Rapport de conformité Loi 25

Une bannière de consentement relative aux cookies est clairement visible en bas à droite de la page. Elle affiche le titre « Politique relative aux cookies » et contient un message explicatif « Ce site Web utilise les cookies. En continuant d'utiliser ce site, vous acceptez notre utilisation des cookies. »

Plusieurs traceurs non essentiels ont été chargés avant le consentement : Google reCAPTCHA (www.google.com, www.gstatic.com) charge des ressources de suivi sans consentement explicite. Le domaine csp.secureserver.net effectue des requêtes fetch potentiellement liées au suivi du consentement lui-même.

Recommandation — Implémenter un gestionnaire de consentement qui bloque les ressources Google reCAPTCHA et les appels API externes tant que l'utilisateur n'a pas donné son consentement, ou utiliser une alternative sans traceurs pour la vérification reCAPTCHA.

La bannière n'affiche que deux boutons : « REFUSER » et « ACCEPTER ET FERMER ». Aucun bouton « Personnaliser » ou « Gérer mes préférences » n'est visible qui permettrait à l'utilisateur d'accéder à des choix granulaires ou à la gestion détaillée des catégories de consentement.

Recommandation — Ajouter un bouton « Personnaliser » ou « Gérer mes préférences » qui donne accès à une interface permettant l'utilisateur de consentir ou de refuser chaque catégorie de cookies de manière granulaire (analytiques, marketing, cookies tiers, etc.). Ceci est exigé par la Loi 25 du Québec pour offrir un contrôle granulaire des consentements.

Les deux boutons « REFUSER » et « ACCEPTER ET FERMER » sont présentés côte à côte avec une taille similaire et un contraste comparable. Aucun des deux boutons n'est visuellement dominé ou relégué au second plan.

Le refus du consentement ne bloquerait pas tous les traceurs non essentiels. Google reCAPTCHA (www.google.com, www.gstatic.com) s'exécute sans mécanisme de consentement visible, et il n'existe aucune preuve de scripts de gestion du consentement qui interrompent le chargement de ces ressources selon la sélection de l'utilisateur.

Recommandation — Ajouter une logique de consentement qui empêche le chargement des scripts Google reCAPTCHA tant que le consentement n'est pas accordé, ou implémenter une solution de captcha respectueuse de la vie privée sans dépendances externes de suivi.

Aucun lien de gestion des cookies n’a été trouvé sur le site.

Recommandation — Ajouter un lien « Gestion des cookies » ou « Paramètres des cookies » dans le pied de page permettant aux utilisateurs de modifier leurs préférences de consentement après avoir fermé la bannière.

Bien que la bannière titre « Politique relative aux cookies » soit présente, aucun lien hypertexte cliquable vers une politique de confidentialité ou de cookies détaillée n'est visible dans ou immédiatement près de la bannière. Le titre semble être un simple label informatif sans fonction de lien.

Recommandation — Ajouter un lien hypertexte explicite (par exemple « Lire notre politique de cookies » ou « Politique complète ») dans ou près de la bannière qui conduit vers une page détaillée expliquant l'utilisation des cookies, les catégories, les partenaires tiers, et les droits de l'utilisateur. Ceci est requis par la Loi 25.

La bannière ne bloque pas l'accès au contenu principal de la page. Le titre « BIENVENUE CHEZ XTI CONSEILS INC. » et le reste de la page restent accessibles en arrière-plan. L'utilisateur n'est pas forcé à accepter ou refuser avant de pouvoir accéder au site.

Une page de politique de confidentialité existe et est facilement accessible sur le site. Le document complet est présent avec un titre explicite « Politique de confidentialité / Protection des renseignements ».

Un responsable de la protection des renseignements personnels est nommé dans le document : Marc Ashton.

Les coordonnées complètes du responsable sont fournies : adresse courriel (info.vieprivee@xticonseils.com) et numéro de téléphone avec extension (514-360-1751 #101). Un numéro de service à la clientèle générique est aussi fourni (514-360-1751).

La politique décrit précisément les types de renseignements collectés : nom, nom de l'entreprise, adresse, numéro de téléphone, adresse courriel et informations financières requises pour les paiements préautorisés.

Les finalités de la collecte sont clairement énumérées : identification et exactitude des informations, transmission d'informations sur les produits et services, livraison des services requis, conformité aux lois et règlements, et vérification d'informations auprès d'autres organismes.

La politique de confidentialité ne précise pas les durées de conservation des renseignements personnels ni les critères qui déterminent la durée de conservation. Il est seulement mentionné que les dossiers sont conservés sans indication de durée.

Recommandation — Ajouter à la politique de confidentialité une section détaillée précisant les durées de conservation pour chaque catégorie de renseignements personnels, ou les critères utilisés pour déterminer quand les données seront supprimées ou archivées.

Le partage avec des tiers est divulgué. La politique indique que les renseignements peuvent être transmis à des mandataires responsables de livrer les services, aux fournisseurs de services (avec restrictions contractuelles), et à des tiers si la loi l'exige (exemple : Agence du revenu du Canada pour des fins fiscales).

Les droits des utilisateurs sont expliqués clairement. La politique indique le droit de consulter les renseignements personnels, de vérifier leur exactitude et de demander des corrections par écrit. Une procédure claire est fournie : contacter l'entreprise par les moyens indiqués, puis le responsable de la protection des renseignements personnels, puis le Commissariat à la protection de la vie privée du Québec si nécessaire.

Le formulaire de contact présent sur le site ne contient pas de case de consentement explicite pour la collecte et l'utilisation des renseignements personnels. Seuls des champs de saisie (nom, courriel, message) et un bouton d'envoi sont présents, sans demande de consentement.

Recommandation — Ajouter une case à cocher obligatoire où l'utilisateur doit consentir à la collecte et à l'utilisation de ses renseignements personnels avant de soumettre le formulaire. Cette case doit inclure un lien vers la politique de confidentialité.

Comme aucune case de consentement n'est présente sur le formulaire de contact, il est impossible d'évaluer son état initial. Cependant, il ne peut pas être pré-coché puisqu'il n'existe pas.

Recommandation — Ajouter une case de consentement non pré-cochée (décochez par défaut) pour que l'utilisateur la sélectionne volontairement avant de soumettre le formulaire.

La finalité de la collecte des données via le formulaire de contact n'est pas indiquée au point de collecte. Aucun texte explicatif n'indique à quoi les données seront utilisées (exemple : « Vos informations seront utilisées pour répondre à votre demande »).

Recommandation — Ajouter du texte explicatif près du formulaire de contact qui décrit clairement la finalité de la collecte des renseignements (par exemple : « Vos informations seront utilisées uniquement pour répondre à votre demande de contact et améliorer notre service »).

Aucun lien vers la politique de confidentialité n'est présent à proximité du formulaire de contact. Le formulaire de contact n'inclut qu'une mention de reCAPTCHA de Google sans référence à la politique de confidentialité de l'entreprise.

Recommandation — Ajouter un lien visible vers la politique de confidentialité directement dans ou à proximité immédiate du formulaire de contact, idéalement près du bouton d'envoi ou de la case de consentement.

Le site utilise HTTPS pour toutes les connexions. L'analyse des en-têtes HTTP confirme l'utilisation de HTTPS et l'en-tête Strict-Transport-Security est présent avec une valeur appropriée.

Des traceurs ont été chargés sans aucune interaction préalable de l'utilisateur : Google reCAPTCHA et ses ressources associées (www.google.com, www.gstatic.com, csp.secureserver.net) sont présents dès le chargement initial de la page.

Recommandation — Différer le chargement des scripts tiers non essentiels jusqu'à ce que l'utilisateur interagisse explicitement avec le banneau de consentement ou jusqu'à ce que le consentement soit donné.

Le site contient 6 domaines tiers non essentiels identifiés : csp.secureserver.net, contact.apps-api.instantpage.secureserver.net, www.google.com, www.gstatic.com et fonts.gstatic.com. Ce nombre reste en dessous ou égal au seuil de 10 scripts tiers.

La politique de confidentialité divulgue explicitement où les renseignements personnels sont stockés : « Votre dossier est conservé, sur support électronique, dans les centres de données Canadiens de Microsoft. » Cela couvre le stockage dans le secteur privé canadien.

Des pixels ou traceurs marketing potentiels sont détectés. Google reCAPTCHA, bien que techniquement un service de sécurité, recueille des données de comportement de l'utilisateur à des fins de Google. Ces ressources sont chargées sans consentement explicite pour des fins de marketing ou d'analyse.

Recommandation — Documenter clairement dans la politique de confidentialité que Google reCAPTCHA est utilisé et ses implications en matière de collecte de données. Envisager une alternative plus respectueuse de la vie privée ou mettre en place un consentement explicite avant de charger reCAPTCHA.

HTTPS est imposé et l'en-tête Strict-Transport-Security est présent avec la valeur « max-age=63072000; includeSubDomains; preload », ce qui force les navigateurs à utiliser HTTPS pour les futures connexions.

Plusieurs cookies ne possèdent pas l'attribut HttpOnly : « _tccl_visitor », « _tccl_visit », et « _scc_session ». Ces cookies sont marqués avec « httpOnly: false », ce qui signifie qu'ils sont accessibles au JavaScript. Seul « dps_site_id » ne peut pas être examiné facilement, mais trois autres cookies de suivi critiques manquent de cette protection de sécurité.

Recommandation — Configurer les cookies de suivi (_tccl_visitor, _tccl_visit, _scc_session) avec l'attribut HttpOnly=true pour les protéger contre les attaques par injection JavaScript. Cela empêchera l'accès à ces données sensibles via JavaScript malveillant.

Un en-tête Content-Security-Policy est présent : « frame-ancestors 'self' godaddy.com *.godaddy.com dev-godaddy.com *.dev-godaddy.com test-godaddy.com *.test-godaddy.com ». Cet en-tête restreint les cadres d'origine pour prévenir les attaques de type clickjacking.