Rapport de conformité Loi 25

Une bannière de consentement est visible au bas de la page d'accueil WebDAN. Elle se présente sous la forme d'un bouton intitulé « Politique de confidentialité » qui constitue un élément de consentement/gestion des données personnelles.

Aucun traceur non essentiel (analytique, marketing ou support) n'a été chargé avant le consentement. Les requêtes détectées incluent uniquement des ressources internes (webdan.ca), des polices Google Fonts (fonts.googleapis.com, fonts.gstatic.com) et Cloudflare Insights (un service d'analytique sans cookies qui ne nécessite pas de consentement selon la Loi 25).

La bannière actuelle ne propose qu'un seul bouton « Politique de confidentialité » sans offrir d'option visible permettant de personnaliser les catégories de consentement ou de gérer les préférences directement depuis la page d'accueil. Aucun bouton « Personnaliser », « Gérer mes préférences » ou équivalent n'est apparent.

Recommandation — Implémenter un système de choix granulaire conforme à la Loi 25. Ajouter au minimum un bouton « Personnaliser mes choix » ou « Gérer mes préférences » qui permet à l'utilisateur de sélectionner ou refuser chaque catégorie de consentement (analytique, marketing, témoins essentiels, etc.) directement sur la bannière ou via une interface dédiée accessible rapidement.

Seul un bouton « Politique de confidentialité » est visible. Il n'y a pas de bouton d'acceptation explicite ni de bouton de refus ou de rejet clairement présenté avec une proéminence visuelle équivalente. L'utilisateur n'a pas la possibilité de refuser le consentement de manière aussi simple qu'accepter.

Recommandation — Ajouter deux boutons au minimum : un bouton « Accepter » et un bouton « Refuser » ou « Continuer sans accepter », de taille, contraste et couleur similaires pour assurer l'équivalence visuelle. Le bouton de refus ne doit pas être caché, moins visible ou difficile à localiser.

Aucun traceur marketing ou analytique avec cookies n'a été identifié sur ce site. Les seules ressources tierces (polices, CDN, analytique sans cookies) ne posent pas de risque pour le blocage du consentement.

Aucun lien de gestion des cookies n’a été trouvé sur le site.

Recommandation — Ajouter un lien « Gestion des cookies » ou « Paramètres des cookies » dans le pied de page permettant aux utilisateurs de modifier leurs préférences de consentement après avoir fermé la bannière.

Un lien vers la « Politique de confidentialité » est présent et visible sur la bannière de consentement au bas de la page.

L'accès au contenu principal du site (logo WebDAN, titre « Libre Internet ») n'est pas bloqué par la bannière de consentement. L'utilisateur peut consulter la page sans être obligé d'interagir avec la bannière. Aucun cookie wall n'est détecté.

Une section de politique de confidentialité est présente sur le site. Elle explique que WebDAN est un espace personnel à but non commercial qui affiche simplement le nom WebDAN sur un fond animé, sans collecte de données personnelles ni utilisation de témoins de suivi.

Aucun responsable de la protection des renseignements personnels (RPRP) n'est nommé dans la politique de confidentialité fournie.

Recommandation — Identifier et nommer un responsable de la protection des renseignements personnels dans la politique de confidentialité, même si le site ne collecte pas de données. Cette personne doit être facilement identifiable pour les visiteurs.

Les coordonnées du responsable de la protection des renseignements personnels ne sont pas fournies. Aucun courriel, numéro de téléphone ou adresse n'est indiqué pour joindre le RPRP.

Recommandation — Ajouter les coordonnées complètes du RPRP (courriel minimalement, et idéalement téléphone ou adresse physique) dans la politique de confidentialité afin que les utilisateurs puissent le contacter en cas de question.

La politique indique clairement qu'aucun renseignement personnel n'est collecté sur le site WebDAN. Cette déclaration explicite satisfait à l'exigence de décrire les types de renseignements collectés.

Puisqu'aucun renseignement personnel n'est collecté selon la politique, il n'y a pas de finalités de collecte à décrire. La politique est cohérente sur ce point.

La politique indique qu'aucune donnée personnelle n'est collectée, ce qui rend inutile la description de durées de conservation. La politique est appropriée pour ce contexte.

Puisqu'aucun renseignement personnel n'est collecté et aucun partage n'est effectué, cette vérification ne s'applique pas. La politique est transparente à ce sujet.

La politique de confidentialité ne décrit pas les droits des utilisateurs relativement à leurs renseignements personnels (droit d'accès, de rectification, de suppression, etc.), ni les procédures pour exercer ces droits. Bien que le site ne collecte pas de données, la Loi 25 exige cette information dans toute politique de confidentialité.

Recommandation — Ajouter une section expliquant les droits des utilisateurs en vertu de la Loi 25 du Québec (accès, rectification, suppression, portabilité) et fournir une procédure claire pour exercer ces droits, même si le site ne collecte actuellement aucune donnée.

Aucun formulaire détecté sur le site.

Aucun formulaire détecté sur le site.

Aucun formulaire détecté sur le site.

Aucun formulaire détecté sur le site.

Aucun formulaire détecté sur le site.

Aucun traceur non essentiel n'a été chargé lors du chargement initial de la page sans interaction de consentement. Les ressources détectées sont limitées aux ressources internes, polices et Cloudflare Insights (analytique sans cookies).

Le site contient 3 domaines tiers non essentiels : fonts.googleapis.com, fonts.gstatic.com et static.cloudflareinsights.com. Ce nombre est bien inférieur au seuil de 10 scripts tiers non essentiels.

La politique de confidentialité ne mentionne pas les transferts ou stockages transfrontaliers de données. Bien que le site indique ne pas collecter de données personnelles, la présence de services externes (notamment Cloudflare et Google Fonts) qui peuvent impliquer des transferts de données (y compris les adresses IP) n'est pas documentée.

Recommandation — Ajouter une section dans la politique de confidentialité expliquant la localisation du traitement des données, en particulier pour les services tiers utilisés (Cloudflare, Google Fonts) qui peuvent impliquer des transferts vers les États-Unis ou d'autres juridictions. Expliquer les mesures de protection des données mises en place pour ces transferts.

Aucun pixel marketing ou de remarketing (tel que Facebook Pixel, Google Ads, LinkedIn Insight) n'a été détecté sur ce site.

L'en-tête HTTP 'Strict-Transport-Security' (HSTS) n'est pas présent dans les en-têtes de réponse du serveur. Seul l'en-tête 'Expect-CT' est configuré. Bien que le site utilise HTTPS, l'absence de HSTS diminue la protection contre les attaques de dégradation du protocole.

Recommandation — Ajouter l'en-tête Strict-Transport-Security (HSTS) à la configuration du serveur avec une durée de vie appropriée (exemple : 'Strict-Transport-Security: max-age=31536000; includeSubDomains'). Cela imposera l'utilisation obligatoire du protocole HTTPS pour tous les futurs accès.

Le cookie 'cf_clearance' utilisé par Cloudflare possède les attributs Secure et HttpOnly correctement configurés. L'attribut 'Secure' assure que le cookie n'est transmis que via HTTPS, et 'HttpOnly' le rend inaccessible au JavaScript, prévenant les attaques XSS.

Aucun en-tête Content-Security-Policy (CSP) n'est présent dans les en-têtes de réponse du serveur. L'absence de CSP augmente le risque de vulnérabilités aux injections de scripts malveillants et autres attaques courantes.

Recommandation — Implémenter un en-tête Content-Security-Policy approprié pour restreindre les sources de contenu autorisées (scripts, styles, images, etc.). Exemple de base : 'Content-Security-Policy: default-src 'self'; script-src 'self' fonts.googleapis.com; style-src 'self' fonts.googleapis.com fonts.gstatic.com'. Adapter la politique selon les ressources externes réellement utilisées.