security (HSTS) avec une valeur minimum de max-age=31536000 (1 an) et idéalement includeSubDomains pour garantir que tous les accès futurs utilisent HTTPS.

Plusieurs cookies ne possèdent pas les attributs de sécurité requis. Exemple : le cookie LPUID a secure=false et httpOnly=false, ce qui signifie qu'il peut être transmis en HTTP non chiffré et accédé par JavaScript. D'autres cookies comme _ga_L4YENFY286, _ga, ab.storage.sessionId et ab.storage.deviceId ont également secure=false. Bien que certains cookies aient secure=true et sameSite configuré (meilleure pratique), la présence de cookies non sécurisés constitue un risque.

Recommandation — Appliquer les attributs Secure et HttpOnly à tous les cookies sensibles (ex. : identifiants de session, identifiants utilisateur). Seuls les cookies nécessaires à des fins spécifiques (comme XSRF-TOKEN pour la protection CSRF) peuvent ne pas avoir HttpOnly s'il existe une justification métier. Vérifier que les cookies n'ayant pas Secure et HttpOnly nécessitent réellement ces configurations ou les corriger pour améliorer la sécurité.

Aucun en-tête Content-Security-Policy n'est présent dans les en-têtes HTTP fournis. L'absence de ce en-tête réduit les protections contre les attaques par injection de contenu (XSS, clickjacking) et ne limite pas les sources de script, style ou ressources autorisées à être chargées sur la page.

Recommandation — Implémenter un en-tête Content-Security-Policy adapté au site, par exemple : Content-Security-Policy: default-src 'self'; script-src 'self' trusted-domains.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;. Ajuster selon les besoins du site tout en maximisant la sécurité.