Vérificateur de conformité Loi 25

1. Avez-vous une politique de confidentialité publiée sur votre site web?

Oui Non

⚠️ Obligatoire depuis sept. 2023. Doit inclure les finalités de collecte, droits des personnes et coordonnées du responsable.

2. Avez-vous un bandeau de consentement aux cookies (cookie banner) sur votre site?

Oui Non

⚠️ Requis si vous utilisez des cookies non essentiels (Google Analytics, Meta Pixel, etc.). Le consentement doit être obtenu avant le dépôt des cookies.

3. Avez-vous désigné un responsable de la protection des renseignements personnels (RPP)?

Oui Non

⚠️ Obligation légale. Le nom et les coordonnées du RPP doivent être publiés sur le site. Pour les PME, c’est souvent le propriétaire.

4. Avez-vous configuré l’anonymisation des adresses IP dans Google Analytics (GA4)?

Oui Non

⚠️ GA4 anonymise les IP par défaut, mais certaines configurations de Google Tag Manager peuvent réintroduire des données identifiantes. À vérifier.

5. Avez-vous signé des ententes de traitement de données avec vos fournisseurs (Google, Meta, etc.)?

Oui Non

⚠️ Requis si des tiers traitent des renseignements personnels pour votre compte. Google et Meta offrent ces ententes dans leurs paramètres.

6. Vos formulaires de contact collectent-ils uniquement les données nécessaires (principe de minimisation)?

Oui Non

⚠️ Ne collectez que les données strictement nécessaires à la finalité déclarée. Évitez les champs superflus (ex: date de naissance pour une soumission).

7. Avez-vous un processus documenté pour répondre aux demandes d’accès ou de suppression?

Oui Non

⚠️ Vous avez 30 jours pour répondre aux demandes. Documentez votre processus même s’il est simple : un email template suffit pour les PME.

8. Avez-vous un plan de gestion des incidents (bris de confidentialité)?

Oui Non

⚠️ Tout incident sérieux doit être déclaré à la Commission d’accès à l’information dans les 72h. Un plan simple suffit pour une PME.

9. Savez-vous où sont stockées les données personnelles de vos clients (pays/région)?

Oui Non

⚠️ La communication hors Québec exige une évaluation des facteurs relatifs à la vie privée (ÉFVP) si le niveau de protection est insuffisant.

10. Avez-vous une politique de conservation et destruction des données personnelles?

Oui Non

⚠️ Les données ne doivent pas être conservées plus longtemps que nécessaire. Définissez une durée par type de donnée et un processus de destruction sécuritaire.