Politique de confidentialité – Projet Loi 25

La présente politique de confidentialité décrit comment les renseignements personnels sont recueillis, utilisés, conservés et protégés dans le cadre de l'utilisation du site loi25.certi360.com, ci-après désigné le Projet Loi 25.

Le Projet Loi 25 est un outil technique expérimental, distinct du site principal www.certi360.com, dont l'activité consiste à analyser, à des fins informatives et techniques, des éléments publiquement observables d'un site web fourni par l'utilisateur, notamment en lien avec les obligations de transparence prévues par la Loi 25.

1. Responsable de la protection des renseignements personnels

Responsable : Patrick Boucher
Adresse : 4593 Autoroute 440 O, Laval (Québec) H7P 0J7
Courriel : rp@certi360.com

Le Responsable peut être contacté pour toute question relative à la présente politique ou pour exercer les droits prévus par la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25).

2. Nature et limites du Projet Loi 25

Le Projet Loi 25 analyse exclusivement des informations accessibles publiquement sur Internet à partir d'un nom de domaine ou d'une URL soumis volontairement par l'utilisateur, lequel déclare et assume être autorisé à soumettre ce domaine pour analyse.

L'outil n'effectue aucune analyse intrusive, ne tente pas de contourner des contrôles d'accès et ne permet pas d'évaluer les processus internes, la gouvernance, les mesures organisationnelles ou contractuelles d'une organisation.

Les résultats produits sont techniques, indicatifs, contextuels et non exhaustifs. Ils ne constituent ni un avis juridique, ni une certification, ni une attestation de conformité à la Loi 25.

3. Renseignements personnels recueillis

La collecte des renseignements personnels repose sur le consentement implicite de l'utilisateur lors de l'utilisation du service, ou sur d'autres fondements permis par la loi lorsque requis.

Dans le cadre de l'utilisation du Projet Loi 25, les renseignements suivants peuvent être recueillis :

• Adresse IP de l'utilisateur
• Type de navigateur (User-Agent)
• Nom de domaine ou URL soumis pour analyse
• Résultats détaillés des analyses effectuées
• Métadonnées associées aux scans (identifiant de scan, date et heure de création, début et fin)
• Liste des modules d'analyse exécutés

Lors de la soumission volontaire de commentaires ou suggestions, les renseignements suivants peuvent être recueillis :

• Adresse courriel (facultative)
• Message soumis par l'utilisateur

Aucun compte utilisateur n'est créé pour accéder au service.

4. Moyens de collecte

Les renseignements sont recueillis :

• Lors de la soumission volontaire d'un domaine ou d'une URL par l'utilisateur
• Par les en-têtes HTTP et journaux techniques générés automatiquement par le serveur
• Par le formulaire de rétroaction du site, lorsque utilisé

5. Témoins et stockage local

Le Projet Loi 25 utilise uniquement des mécanismes techniques essentiels au fonctionnement et à la sécurité du service.

Un témoin de sécurité est utilisé :

• X-CSRF-Token : témoin de protection contre les attaques de type CSRF, d'une durée maximale d'une heure, ne contenant aucun renseignement personnel identifiable.

Des données peuvent être stockées localement dans le navigateur de l'utilisateur (localStorage) afin d'améliorer l'expérience d'utilisation :

• Préférences de sélection des tests
• État d'affichage de la barre de progression

Ces données demeurent exclusivement sur l'appareil de l'utilisateur et ne sont jamais transmises au serveur.

6. Cookies et technologies similaires

Le Projet Loi 25 n'utilise pas de cookies dans l'exécution de la page web et de l'outil loi25.certi360.com à des fins de suivi, de publicité, de marketing ou d'analyse comportementale.

Le seul mécanisme de témoin (cookie) utilisé est un témoin technique de sécurité strictement nécessaire au fonctionnement sécurisé du service :

• X-CSRF-Token : témoin de protection contre les attaques de type CSRF (Cross-Site Request Forgery), utilisé uniquement pour sécuriser les requêtes soumises par l'utilisateur. Ce témoin ne contient aucun renseignement personnel identifiable et expire automatiquement après une heure d'inactivité.

Aucun autre type de cookie n'est utilisé, notamment :

• Aucun cookie de suivi ou de traçage
• Aucun cookie publicitaire
• Aucun cookie de marketing
• Aucun cookie d'analyse comportementale
• Aucun cookie de réseaux sociaux
• Aucun cookie de partage de contenu

Le service n'utilise pas de technologies similaires aux cookies (tels que les pixels de suivi, les balises web, les fingerprinting de navigateur) à des fins de suivi ou de profilage des utilisateurs.

Les seules données stockées localement sont conservées dans le localStorage du navigateur (préférences d'interface utilisateur) et ne sont jamais transmises au serveur. Ces données peuvent être supprimées à tout moment par l'utilisateur via les paramètres de son navigateur.

7. Finalités de la collecte

Les renseignements recueillis sont utilisés exclusivement pour :

• Exécuter les analyses demandées par l'utilisateur
• Appliquer des mécanismes de limitation du nombre de scans par adresse IP
• Assurer la sécurité, la stabilité et l'intégrité du service
• Produire des statistiques techniques et du monitoring
• Détecter et prévenir les abus
• Répondre à des obligations légales applicables

Aucune information n'est utilisée à des fins de marketing, de profilage ou de publicité.

8. Conservation des renseignements

Les données associées aux scans sont conservées pour des durées limitées :

• Scans standards : conservation maximale de 30 jours, suivie d'une suppression automatique
• Scans accessibles via un lien de partage : conservation maximale de 30 jours. Ces liens reposent sur un identifiant unique de scan et sont considérés comme secrets par URL. Ils ne sont pas indexés publiquement et ne sont accessibles qu'aux personnes disposant du lien.

Les journaux techniques sont conservés pour la durée nécessaire à la sécurité, au diagnostic et à l'exploitation du service.

9. Sous-traitance et services infonuagiques

Le Projet Loi 25 utilise des services infonuagiques tiers strictement à des fins d'hébergement et de journalisation technique, notamment des fournisseurs d'infrastructure et de journalisation.

Ces fournisseurs peuvent traiter certains renseignements personnels, tels que des adresses IP et des journaux techniques, uniquement dans la mesure nécessaire à la prestation de leurs services.

Le Projet Loi 25 ne permet pas à ces fournisseurs d'utiliser les renseignements à des fins propres, commerciales ou publicitaires.

10. Transferts de renseignements personnels hors Québec

Certains renseignements personnels peuvent être transférés, hébergés ou traités à l'extérieur du Québec, dans le cadre de l'utilisation de services infonuagiques essentiels au fonctionnement du Projet Loi 25.

Nature des transferts et localisation :

• Journaux d'événements et de suivi de sécurité (hébergés aux États-Unis) : Ces données, qui incluent les adresses IP, les requêtes HTTP, les métadonnées de navigation et les journaux techniques, sont actuellement hébergées sur une plateforme de journalisation située aux États-Unis. Ces transferts sont effectués exclusivement à des fins de monitoring, de sécurité, de diagnostic technique et de prévention des abus.
• Courriels (hébergés dans la Zone européenne) : Les courriels reçus via le formulaire de contact ou de suggestions sont hébergés sur une plateforme de messagerie située dans la Zone européenne. Ces données incluent l'adresse courriel de l'expéditeur (si fournie) et le contenu du message soumis volontairement par l'utilisateur.

Pays et régions concernés :

• États-Unis d'Amérique (journaux techniques)
• Zone européenne / Union européenne (courriels)

Fondement juridique et garanties :

Les transferts hors Québec sont effectués dans le respect des exigences de la Loi 25, notamment :

• Les données transférées sont limitées au strict nécessaire pour assurer la sécurité et le fonctionnement du service
• Les fournisseurs de services sont contractuellement tenus de protéger les renseignements conformément aux normes de sécurité applicables
• Les données ne sont pas utilisées à des fins commerciales, publicitaires ou de profilage par les fournisseurs
• Des mesures de sécurité techniques et organisationnelles sont en place (chiffrement en transit et au repos, contrôles d'accès stricts, journalisation des accès)

Droits et recours :

Toute personne dont les renseignements personnels sont transférés hors Québec conserve l'ensemble des droits prévus par la Loi 25, notamment le droit d'accès, de rectification et de retrait du consentement, le cas échéant.

Pour toute question concernant les transferts hors Québec ou pour exercer vos droits, veuillez contacter le Responsable de la protection des renseignements personnels à l'adresse : rp@certi360.com.

11. Accès aux renseignements

Les renseignements personnels ne sont communiqués à aucun tiers à des fins commerciales ou publicitaires.

L'accès aux données est strictement limité au Responsable de la protection des renseignements personnels.

12. Partage avec des tiers

Le Projet Loi 25 ne partage pas les renseignements personnels avec des tiers à des fins commerciales, publicitaires ou de marketing.

Les données recueillies sont stockées exclusivement sur les systèmes du Projet Loi 25 et dans les journaux d'événements techniques, uniquement aux fins suivantes :

• Assurer la sécurité et l'intégrité du service
• Détecter et prévenir les abus, les attaques ou les utilisations frauduleuses
• Maintenir la stabilité technique et la disponibilité du service
• Effectuer le diagnostic et la résolution de problèmes techniques

Les seules situations où des renseignements peuvent être communiqués à des tiers sont :

• Lorsque requis par la loi ou une ordonnance judiciaire
• Aux fournisseurs d'infrastructure technique (hébergement, journalisation) qui traitent les données uniquement pour la prestation de leurs services, conformément aux sections 9 et 10

Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.

13. Mineurs et personnes vulnérables

Le Projet Loi 25 est un site d'information technique accessible au grand public. Il ne vise pas spécifiquement les mineurs et ne collecte pas d'informations permettant d'identifier l'âge des utilisateurs.

Le service ne nécessite pas de création de compte et ne demande pas de renseignements permettant d'identifier directement un mineur. Les seules données collectées sont techniques (adresse IP, type de navigateur) et ne permettent pas de déterminer si l'utilisateur est mineur ou non.

Si un mineur utilise le service, les mêmes protections et mesures de sécurité s'appliquent à ses données. Les parents ou tuteurs peuvent exercer les droits prévus par la Loi 25 au nom d'un mineur en contactant le Responsable de la protection des renseignements personnels.

Le Projet Loi 25 ne cible pas spécifiquement les personnes vulnérables et n'utilise pas de techniques de manipulation ou de persuasion pour inciter à l'utilisation du service.

14. Décisions automatisées et profilage

Le Projet Loi 25 est un site d'information technique qui fournit des analyses automatisées de sites web. Ces analyses sont purement techniques et informatives.

Aucune décision automatisée produisant des effets juridiques ou significatifs n'est prise à partir des renseignements personnels collectés. Le service ne prend pas de décisions concernant les utilisateurs, leurs droits, leurs obligations ou leur situation personnelle.

Aucun profilage n'est effectué. Le Projet Loi 25 n'analyse pas le comportement des utilisateurs, ne crée pas de profils individuels et n'utilise pas les données collectées pour évaluer, prédire ou influencer les caractéristiques, préférences ou comportements d'une personne.

Les seules utilisations automatisées des données sont :

• L'exécution technique des analyses demandées par l'utilisateur
• L'application de mécanismes de limitation du nombre de scans par adresse IP (rate limiting) pour préserver la stabilité du service
• La détection automatique d'abus ou d'activités suspectes pour la sécurité du service

Ces mécanismes techniques ne produisent aucun effet sur les droits ou la situation personnelle des utilisateurs.

15. Vos droits (Loi 25)

Conformément à la Loi 25, toute personne peut :

• Demander l'accès aux renseignements personnels la concernant
• Demander la rectification de renseignements inexacts
• Demander la suppression ou la cessation de diffusion lorsque prévu par la loi

Toute demande doit être transmise par courriel à : rp@certi360.com.

16. Mesures de sécurité

Des mesures de sécurité raisonnables sont mises en place afin de protéger les renseignements, incluant notamment :

• Des contrôles d'accès restreints
• La journalisation et la surveillance des accès
• Des mécanismes de limitation de débit et de détection d'abus
• Des mesures de sécurité applicatives et serveur

17. Incidents de confidentialité

En cas d'incident de confidentialité impliquant des renseignements personnels, des mesures seront prises afin de limiter les impacts, d'assurer la traçabilité des événements et de respecter les obligations de notification prévues par la Loi 25, le cas échéant.

18. Modifications à la politique

La présente politique peut être modifiée afin de refléter l'évolution du Projet Loi 25, de ses fonctionnalités ou des obligations légales applicables.

La version la plus récente est toujours publiée sur le site loi25.certi360.com.