Site analysé : www.corriveaujl.com

Rapport de conformité Loi 25

Notre outil a analysé automatiquement 28 points de conformité à la Loi 25 du Québec : bannière de consentement, politique de confidentialité, formulaires, traceurs et sécurité.

Rapport généré le 16 juillet 2026 à 17h44 et fourni à titre indicatif seulement. Il ne constitue pas un avis juridique ni un audit formel.

16 /23
? 0 /23
7 /23

Formez votre équipe à la Loi 25

Corrigez votre site, mais aussi les habitudes : nos formations courtes, par rôle, mettent vos employés à niveau en moins de 4 heures.

Consentement et cookies

  • Bannière de consentement présente

    Une bannière de consentement aux témoins est clairement visible au bas de la page. Elle porte le libellé « This website uses cookies » et est fournie par Cookiebot. La bannière contient du texte explicatif sur l'utilisation des témoins et des technologies connexes pour maintenir la sécurité, analyser le site et assister dans les efforts de marketing.

  • Aucun cookie non essentiel avant consentement

    Le domaine www.googletagmanager.com (Google Tag Manager/Google Analytics) a été chargé avant toute interaction de consentement. Google Analytics est un traceur analytique non essentiel qui nécessite le consentement explicite de l'utilisateur selon la Loi 25 du Québec. Aucun mécanisme de blocage n'a empêché ce chargement initial.

    Recommandation — Implémenter un blocage systématique de Google Tag Manager et Google Analytics avant l'interaction de l'utilisateur avec la banneau de consentement. Modifier le script d'initialisation pour charger gtag.js uniquement après obtention du consentement pour les traceurs non essentiels.

  • Choix granulaire offert (accepter/refuser par catégorie)

    Un bouton « Customize » (Personnaliser) est disponible et clairement visible dans la bannière, permettant aux visiteurs d'accéder à des préférences granulaires concernant les catégories de témoins. Un lien « Show details » (Afficher les détails) est également proposé pour obtenir plus d'information.

  • Bouton refuser aussi visible que le bouton accepter

    Le bouton « Allow all » (Accepter tous) est présenté en bleu vif et de manière très proéminente, tandis que le bouton « Customize » (Personnaliser) est présenté en blanc avec une bordure bleue, ce qui le rend nettement moins visible et moins attirant. Il n'existe pas de bouton de refus explicite (« Refuser tous » ou « Continuer sans accepter ») avec une visibilité égale à celle du bouton d'acceptation.

    Recommandation — Conformément à la Loi 25 du Québec, il est obligatoire de fournir un bouton de refus aussi visible et proéminent que celui d'acceptation. Vous devez ajouter un bouton « Refuser tous » avec une taille, un contraste et une couleur équivalents au bouton « Accepter tous ». Les deux options doivent avoir le même poids visuel pour respecter le principe de consentement vraiment libre et éclairé.

  • Refuser bloque réellement les traceurs

    Bien que Cookiebot soit présent sur le site (consent.cookiebot.com et consentcdn.cookiebot.com), Google Tag Manager n'apparaît pas être lié à la gestion du consentement via Cookiebot. Le refus du consentement ne bloquerait probablement pas le chargement de Google Analytics puisqu'il a déjà été exécuté lors du chargement initial.

    Recommandation — Configurer correctement Cookiebot pour gérer le consentement de Google Tag Manager et Google Analytics. S'assurer que le refus du consentement (bouton « Refuser ») supprime ou bloque réellement l'exécution des scripts analytiques non essentiels.

  • Préférences modifiables après fermeture de la bannière

    Aucun lien de gestion des cookies n’a été trouvé sur le site.

    Recommandation — Ajouter un lien « Gestion des cookies » ou « Paramètres des cookies » dans le pied de page permettant aux utilisateurs de modifier leurs préférences de consentement après avoir fermé la bannière.

  • Page de politique de cookies liée depuis la bannière

    Un lien « Show details » est visible dans la bannière, qui permet d'accéder à des informations supplémentaires sur les témoins et la politique. De plus, le logo et la mention de Cookiebot suggèrent qu'une politique de confidentialité est disponible via le fournisseur du CMP.

  • Pas de mur de cookies bloquant le contenu

    La bannière de consentement n'empêche pas l'accès au contenu principal de la page. Les visiteurs peuvent continuer à naviguer sur le site même si la bannière est présente, ce qui signifie qu'aucun cookie wall n'est en place.

Passez à l'action sur votre conformité Loi 25

Inscrivez-vous pour démarrer votre programme personnalisé, ou réservez une démo pour discuter de votre situation avec notre équipe.

Politique de confidentialité

  • Politique de confidentialité existante

    Une page intitulée « Politique de confidentialité » existe sur le site, mais elle affiche uniquement le texte « En construction ». Le contenu réel de la politique n'est pas accessible aux utilisateurs, ce qui signifie que la politique n'est pas complète ni fonctionnelle.

    Recommandation — Compléter immédiatement la rédaction et la publication d'une politique de confidentialité conforme à la Loi 25 du Québec. La page ne doit pas rester en construction alors que le site collecte des données personnelles via des cookies et des formulaires potentiels.

  • RPRP (responsable de la protection) identifié

    Aucun responsable de la protection des renseignements personnels (RPRP) n'est nommé dans la politique de confidentialité. Seules les coordonnées générales de l'entreprise (téléphone et courriel du bureau) sont disponibles sur le site.

    Recommandation — Désigner formellement un responsable de la protection des renseignements personnels et le nommer explicitement dans la politique de confidentialité, conformément aux exigences de la Loi 25.

  • Coordonnées du RPRP fournies

    Bien que des coordonnées générales d'entreprise soient fournies (téléphone : 819-825-3702, courriel : bureau@corriveaujl.com), aucune coordonnée spécifique n'est associée à un RPRP désigné. La politique de confidentialité ne précise pas qui contacter concernant les questions de protection des renseignements personnels.

    Recommandation — Ajouter à la politique de confidentialité les coordonnées spécifiques du RPRP (ou une adresse courriel dédiée si le RPRP est l'une des personnes existantes) pour faciliter les demandes des utilisateurs concernant leurs droits en matière de confidentialité.

  • Types de renseignements personnels décrits

    La politique de confidentialité affichée est incomplète (« En construction »). Bien qu'une déclaration de cookies détaillée soit présente sur le site (listant cookies essentiels, analytics, marketing), la politique ne décrit pas de manière précise et systématique les types de renseignements personnels collectés (nom, adresse courriel, numéro de téléphone, adresse physique, données de navigation, etc.).

    Recommandation — Rédiger une section complète et détaillée décrivant tous les types de renseignements personnels collectés sur le site, y compris les données de navigation, les informations saisies dans les formulaires (si applicables), et celles collectées via les cookies et traceurs.

  • Finalités de la collecte indiquées

    La politique de confidentialité est incomplète. Bien que la déclaration de cookies indique certains usages (e.g., « analyse statistique », « suivi des appareils et des canaux de marketing »), la politique ne précise pas systématiquement la finalité de chaque type de collecte de données, ni le fondement juridique (consentement, obligation légale, intérêt légitime, etc.) selon les exigences de la Loi 25.

    Recommandation — Ajouter une section spécifique énumérant chaque type de données collectées avec sa finalité correspondante et le fondement juridique applicable selon la Loi 25 du Québec.

  • Durées de conservation précisées

    La politique de confidentialité est incomplète. Bien que la déclaration de cookies mentionne certaines durées de conservation (e.g., « 2 ans » pour _sp_id, « 1 jour » pour dm_this_page_view), la politique elle-même ne spécifie pas les durées de conservation ou les critères permettant de déterminer quand les données seront supprimées.

    Recommandation — Ajouter à la politique de confidentialité une section précisant la durée de conservation de chaque catégorie de données personnelles, ou les critères utilisés pour déterminer cette durée (e.g., « jusqu'à la fin de la relation commerciale », « pendant 7 ans pour conformité légale »).

  • Partage avec des tiers divulgué

    La politique de confidentialité est incomplète. Le texte fragmenté de la politique ne mentionne pas le partage de données avec des tiers. Cependant, plusieurs traceurs tiers sont présents (Google Analytics, Snowplow, Cookiebot, Amazon, etc.), indiquant que des données sont partagées avec ces fournisseurs sans que cela soit clairement divulgué dans la politique.

    Recommandation — Ajouter une section complète décrivant tous les tiers avec lesquels les données personnelles sont partagées (fournisseurs de services, partenaires de marketing, plateformes d'analyse), en précisant les catégories de données transmises et les finalités.

  • Droits des utilisateurs expliqués avec procédure

    La politique de confidentialité n'explique pas les droits des utilisateurs (droit d'accès, de rectification, de suppression, de consentement, de refus du profilage, etc.). Aucune procédure claire n'est fournie pour exercer ces droits. La politique reste incomplète avec le simple message « En construction ».

    Recommandation — Rédiger une section détaillée expliquant les droits des personnes selon la Loi 25 du Québec (accès, rectification, suppression, droit à l'oubli, droit de s'opposer au profilage) et fournir une procédure claire et accessible pour les exercer (formulaire en ligne, adresse courriel du RPRP, délai de réponse, etc.).

Une politique de confidentialité conforme

Notre guide vous montre, point par point, ce que doit contenir une politique conforme à la Loi 25 et comment la rédiger.

Formulaires de collecte

  • N/A

    Case de consentement sur les formulaires

    Aucun formulaire détecté sur le site.

  • N/A

    Case de consentement non pré-cochée

    Aucun formulaire détecté sur le site.

  • N/A

    Finalité de la collecte indiquée au point de collecte

    Aucun formulaire détecté sur le site.

  • N/A

    Lien vers la politique près de chaque formulaire

    Aucun formulaire détecté sur le site.

  • N/A

    Formulaire soumis via HTTPS

    Aucun formulaire détecté sur le site.

Maîtrisez le consentement explicite

Bannière, formulaires, double opt-in : voyez comment recueillir un consentement valide selon la Loi 25.

Traceurs et transferts

  • Aucun traceur chargé avant consentement

    Google Tag Manager (www.googletagmanager.com) a été chargé avant toute interaction de consentement. Le site a établi une connexion avec ce service de suivi analytique sans attendre la réponse de l'utilisateur au banneau de consentement.

    Recommandation — Retarder l'exécution de Google Tag Manager jusqu'à après l'obtention du consentement explicite de l'utilisateur. Utiliser une stratégie de consentement zéro-trust où tous les traceurs non essentiels demeurent bloqués par défaut.

  • Nombre raisonnable de scripts tiers (≤10)

    Le site charge 8 domaines tiers non essentiels (www.googletagmanager.com, consent.cookiebot.com, consentcdn.cookiebot.com, rtc.multiscreensite.com, use.fontawesome.com, assets2.lottiefiles.com, static.cdn-website.com pour scripts, irp-cdn.multiscreensite.com). Ce nombre se situe sous le seuil de 10.

  • Transferts transfrontaliers divulgués

    La politique de confidentialité est incomplète (« En construction »). Bien que plusieurs traceurs américains soient actifs (Google Analytics, Amazon, Google Tag Manager), la politique ne divulgue aucun transfert transfrontalier de données ni n'indique où les données sont stockées ou traitées.

    Recommandation — Ajouter une section spécifiant si les données personnelles sont transférées à l'extérieur du Québec ou du Canada, notamment vers les États-Unis, et préciser les garanties de protection mises en place conformément à la Loi 25.

  • Pixels marketing chargés après consentement seulement

    Bien que Google Tag Manager soit techniquement un service analytique, il fonctionne souvent comme outil de remarketing et de suivi publicitaire. Sa présence sans consentement explicite constitue une violation potentielle. Le site ne montre aucune déclaration de pixels de remarketing Facebook ou LinkedIn détectables au niveau des domaines, mais le risque reste présent via GTM.

    Recommandation — Obtenir le consentement explicite avant de charger Google Tag Manager. Vérifier la configuration de GTM pour s'assurer qu'aucun pixel Facebook, Google Ads ou LinkedIn n'est déclenché sans consentement préalable.

Désignez votre responsable de la protection

Toute entreprise doit nommer un responsable des renseignements personnels. Voici comment le désigner et l'outiller.

Sécurité

  • HTTPS forcé avec redirection et en-tête HSTS

    L'en-tête HTTP « strict-transport-security » est présent avec la valeur « max-age=31536000; preload », ce qui signifie que le site impose HTTPS avec redirection et activation du préchargement HSTS. Le site utilise correctement le protocole sécurisé.

  • Cookies avec attributs Secure et HttpOnly

    Les cookies analysés ne disposent pas de l'attribut « Secure » (secure: false pour tous). De plus, l'attribut « httpOnly » est absent pour tous les cookies, ce qui signifie qu'ils sont accessibles via JavaScript. Cela crée un risque de vol de cookies par attaque XSS (Cross-Site Scripting).

    Recommandation — Configurer tous les cookies sensibles avec les attributs « Secure » (transmission uniquement en HTTPS) et « httpOnly » (inaccessible à JavaScript), sauf si une justification technique spécifique existe (par exemple, pour certains traceurs tiers qui nécessitent l'accès JavaScript). Cela améliore la sécurité des données utilisateur.

  • En-tête Content-Security-Policy présent

    Un en-tête Content-Security-Policy est présent avec la valeur « frame-ancestors 'self' », ce qui restreint l'affichage du site dans une iframe à son propre domaine. Cet en-tête contribue à la protection contre les attaques par détournement de clic et par cadrage malveillant.

Besoin d'aide pour vous conformer?

Discutons de votre situation. Notre équipe vous oriente vers les bonnes étapes pour devenir conforme rapidement.