Rapport de conformité Loi 25

Une bannière de consentement est visible au bas gauche de la page. Elle affiche un encadré bleu marine contenant le titre « Cookies » avec la mention « Votre confidentialité compte » et un texte explicatif : « Nous utilisons des cookies pour améliorer votre expérience. »

Aucun traceur ou cookie non essentiel n'a été chargé avant le consentement de l'utilisateur. Les requêtes détectées sont principalement des ressources internes du domaine thecabinetxp.com, des polices Google (Google Fonts) et des images, qui sont tous des éléments essentiels au fonctionnement du site.

La bannière offre trois boutons d'action : un bouton rouge « Tout accepter », un bouton gris « Personnaliser » et un bouton gris « Tout refuser ». Le lien « En savoir plus » est aussi accessible, permettant d'accéder à des informations détaillées sur les cookies.

Le bouton « Tout accepter » (rouge) est visuellement plus proéminent que les boutons « Personnaliser » et « Tout refuser » (tous deux gris). Le bouton d'acceptation occupe davantage d'espace visuel et utilise une couleur contrastée, tandis que le refus reste moins visible et moins invitant.

Recommandation — Conformément à la Loi 25 du Québec et aux normes d'accessibilité, le bouton de refus doit avoir la même taille, contraste et proéminence visuelle que le bouton d'acceptation. Utilisez des couleurs équivalentes et une même taille de police pour équilibrer les choix offerts à l'utilisateur.

Basé sur l'analyse des traceurs détectés, le mécanisme de consentement semble fonctionnel. Aucun traceur marketing ou analytique non essentiel n'a été identifié dans les requêtes réseau actuelles. Les seules ressources tiers présentes sont les polices Google et une ressource d'image (flagcdn.com pour les drapeaux), qui sont des éléments de design essentiels.

Aucun lien de gestion des cookies n’a été trouvé sur le site.

Recommandation — Ajouter un lien « Gestion des cookies » ou « Paramètres des cookies » dans le pied de page permettant aux utilisateurs de modifier leurs préférences de consentement après avoir fermé la bannière.

Un lien « En savoir plus » est visible dans la bannière de cookies, souligné en bleu, permettant aux utilisateurs d'accéder à des informations supplémentaires concernant l'utilisation des cookies et la politique de confidentialité.

La bannière de consentement n'empêche pas l'accès au contenu principal de la page. Les utilisateurs peuvent consulter les services offerts, les sections « Conseil fiscal » et « Conseil en entreprise », ainsi que la navigation générale du site, qu'ils consentent ou non aux cookies.

Une page de politique de confidentialité est présente et accessible sur le site. J'ai consulté le document complet qui expose les engagements de Cabinet XP en matière de protection des renseignements personnels conformément à la Loi 25 du Québec. Le document est bien structuré et contient tous les éléments obligatoires.

Un responsable de la protection des renseignements personnels (RPRP) est clairement identifié dans la politique. Le RPRP nommé est Djomou Xavier Perez, avec le titre explicite de Responsable de la protection des renseignements personnels.

Les coordonnées complètes du RPRP sont fournies dans la politique : courriel (contact@thecabinetxp.com), téléphone (+1 (514) 797-0019) et adresse physique (935 Decarie Blvd, Suite No 214, Saint-Laurent, Montréal, QC H4L 3M3, Canada). Les trois modes de contact sont disponibles.

Les types de renseignements personnels collectés sont décrits précisément dans la section dédiée. Les données énumérées incluent : nom complet et prénom, adresse courriel, numéro de téléphone, adresse postale, catégorie de service demandé, renseignements financiers, informations fiscales, données d'utilisation du site web et préférences linguistiques. La description est explicite et détaillée.

Les finalités de la collecte sont clairement indiquées pour les données. La politique énumère les finalités suivantes : fournir des services de consultation fiscale et comptabilité, communiquer concernant les demandes et rendez-vous, émettre des factures et gérer les paiements, respecter les obligations légales et réglementaires, et améliorer les services et l'expérience utilisateur.

Les durées de conservation ou critères de conservation sont précisés pour chaque catégorie de données. Documents fiscaux conservés 7 ans conformément aux exigences de l'ARC, dossiers clients conservés 7 ans après la fin de la relation commerciale, communications conservées 3 ans après la dernière interaction, et données du site web conservées 1 an après la dernière visite.

Le partage avec des tiers est divulgué dans la politique avec les catégories et destinataires précisés. Les destinataires identifiés incluent : autorités gouvernementales (ARC, Revenu Québec) pour déclarations fiscales, fournisseurs de services techniques (hébergement, messagerie sécurisée), avocats et conseillers juridiques lorsque requis par la loi. Une section sur les transferts transfrontaliers précise que certains fournisseurs sont situés aux États-Unis.

Les droits des utilisateurs sont expliqués dans la politique avec une description claire de chaque droit : droit d'accès pour savoir si des renseignements sont détenus, droit de rectification pour corriger les données inexactes, droit de retrait pour demander la suppression, droit de portabilité pour recevoir les données dans un format structuré, et droit de retrait du consentement. Une procédure de réclamation est également fournie avec le recours à la Commission d'accès à l'information du Québec.

Des cases de consentement sont présentes sur tous les formulaires de collecte de données examinés. Le premier formulaire principal contient une case obligatoire avec le texte « Je consens à la collecte et au traitement de mes renseignements personnels pour répondre à ma demande ». Les deux formulaires d'infolettre contiennent également une case de consentement pour recevoir des communications électroniques. Tous les formulaires incluent un lien vers la politique de confidentialité.

Les cases de consentement ne sont pas pré-cochées sur les formulaires. En examinant le code HTML, l'attribut « checked » n'est pas présent sur les éléments input de type checkbox dans aucun des formulaires. L'utilisateur doit activement cocher la case pour consentir.

La finalité de la collecte est indiquée au point de collecte. Sur le formulaire principal, le texte de consentement spécifie « Je consens à la collecte et au traitement de mes renseignements personnels pour répondre à ma demande ». Sur les formulaires d'infolettre, la finalité est énoncée comme « Je consens à recevoir des communications électroniques de Cabinet XP ». Les intentions sont claires à chaque formulaire.

Un lien vers la politique de confidentialité est présent à proximité de chaque formulaire. J'ai observé que tous les formulaires contiennent un lien hypertexte «Politique de confidentialité» intégré dans ou à proximité immédiate du bloc de consentement, dirigeant vers /politique-de-confidentialite.

Les formulaires sont soumis via HTTPS. Le site utilise le protocole HTTPS sécurisé pour toutes les transmissions. Les en-têtes HTTP reçus du serveur confirment une connexion sécurisée (content-type indique html sans erreur de sécurité).

Aucun traceur non essentiel n'a été chargé avant toute interaction de consentement. Les requêtes analysées correspondent uniquement à des ressources essentielles : contenu interne, polices web, et images décoratives. Aucun pixel de remarketing, cookie d'analyse ou script publicitaire n'a été détecté en charge préalable.

Le site contient 2 domaines tiers non essentiels détectés (fonts.googleapis.com et flagcdn.com). Ce nombre est largement inférieur au seuil de 10 scripts tiers non essentiels autorisés par la Loi 25.

Les transferts transfrontaliers de données sont divulgués dans la politique de confidentialité. La section « Transferts transfrontaliers » précise explicitement que certains fournisseurs de services (notamment pour l'hébergement web et les polices de caractères) sont situés aux États-Unis. La politique indique également que des contrats de traitement des données ont été mis en place pour assurer un niveau de protection équivalent à celui exigé par la Loi 25.

Aucun pixel marketing ou de remarketing n'a été détecté dans les requêtes réseau analysées. Aucun script de Google Ads, Facebook Pixel, LinkedIn Insight Tag ou autre outil de remarketing n'est présent.

L'en-tête HSTS (Strict-Transport-Security) n'est pas présent dans les en-têtes HTTP reçus du serveur. J'ai examiné tous les en-têtes retournés et il n'y a aucune mention de strict-transport-security. Seul un en-tête referrer-policy est présent. Sans HSTS, le navigateur n'est pas forcé à utiliser HTTPS pour les connexions futures au domaine.

Recommandation — Ajouter l'en-tête Strict-Transport-Security au serveur avec une directive appropriée, par exemple : « Strict-Transport-Security: max-age=31536000; includeSubDomains; preload ». Cela imposera HTTPS et protègera contre les attaques par rétrogradation.

Aucun cookie n'est présent dans la réponse HTTP. L'analyse des cookies retourne un tableau vide, ce qui signifie qu'aucun cookie n'est défini par le serveur. Par conséquent, il n'y a pas de cookies à évaluer pour les attributs Secure et HttpOnly.

L'en-tête Content-Security-Policy n'est pas présent dans les en-têtes HTTP du serveur. J'ai examiné tous les en-têtes retournés et il n'y a aucune mention de content-security-policy. Seuls des en-têtes de sécurité basiques sont présents (x-xss-protection, x-content-type-options, x-frame-options).

Recommandation — Implémenter et ajouter un en-tête Content-Security-Policy au serveur pour renforcer la sécurité contre les attaques par injection de contenu. Par exemple : « Content-Security-Policy: default-src 'self'; script-src 'self' fonts.googleapis.com; style-src 'self' fonts.googleapis.com; font-src fonts.gstatic.com; img-src 'self' flagcdn.com; frame-ancestors 'none'; ». Adapter la politique selon les ressources réelles du site.