Politique de confidentialité – Projet Loi 25

La présente politique de confidentialité décrit comment les renseignements personnels sont recueillis, utilisés, conservés et protégés dans le cadre de l'utilisation du site loi25.certi360.com, ci-après désigné le Projet Loi 25.

Le Projet Loi 25 est un outil technique expérimental, distinct du site principal www.certi360.com, dont l'activité consiste à analyser, à des fins informatives et techniques, des éléments publiquement observables d'un site web fourni par l'utilisateur, notamment en lien avec les obligations de transparence prévues par la Loi 25.

1. Responsable de la protection des renseignements personnels

Responsable : Patrick Boucher
Adresse : 4593 Autoroute 440 O, Laval (Québec) H7P 0J7
Courriel : rp@certi360.com

Le Responsable peut être contacté pour toute question relative à la présente politique ou pour exercer les droits prévus par la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25).

2. Nature et limites du Projet Loi 25

Le Projet Loi 25 analyse exclusivement des informations accessibles publiquement sur Internet à partir d'un nom de domaine ou d'une URL soumis volontairement par l'utilisateur, lequel déclare et assume être autorisé à soumettre ce domaine pour analyse.

L'outil n'effectue aucune analyse intrusive, ne tente pas de contourner des contrôles d'accès et ne permet pas d'évaluer les processus internes, la gouvernance, les mesures organisationnelles ou contractuelles d'une organisation.

Les résultats produits sont techniques, indicatifs, contextuels et non exhaustifs. Ils ne constituent ni un avis juridique, ni une certification, ni une attestation de conformité à la Loi 25.

3. Renseignements personnels recueillis

La collecte des renseignements personnels repose sur le consentement implicite de l'utilisateur lors de l'utilisation du service, ou sur d'autres fondements permis par la loi lorsque requis.

Dans le cadre de l'utilisation du Projet Loi 25, les renseignements suivants peuvent être recueillis :

• Adresse IP de l'utilisateur
• Type de navigateur (User-Agent)
• Nom de domaine ou URL soumis pour analyse
• Résultats détaillés des analyses effectuées
• Métadonnées associées aux scans (identifiant de scan, date et heure de création, début et fin)
• Liste des modules d'analyse exécutés

Lors de la soumission volontaire de commentaires ou suggestions, les renseignements suivants peuvent être recueillis :

• Adresse courriel (facultative)
• Message soumis par l'utilisateur

La consultation générale du service et l'exécution ponctuelle d'analyses ne nécessitent pas la création d'un compte utilisateur. Toutefois, un compte peut être créé de façon optionnelle lorsqu'un utilisateur souhaite bénéficier de fonctionnalités de suivi régulier, d'historique ou de gestion plus avancée (console équipe).

Lors de la création ou de l'utilisation d'un compte équipe, les renseignements suivants peuvent également être recueillis :

• Adresse courriel de l'utilisateur
• Identifiants techniques liés à l'authentification (p. ex. clés d'accès WebAuthn / passkey)
• Nom ou libellé d'équipe, domaines surveillés et préférences de notification
• Historique des analyses associées au compte

Les analyses peuvent produire des captures d'écran techniques (p. ex. bannière de consentement observée) et d'autres artefacts stockés avec les résultats du scan, pour la durée indiquée à la section 8.

4. Moyens de collecte

Les renseignements sont recueillis :

• Lors de la soumission volontaire d'un domaine ou d'une URL par l'utilisateur
• Par les en-têtes HTTP et journaux techniques générés automatiquement par le serveur
• Par le formulaire de rétroaction du site, lorsque utilisé (enregistrement local et, le cas échéant, envoi par courriel)

5. Témoins (cookies) et stockage local

Le Projet Loi 25 n'utilise pas de témoins à des fins de suivi, de publicité, de marketing ou d'analyse comportementale des visiteurs de loi25.certi360.com.

Seuls des témoins strictement nécessaires au fonctionnement sécurisé du service sont utilisés :

• X-CSRF-Token : protection contre les attaques de type CSRF (Cross-Site Request Forgery), posé lors des interactions avec l'API (p. ex. lancement d'analyse, rétroaction). Durée maximale d'environ une heure ; ne contient pas de renseignement personnel identifiable en soi.
• loi25_team_session : session de la console équipe, uniquement lorsqu'un utilisateur se connecte. Durée maximale d'environ six heures ; attributs de sécurité (HttpOnly, Secure en production).

Aucun témoin de suivi publicitaire, de réseaux sociaux ou d'analyse comportementale n'est déposé par le service.

Des préférences peuvent être stockées localement dans le navigateur (localStorage), sans transmission au serveur :

• Langue d'affichage
• Modules d'analyse sélectionnés
• Préférence d'affichage sur appareil mobile

Ces données demeurent sur l'appareil de l'utilisateur et peuvent être supprimées via les paramètres du navigateur.

6. Technologies similaires

Le service n'utilise pas, pour le site loi25.certi360.com, de pixels de suivi, de balises publicitaires ou de techniques de profilage du navigateur à des fins marketing.

Les analyses demandées par l'utilisateur portent sur des sites tiers ; les traceurs éventuellement observés sur ces sites appartiennent à ceux-ci et sont décrits dans le rapport technique, sans constituer des témoins déposés par le Projet Loi 25 sur l'appareil du visiteur de loi25.certi360.com.

7. Finalités de la collecte

Les renseignements recueillis sont utilisés exclusivement pour :

• Exécuter les analyses demandées par l'utilisateur
• Appliquer des mécanismes de limitation du nombre de scans par adresse IP
• Assurer la sécurité, la stabilité et l'intégrité du service
• Produire des statistiques techniques et du monitoring
• Détecter et prévenir les abus
• Répondre à des obligations légales applicables

Aucune information n'est utilisée à des fins de marketing, de profilage ou de publicité.

8. Conservation des renseignements

Les données associées aux scans (résultats, métadonnées, captures d'écran techniques liées à l'analyse) sont conservées pour une durée limitée :

• Scans standards : conservation maximale de 7 jours, suivie d'une suppression ou d'une expiration automatique
• Scans accessibles via un lien de partage : conservation maximale de 7 jours. Ces liens reposent sur un identifiant unique de scan et sont considérés comme secrets par URL. Ils ne sont pas indexés publiquement et ne sont accessibles qu'aux personnes disposant du lien.

Les données de compte équipe et les invitations sont conservées tant que le compte ou l'équipe est actif, puis supprimées ou anonymisées selon les besoins opérationnels et les obligations légales.

Les messages de rétroaction sont conservés dans des journaux techniques locaux pour la durée nécessaire au traitement et au suivi, en plus de tout envoi par courriel décrit à la section 10.

Les autres journaux techniques sont conservés pour la durée nécessaire à la sécurité, au diagnostic et à l'exploitation du service.

9. Sous-traitance et services infonuagiques

Le Projet Loi 25 utilise des services tiers strictement pour l'hébergement, la sécurité, l'exploitation technique et certaines fonctions d'analyse, notamment :

• OVHcloud — hébergement du site, des scans, des comptes équipe et des journaux techniques sur des serveurs situés à Montréal (Québec, Canada)
• Service de messagerie Proton pour les courriels de rétroaction
• Service de géolocalisation d'adresse IP (ip-api.com), utilisé de façon limitée pour obtenir le pays associé à une adresse IP dans un contexte technique (p. ex. statistiques ou journalisation)
• OVHcloud AI Endpoints (Union européenne, notamment France) pour l'analyse automatisée du texte des politiques de confidentialité des sites soumis (extrait de page public), sous le cadre du RGPD applicable au fournisseur

Ces fournisseurs peuvent traiter certains renseignements personnels (p. ex. adresses IP, journaux, extraits de texte soumis à l'analyse) uniquement dans la mesure nécessaire à la prestation de leurs services.

Le Projet Loi 25 ne permet pas à ces fournisseurs d'utiliser les renseignements à des fins propres, commerciales ou publicitaires.

10. Transferts de renseignements personnels hors Québec

L'hébergement principal du Projet Loi 25 est situé au Québec (Montréal, chez OVHcloud). Les résultats de scans, les comptes équipe et la majorité des journaux techniques y sont donc hébergés au Québec.

Certains renseignements peuvent toutefois être traités à l'extérieur du Québec lorsque un sous-traitant spécialisé est nécessaire, comme indiqué ci-dessous.

Nature des traitements et localisation :

• Hébergement principal (Québec) : Données d'exploitation du service (scans, métadonnées, captures d'écran techniques, comptes équipe, journaux applicatifs) hébergées par OVHcloud à Montréal (Québec, Canada).
• Courriels (Proton) : Les courriels reçus via le formulaire de rétroaction transitent par une plateforme de messagerie située en Suisse / Zone européenne. Ces données incluent l'adresse courriel de l'expéditeur (si fournie) et le contenu du message soumis volontairement par l'utilisateur.
• Géolocalisation IP (ip-api.com) : Requêtes limitées vers un service externe pour déterminer le pays associé à une adresse IP (contexte technique uniquement).
• Analyse par intelligence artificielle (OVHcloud AI Endpoints) : Texte extrait d'une politique de confidentialité publique et métadonnées de requête nécessaires à l'appel sont traités par OVHcloud sur des capacités situées dans l'Union européenne (notamment en France), conformément au RGPD. Le Projet Loi 25 n'utilise pas, en configuration courante, un fournisseur d'inférence IA situé aux États-Unis pour cette fonction.

Localisation :

• Québec, Canada (Montréal) — hébergement principal du service (OVHcloud)
• Union européenne (notamment France) — inférence IA (OVHcloud AI Endpoints, hors Québec)
• Suisse / Zone européenne — courriels de rétroaction (Proton, hors Québec)
• Autres pays — uniquement si un sous-traitant technique ponctuel l'exige (p. ex. requête de géolocalisation IP vers ip-api.com)

Fondement juridique et garanties :

Les transferts hors Québec sont effectués dans le respect des exigences de la Loi 25, notamment :

• Les données transférées sont limitées au strict nécessaire pour assurer la sécurité et le fonctionnement du service
• Les fournisseurs de services sont contractuellement tenus de protéger les renseignements conformément aux normes de sécurité applicables
• Les données ne sont pas utilisées à des fins commerciales, publicitaires ou de profilage par les fournisseurs
• Des mesures de sécurité techniques et organisationnelles sont en place (chiffrement en transit et au repos, contrôles d'accès stricts, journalisation des accès)

Droits et recours :

Toute personne dont les renseignements personnels sont transférés hors Québec conserve l'ensemble des droits prévus par la Loi 25, notamment le droit d'accès, de rectification et de retrait du consentement, le cas échéant.

Pour toute question concernant les transferts hors Québec ou pour exercer vos droits, veuillez contacter le Responsable de la protection des renseignements personnels à l'adresse : rp@certi360.com.

11. Accès aux renseignements

Les renseignements personnels ne sont communiqués à aucun tiers à des fins commerciales ou publicitaires.

L'accès aux données est limité au Responsable de la protection des renseignements personnels et aux personnes autorisées de Certi360 qui en ont besoin pour l'exploitation, la sécurité ou le support du service, sous des obligations de confidentialité.

12. Partage avec des tiers

Le Projet Loi 25 ne partage pas les renseignements personnels avec des tiers à des fins commerciales, publicitaires ou de marketing.

Les données recueillies sont stockées exclusivement sur les systèmes du Projet Loi 25 et dans les journaux d'événements techniques, uniquement aux fins suivantes :

• Assurer la sécurité et l'intégrité du service
• Détecter et prévenir les abus, les attaques ou les utilisations frauduleuses
• Maintenir la stabilité technique et la disponibilité du service
• Effectuer le diagnostic et la résolution de problèmes techniques

Les seules situations où des renseignements peuvent être communiqués à des tiers sont :

• Lorsque requis par la loi ou une ordonnance judiciaire
• Aux fournisseurs d'infrastructure technique (hébergement, journalisation) qui traitent les données uniquement pour la prestation de leurs services, conformément aux sections 9 et 10

Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.

13. Mineurs et personnes vulnérables

Le Projet Loi 25 est un site d'information technique accessible au grand public. Il ne vise pas spécifiquement les mineurs et ne collecte pas d'informations permettant d'identifier l'âge des utilisateurs.

Le service ne requiert pas de création de compte pour un usage général, même si un compte optionnel peut exister pour certaines fonctionnalités de suivi régulier. Le service ne demande pas de renseignements permettant d'identifier directement un mineur. Les seules données collectées automatiquement sont principalement techniques (adresse IP, type de navigateur) et ne permettent pas de déterminer si l'utilisateur est mineur ou non.

Si un mineur utilise le service, les mêmes protections et mesures de sécurité s'appliquent à ses données. Les parents ou tuteurs peuvent exercer les droits prévus par la Loi 25 au nom d'un mineur en contactant le Responsable de la protection des renseignements personnels.

Le Projet Loi 25 ne cible pas spécifiquement les personnes vulnérables et n'utilise pas de techniques de manipulation ou de persuasion pour inciter à l'utilisation du service.

14. Décisions automatisées et profilage

Le Projet Loi 25 est un site d'information technique qui fournit des analyses automatisées de sites web. Ces analyses sont purement techniques et informatives.

Aucune décision automatisée produisant des effets juridiques ou significatifs n'est prise à partir des renseignements personnels collectés. Le service ne prend pas de décisions concernant les utilisateurs, leurs droits, leurs obligations ou leur situation personnelle.

Aucun profilage n'est effectué. Le Projet Loi 25 n'analyse pas le comportement des utilisateurs, ne crée pas de profils individuels et n'utilise pas les données collectées pour évaluer, prédire ou influencer les caractéristiques, préférences ou comportements d'une personne.

Les seules utilisations automatisées des données sont :

• L'exécution technique des analyses demandées par l'utilisateur
• L'application de mécanismes de limitation du nombre de scans par adresse IP (rate limiting) pour préserver la stabilité du service
• La détection automatique d'abus ou d'activités suspectes pour la sécurité du service

Ces mécanismes techniques ne produisent aucun effet sur les droits ou la situation personnelle des utilisateurs.

15. Vos droits (Loi 25)

Conformément à la Loi 25, toute personne peut, selon les cas :

• Demander l'accès aux renseignements personnels la concernant
• Demander la rectification de renseignements inexacts
• Demander la suppression ou la cessation de diffusion lorsque prévu par la loi
• Retirer son consentement lorsque le traitement repose sur le consentement
• Demander la portabilité des renseignements personnels lorsque applicable

Toute demande doit être transmise par courriel à : rp@certi360.com.

16. Mesures de sécurité

Des mesures de sécurité raisonnables sont mises en place afin de protéger les renseignements, incluant notamment :

• Des contrôles d'accès restreints
• La journalisation et la surveillance des accès
• Des mécanismes de limitation de débit et de détection d'abus
• Des mesures de sécurité applicatives et serveur

17. Incidents de confidentialité

En cas d'incident de confidentialité impliquant des renseignements personnels, des mesures seront prises afin de limiter les impacts, d'assurer la traçabilité des événements et de respecter les obligations de notification prévues par la Loi 25, le cas échéant.

18. Modifications à la politique

La présente politique peut être modifiée afin de refléter l'évolution du Projet Loi 25, de ses fonctionnalités ou des obligations légales applicables.

La version la plus récente est toujours publiée sur le site loi25.certi360.com.