Comment vérifier si votre site Internet est conforme à la loi 25?
Voici comment vous assurer de la conformité de votre site Internet à la loi 25 (protection des renseignements personnels).
La loi 25 réglemente tous les aspects en lien avec les renseignements personnels que vous collectez de vos employés, clients, visiteurs. En tant qu’agence web, nous allons vous aider à valider que votre site web est conforme. C’est aussi le seul aspect qui est publiquement visible et facilement vérifiable. En plus de répondre aux exigences légales, un site conforme renforce la confiance des utilisateurs et démontre votre engagement envers la protection des renseignements personnels.
Il y a 2 éléments principaux à valider;
- Consentement à la collecte de donnée;
- Politique de confidentialité;
Consentement à la collecte de donnée;
Normalement un site Internet standard comprend 2 catégories d’éléments qui collectent des données dont nous devons obtenir le consentement.
Les formulaires:
La plupart des formulaires collectent normalement des données que le visiteur entre lui-même;
- Postulation
- Demande de contact
- Demande de soumission
- Commande
- etc.
Les cookies:
Pour ne nommer que les plus populaires:
- Google Analytics 4 (_ga, gat, gid, gac, ga<property-id>)
- Facebook Pixel (_fbp)
- Google Ads (gclau, IDE)
- X (Twitter) Pixel (personalization_id)
- LinkedIn Insight Tag (lidc, bcookie)
- HubSpot Tracking Code (hubspotutk, hssc, hssrc)
- Hotjar (_hjIncludedInSample, hjSessionUser, hjSession)
- Adobe Analytics (s_vi, s_fid, AMCV_)
- Crazy Egg (ceg.s, ceg.u)
- Bing Ads (Microsoft Advertising) (MUID, MSID, SRM_B)
Pour valider la conformité de vos formulaires:
- Répertoriez l’ensemble des formulaires sur votre site Internet
- Faite une référence à votre politique de confidentialité qui traite normalement de tous les aspects en lien avec les données collectées.
- Assurez-vous que pour chacun des formulaires, vous obteniez le consentement de l’utilisateur quant à l’utilisation des données soumises.
Pour valider la conformité des données collectées par les cookies:
- Installer une extension dans votre navigateur pour valider les cookies créés par votre site Internet
(Tous les outils en ligne de test que j’ai essayé ne fonctionnent pas bien, car la majorité des cookies qui collectent de l’information, sont générés par un script “JavaScript” qui s’exécute à partir du navigateur. Les outils en ligne ne détectent donc pas les cookies créés par le JavaScript.)Je recommande:
Cookie-Editor
https://cookie-editor.com/
Il est simple à utiliser, efficace et on peut facilement tester un site et est disponible pour tous les navigateurs. - Vérifier les cookies créés
Au Québec, on doit être “opt-in”, c’est-à-dire qu’il ne faut pas collecter d’information sans le consentement explicite. Donc la première fois que vous visitez un site internet, il devrait y avoir seulement les cookies essentiels.- Avec Cookie-Editor, aller sur le site Internet que vous désirez tester
- Supprimer tous les cookies du site
- Rafraichissez la page et promenez-vous sur 2-3 pages.
- Regarder la liste des cookies créés.
- Il ne devrait y avoir aucun de ces cookies:
_ga
_gat
_gid
gac
ga*
_fbp
gclau
IDE
personalization_id
lidc
bcookie
hubspotutk
__hssc
__hssrc
_hjIncludedInSample
_hjSessionUser
_hjSession
s_vi
s_fid
AMCV_
ceg.s
ceg.u
MUID
MSID
SRM_B - Si c’est le cas, que vous ayez une bannière ou non, vous n’êtes PAS conforme.
- S’il y a d’autres cookies, je vous invite à regarder avec un site comme https://cookiesearch.org/ pour voir s’il s’agit de cookie qui collecte des données ou s’ils sont essentiels.
- Une fois le consentement accordé, la liste des cookies doit refléter votre choix dans la bannière de cookie (marketing, analytique, préférences, etc.).
- L’idéal est d’adapter ce fonctionnement en fonction de la provenance de vos visiteurs. Cependant, en respectant la réglementation du Québec (opt-in), vous êtes automatiquement conforme à plusieurs autres juridictions. Cela dit, cette approche pourrait ne pas être optimale, car la réglementation québécoise limite les données que vous collectez.
Politique de confidentialité;
Voici une liste des éléments qui doivent s’y trouver. Je vous suggère de faire un tableau avec cette liste et d’indiquer pour chacun des éléments si c’est présent et dans quel paragraphe.
- Collecte des renseignements personnels : Préciser les types de données collectées, les finalités de la collecte, et obtenir un consentement éclairé.
- Utilisation des données : Détailler les usages spécifiques des renseignements recueillis.
- Accès et rectification : Mentionner les droits des utilisateurs à l’accès, la rectification et la suppression de leurs données.
- Transfert à des tiers : Indiquer si et comment les données sont partagées avec des partenaires ou fournisseurs.
- Sécurité des données : Expliquer les mesures de protection des données contre les accès non autorisés ou les fuites.
- Droit de retrait : Informer les utilisateurs de leur droit de retirer leur consentement à tout moment.
- Portabilité des données : Prévoir la possibilité pour les utilisateurs de récupérer leurs informations dans un format électronique.
- Durée de conservation : Spécifier la durée pendant laquelle les données seront conservées et les critères utilisés pour déterminer cette durée.
- Gestion des incidents : Décrire les procédures en cas de violation de données, y compris les obligations de notification aux utilisateurs et à la Commission d’accès à l’information (CAI).
- Responsabilité du responsable de la protection des renseignements personnels (RPRP) : Désigner et fournir les coordonnées du responsable de la protection des données.
Si vous avez besoin d’aide ou si vous avez des questions, n’hésitez pas à nous contacter!