Guide : vérifier la situation de votre site Web dans le contexte de la loi québécoise sur la vie privée (Loi 25)
Le service ne constitue pas un avis juridique et ne certifie pas la conformité à la loi québécoise sur la vie privée (Loi 25) ni à tout autre texte. Il fournit une base factuelle pour soutenir vos discussions internes.
Qu'est-ce que la loi québécoise sur la vie privée (Loi 25) ?
Les principales étapes sont entrées en vigueur en septembre 2022, septembre 2023 et septembre 2024. En 2022, plusieurs obligations immédiates liées aux incidents de confidentialité et à la gouvernance ont commencé à s'appliquer. En 2023, les organisations ont notamment dû rendre leur politique de confidentialité plus accessible, encadrer davantage les analyses d'impact et désigner clairement une personne responsable de la protection des renseignements personnels. En 2024, d'autres attentes se sont ajoutées, dont des mécanismes liés à la portabilité et à une meilleure circulation de l'information pour les personnes concernées.
En pratique, cela signifie qu'une organisation doit mieux documenter ses pratiques, expliquer ses traitements de données, encadrer ses fournisseurs et mettre en place des mesures de sécurité proportionnées. Les sanctions peuvent être importantes : selon les cas, des montants pouvant aller jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial peuvent être évoqués dans le cadre prévu par la loi.
À qui s'adresse cet outil ?
Les résultats servent de base de discussion et d'orientation interne pour éclairer les échanges et les décisions au quotidien.
Comment lire les résultats ?
Le pourcentage résume les éléments observables testés, pas une conformité légale complète. Un score élevé veut surtout dire que moins d'irritants techniques ont été vus sur les points testés; un score plus faible attire l'attention sur des problèmes concrets ou sur de l'information publique manquante.
Une lecture pratique consiste à prioriser ainsi : rouge d'abord (problèmes bloquants ou risqués), orange ensuite (durcissement, documentation, paramètres incomplets), vert enfin (maintenance et surveillance). Par exemple, un certificat expiré, une bannière absente avec des traceurs actifs dès l'arrivée, ou une politique introuvable devraient généralement passer avant une CSP (Content Security Policy, politique de sécurité du contenu) seulement perfectible ou un DMARC (Domain-based Message Authentication, Reporting and Conformance) encore en mode de surveillance. À l'inverse, un résultat vert n'élimine pas le besoin de suivi : un changement d'hébergeur, l'ajout d'un outil analytique ou une refonte du site peuvent faire bouger rapidement ces constats. Le rapport détaillé précise ce qui a été vu, donne souvent un exemple de résultat, et aide à distinguer ce qui demande une correction rapide de ce qui relève surtout de la documentation interne.
Analyse du nom de domaine
Ce résultat décrit l'identité publique du nom de domaine : à quel réseau il est rattaché, ce que montrent les bases de données d'enregistrement, et des indices sur l'emplacement apparent des serveurs.
Réseau opérateur (hébergeur apparent)
Le numéro ASN (Autonomous System Number, identifiant du réseau sur Internet) identifie le réseau qui annonce votre site sur Internet. La description qui l'accompagne correspond en pratique à votre hébergeur ou à un opérateur intermédiaire : c'est le bon interlocuteur pour une question d'hébergement ou de connectivité.
Titulaire et contacts (WHOIS / RDAP)
La fiche WHOIS (annuaire historique des noms de domaine) ou son format moderne RDAP (Registration Data Access Protocol, accès normalisé aux données d'enregistrement) reprend les mentions publiques sur le nom : titulaire apparent, contacts administratif ou technique. Certaines lignes peuvent être masquées ou génériques selon les règles du registrar.
Bureau d'enregistrement (registrar, organisme accrédité)
C'est l'entreprise chez qui le nom est enregistré, renouvelé et facturé. Elle gère aussi les demandes de transfert et le verrouillage contre les transferts non voulus.
Dates de création et d'expiration
Elles indiquent depuis quand le nom existe et jusqu'à quand il reste payé. Une date d'expiration proche est un rappel pour renouveler et éviter une coupure du site ou du courriel.
Verrouillage du domaine (anti-transfert)
Cette ligne dit si le nom est protégé contre un transfert silencieux vers un autre bureau d'enregistrement. Sans protection, un compte compromis rend le vol de nom plus simple.
Pays lié aux adresses IP du site
À partir des adresses publiques observées pour votre site (adresses IP, Internet Protocol), le rapport affiche un pays apparent pour l'hébergement ou le transit. C'est une aide à la cartographie, pas une preuve juridique du lieu de traitement des données.
CDN (réseau de diffusion de contenu)
Si un CDN (Content Delivery Network, réseau de diffusion de contenu) est détecté, le contenu peut être servi depuis des serveurs caches répartis sur plusieurs pays : le rapport le signale pour documenter la chaîne visible depuis l'extérieur.
Indications hors Québec
Une rubrique peut signaler des éléments qui semblent liés à un autre pays ou continent (hébergement, transit ou classification). Cela aide à compléter votre inventaire de fournisseurs et de dépendances.
Lire les couleurs Le vert résume un constat globalement rassurant. L'orange signifie « vérifiez cette ligne avec votre équipe ou votre registrar » (données incomplètes ou situation à clarifier). Le rouge attire l'attention sur un point urgent à corriger.
Ce bloc explique comment le nom du site est relié à Internet : quelles adresses répondent, qui répond aux requêtes DNS (Domain Name System, système de noms de domaine), et si des réglages semblent incohérents ou abandonnés.
Adresses du site (enregistrements DNS de type A et AAAA)
Les enregistrements A (type « adresse », IPv4) et AAAA (type « adresse », IPv6) indiquent vers quelles adresses IP pointe le nom analysé. Si seul l'IPv4 est présent, le rapport peut afficher une note informative sur l'IPv6 sans pénaliser le score.
Serveurs de noms (NS)
Les enregistrements NS (Name Server, serveur de noms faisant autorité pour votre zone) désignent les serveurs qui ont autorité pour répondre aux questions DNS sur votre domaine. Ce sont en général votre hébergeur, votre registrar ou un DNS managé.
Alias et sous-domaines (CNAME, etc.)
Le rapport regarde les alias courants (souvent des enregistrements CNAME, Canonical Name, nom canonique redirigé vers un autre nom) qui redirigent un nom vers un autre service (site, courriel, CDN). Des alias mal choisis peuvent créer des boucles ou des surprises lors d'un changement de fournisseur.
Correspondance inverse (PTR)
La vérification PTR (Pointer, enregistrement de DNS inverse liant une adresse IP à un nom) compare parfois une adresse IP à un nom de machine annoncé en retour. Utile pour repérer des incohérences entre ce que vous croyez héberger et ce que le DNS inverse affiche.
Enregistrements orphelins ou suspects
Le rapport signale des noms qui semblent pointer vers nulle part, vers d'anciens services, ou qui ne collent pas au reste de la zone : ce sont des pistes de nettoyage et de sécurité.
DNSSEC (information)
Lorsque des signatures DNSSEC (DNS Security Extensions, authentification cryptographique des réponses DNS) sont présentes, le rapport peut l'indiquer comme information : cela renforce l'authenticité des réponses DNS, mais ce n'est pas une obligation pour tous les sites.
Lire les couleurs Les notes « IPv6 recommandé » ou « DNSSEC détecté » sont surtout des pistes d'amélioration. En revanche, les incohérences marquées en orange ou rouge méritent une revue rapide avec la personne qui gère votre DNS.
Ce bloc décrit comment votre domaine envoie et reçoit le courriel d'après les informations publiques DNS (Domain Name System, système de noms de domaine) : serveurs utilisés, protections contre l'usurpation, options avancées.
Serveurs de messagerie (MX)
Les enregistrements MX (Mail eXchanger, cible du courrier entrant pour le domaine) indiquent quels serveurs reçoivent les messages à votre adresse. Si la liste est vide ou incohérente, le courriel peut être perdu ou détourné.
SPF (qui a le droit d'envoyer en votre nom)
Le mécanisme SPF (Sender Policy Framework, cadre de politique d'expéditeur) est une liste publiée dans le DNS des serveurs autorisés à envoyer un courriel qui affiche votre domaine comme expéditeur. Il réduit le risque qu'un tiers envoie des messages frauduleux en votre nom.
DKIM (signature numérique des messages)
DKIM (DomainKeys Identified Mail, courrier identifié par clés de domaine) ajoute une signature cryptographique aux messages sortants. Le destinataire peut vérifier que le contenu n'a pas été altéré en route et que l'envoi correspond à une clé publiée dans votre DNS.
DMARC (politique en cas d'échec SPF/DKIM)
DMARC (Domain-based Message Authentication, Reporting and Conformance, authentification et rapports basés sur le domaine) indique aux grandes messageries que faire d'un message qui échoue aux contrôles SPF ou DKIM (observer seulement, mettre en quarantaine ou rejeter). C'est la pièce qui rend les deux mécanismes précédents actionnables à grande échelle.
BIMI (logo vérifié, optionnel)
BIMI (Brand Indicators for Message Identification, indicateurs de marque pour l'identification des messages) permet, lorsque les prérequis sont remplis, d'afficher un logo validé à côté du courriel dans certains clients : c'est une couche de confiance visuelle, pas une obligation de base.
DANE / TLSA pour le courrier (optionnel)
Lorsque le mécanisme DANE (DNS-based Authentication of Named Entities, authentification d'entités nommées via le DNS) est utilisé, des entrées TLSA (association des paramètres TLS au DNS) peuvent lier la sécurité du transport SMTP (Simple Mail Transfer Protocol, messagerie) à votre DNS. Le rapport les mentionne si elles sont visibles ; une mise en œuvre complète demande aussi une configuration serveur solide.
MTA-STS (politique de transport TLS, optionnel)
MTA-STS (Mail Transfer Agent Strict Transport Security, sécurité stricte du transport pour les agents de courrier) permet à votre domaine de publier une politique qui oblige les serveurs distants à n'écrire à votre messagerie qu'en TLS validé, et empêche les rétrogradations en clair. Elle s'appuie sur deux éléments publics : un petit enregistrement DNS (Domain Name System) à _mta-sts.<votre-domaine>, et un fichier de politique servi en HTTPS (HTTP sécurisé par TLS, Transport Layer Security) à https://mta-sts.<votre-domaine>/.well-known/mta-sts.txt. Le rapport indique si la politique est présente et son mode (enforce applique la règle, testing ne fait qu'observer). C'est un complément naturel à DANE, intéressant surtout pour les fournisseurs (Microsoft 365, Google Workspace, etc.) qui ne supportent pas DANE en réception. Une RFC (Request for Comments) est une spécification technique publiée par l'IETF ; la RFC 8461 décrit précisément MTA-STS : format du TXT _mta-sts, contenu du fichier mta-sts.txt, modes enforce / testing / none, durée de cache (max_age), etc.
TLS-RPT (rapports d'échec TLS, optionnel)
TLS-RPT (TLS Reporting, rapports sur l'état du chiffrement) demande aux serveurs expéditeurs d'envoyer des rapports JSON chaque fois qu'une connexion TLS vers votre messagerie échoue ou ne respecte pas votre politique MTA-STS ou DANE. Concrètement, vous publiez un enregistrement DNS à _smtp._tls.<votre-domaine> indiquant une adresse de réception (souvent mailto:tls-reports@votre-domaine). C'est un outil de pilotage : il permet d'observer en conditions réelles avant de passer MTA-STS en mode enforce. La RFC 8460 normalise TLS-RPT : nom DNS _smtp._tls, balise rua pour les destinataires des rapports, et structure des rapports JSON envoyés par les serveurs expéditeurs.
Lire les couleurs Les mentions absent ou incomplet sur SPF, DKIM ou DMARC invitent à planifier un durcissement avec votre fournisseur de messagerie : ce n'est pas une preuve d'attaque déjà réussie. Le rapport colore la gravité apparente pour prioriser les actions. Les lignes MTA-STS et TLS-RPT sont signalées comme optionnelles : elles renforcent la chaîne SMTP mais n'entrent pas dans le score de base.
Validation du chiffrement TLS
Ce bloc correspond au test « Vérification TLS » du rapport : certificat présenté au navigateur et connexion HTTPS (HTTP sécurisé par TLS, Transport Layer Security) négociée pour la session testée.
Correspondance avec l'adresse visitée
Le rapport vérifie que le certificat couvre bien le nom de domaine ou le sous-domaine que le visiteur a tapé (y compris les variantes courantes). Un écart peut déclencher un avertissement dans le navigateur.
Émetteur et chaîne de confiance
Il identifie l'autorité de certification (CA, Certificate Authority) qui a délivré le certificat et contrôle que la chaîne (certificats intermédiaires) est complète. Une chaîne incomplète peut faire échouer la connexion sur certains appareils.
Validité et date d'expiration
Le rapport indique si le certificat est encore valide et combien de jours il reste avant expiration. Une date proche ou dépassée est un sujet prioritaire pour éviter les blocages.
Version du protocole TLS (Transport Layer Security) de la connexion testée
Il note la version du protocole effectivement négociée pour la session analysée (par exemple une version moderne). Cela complète la lecture du certificat.
Lire les couleurs Un certificat expiré, une chaîne incomplète ou un nom non couvert ressortent souvent en rouge ; l'orange peut signaler une date proche ou un point à clarifier avec l'hébergeur.
Ce bloc correspond au test « Analyse sécurité TLS/SSL » du rapport : versions et algorithmes encore proposés, contrôles de vulnérabilités connues et autres réglages de durcissement.
Protocoles encore activés sur le serveur
Le rapport liste les versions TLS (Transport Layer Security) ou SSL (Secure Sockets Layer, ancienne couche désormais obsolète) que le serveur accepte encore d'accepter. Des versions anciennes restent parfois activées pour compatibilité, mais elles augmentent le risque d'attaques par rétrogradation.
Suites cryptographiques (ciphers : algorithmes de chiffrement négociés)
Il résume la force des algorithmes proposés pour chiffrer la session (méthodes modernes vs méthodes obsolètes). Des choix faibles rendent la lecture ou l'altération du trafic plus plausible.
Vulnérabilités connues testées
Des contrôles ciblés vérifient la présence de failles historiques liées à TLS ou à la configuration (selon ce que le test peut observer depuis l'extérieur). Un résultat négatif signifie surtout « mettre à jour la configuration », pas « fuite confirmée ».
Confidentialité persistante (PFS, perfect forward secrecy : protection des sessions passées même si une clé longue durée est compromise plus tard)
Le rapport peut indiquer si la configuration favorise des échanges qui protègent aussi les sessions passées en cas de compromission ultérieure d'une clé longue durée.
Compression TLS et renégociation
Certains réglages comme la compression du tunnel ou la renégociation ont eu des usages détournés par le passé ; le rapport signale ce qu'il observe à ce sujet.
Lire les couleurs Le vert rassure sur la configuration observée. L'orange invite à planifier un durcissement (versions, algorithmes). Le rouge met en évidence des faiblesses qui méritent une correction rapide.
En-têtes de sécurité
Bloc « en-têtes HTTP de sécurité » Ce sont de petites lignes ajoutées à la réponse HTTP (Hypertext Transfer Protocol) du serveur ; le navigateur les applique pour réduire certains risques (injection, clickjacking, fuite d'informations, etc.).
CSP (Content-Security-Policy)
Indique d'où le navigateur a le droit de charger scripts, styles ou médias. Une politique stricte limite l'impact d'un script malveillant injecté.
HSTS (HTTP Strict Transport Security)
Demande au navigateur de privilégier HTTPS (HTTP sur TLS, connexion chiffrée) pour revenir sur votre site et limite les allers-retours en clair.
Protection du cadrage (X-Frame-Options ou équivalent dans la CSP)
Réduit le risque qu'un autre site embarque votre page dans une iframe pour une attaque de type « clickjacking ».
X-Content-Type-Options
Évite que le navigateur devine le type d'une ressource lorsque ce n'est pas souhaité, ce qui limite certaines exécutions abusives.
Referrer-Policy
Règle quelle partie de l'URL ou du contexte est transmise au site suivant lorsqu'un visiteur clique un lien.
Permissions-Policy
Permet de désactiver ou restreindre l'accès du site à des fonctions sensibles (caméra, micro, géolocalisation, etc.).
Autres en-têtes utiles (Cross-Origin, etc.)
Le rapport peut mentionner d'autres en-têtes qui encadrent les communications entre origines (politiques cross-origin : règles d'échange entre sites d'origines différentes). Chaque ligne du tableau correspond à une consigne vue ou absente.
Bloc « technologies détectées »
Empreinte logicielle visible
Le rapport repère des indices publics (bannières, en-têtes, signatures) suggérant un CMS (système de gestion de contenu, par exemple WordPress), un serveur ou un cadriciel, parfois avec une version. Ce n'est pas un inventaire interne : c'est ce qu'un observateur extérieur peut déduire.
Ce qui est observé concrètement
- Un tableau en-tête par en-tête : présent, absent, valeur, recommandation.
- Des alertes lorsqu'une protection de base manque ou est trop permissive.
- Une liste ou un résumé des technologies détectées et du niveau de détail exposé.
Lire les couleurs L'orange invite souvent à compléter ou resserrer une politique ; le rouge met en évidence un trou marquant ; le vert indique que les contrôles courants sont globalement en place, sans supprimer le besoin de veille.
Politique de confidentialité
Repérage de la page ou du lien
Le rapport cherche une page dédiée ou un lien clair vers une politique, à partir de l'URL analysée et des liens habituels (pied de page, menu légal, etc.).
Texte retenu pour l'analyse
Il extrait le contenu textuel détecté sur cette page (dans la limite technique) pour travailler sur ce que le visiteur peut réellement lire en ligne.
Thèmes comparés au rapport
Le texte est comparé à une liste de thèmes de transparence couramment attendus, par exemple :
- finalités des traitements et bases invoquées ;
- catégories de renseignements et de personnes concernées ;
- droits d'accès, de rectification, de retrait du consentement ;
- coordonnées et personne responsable de la protection des renseignements personnels ;
- sous-traitants ou tiers et transferts hors Québec ;
- délais de conservation, sécurité, plaintes.
Lecture assistée
Une partie du repérage des thèmes est automatisée pour accélérer la lecture : le but reste de refléter le contenu publié, pas d'inférer des intentions non écrites.
Preuves dans le rapport
Pour chaque thème, le rapport peut montrer de courts extraits ou indiquer qu'il n'a rien trouvé de probant dans le texte analysé.
Lire les couleurs Politique introuvable ou thèmes majeurs absents : souvent orange ou rouge à traiter avec juridique ou communications. Un bon score ne remplace pas une validation humaine ni un avis juridique.
Admin — Comptes et intégrations
Console de gestion — vue d'ensemble
La console de gestion (connexion requise) permet de suivre les domaines inclus à votre abonnement, de planifier des analyses et de gérer les membres de l'équipe. Après connexion via la page de connexion équipe, le tableau de bord affiche la liste des domaines surveillés, les prochains scans planifiés et un résumé des scores par catégorie (domaine, TLS, en-têtes, cookies, politique).
Ajouter un domaine
Cliquez sur « + Ajouter un domaine ». Saisissez le nom de domaine sans http://, https:// ni www. (ex. exemple.com). Choisissez le jour du mois (1–31) pour le scan mensuel automatique (exécution vers 2 h, heure de Montréal). Sélectionnez les préférences de rapport : rapport complet chaque mois, rapport mensuel avec alertes en cas de changement, courriel seulement lors de changements (avec fréquence adaptée), ou désactiver les balayages automatiques. Validez pour enregistrer le domaine, dans la limite prévue par votre forfait.
Modifier un domaine
Pour chaque ligne du tableau, le bouton « Modifier » ouvre la fenêtre d'édition : fenêtre des 12 prochains scans planifiés, modification du jour de scan mensuel et des préférences de rapport (mêmes options qu'à l'ajout). Le bouton « Scan » déclenche un scan sur demande pour ce domaine. Lorsqu'un rapport existe, le nom du domaine peut ouvrir le dernier résultat dans un nouvel onglet.
Gérer l'équipe
Le bouton « Gérer l'équipe » en haut de page (réservé aux administrateurs de l'équipe) ouvre une fenêtre pour : consulter les membres et leurs rôles, inviter un collègue par courriel, voir les invitations en attente, enregistrer des passkeys pour une connexion plus rapide, transférer la propriété de l'équipe à un autre membre, ou supprimer définitivement le compte organisation (tous les domaines et rapports). Les compteurs domaines / membres en en-tête reflètent votre contrat et les places déjà utilisées.
API — Automatisation des scans
Accès — obtenir un compte
L'API n'est pas en libre accès. Pour l'utiliser, il faut d'abord disposer d'un token d'authentification actif. La démarche :
- Rendez-vous sur la page d'accueil.
- Cliquez sur le bouton « Contactez-moi ».
- Décrivez brièvement votre besoin (outil utilisé, volume de scans estimé, usage prévu).
- Un token vous sera transmis une fois votre demande traitée.
Authentification
Chaque requête doit inclure le token dans l'en-tête HTTP :
Authorization: Bearer votre_token_ici
Étape 1 — Soumettre un scan
POST https://loi25.certi360.com/api/v1/scan
Corps JSON à envoyer :
{"url": "exemple.com", "test_type": "policy"}
Le champ url accepte un domaine (exemple.com) ou une URL complète (https://exemple.com/politique-confidentialite).
Le champ test_type détermine la portée :
complete— tous les tests (~5–10 min)domain— nom de domaine, DNS, courriel (~60–90 s)tls— certificat et configuration TLS (~30–60 s)headers— en-têtes de sécurité (~30 s)cookies— cookies et consentement (~60–90 s)policy— politique de confidentialité, analyse assistée (~jusqu'à 3 min)
L'API répond en moins d'une seconde avec un identifiant de scan :
{"scan_id": "20260420T143022Z_a1b2c3d4", "status": "queued", "status_url": "/api/v1/scan/20260420T143022Z_a1b2c3d4"}
Étape 2 — Interroger le statut
GET https://loi25.certi360.com/api/v1/scan/{scan_id}
Tant que le scan est en cours, la réponse contient :
{"status": "running", "progress": {"done": 0, "total": 1}}
Quand status vaut "done", la réponse inclut les résultats complets (results) et les percentages par catégorie.
Exemple curl complet
Soumettre puis poller jusqu'au résultat :
TOKEN="votre_token_ici"
BASE="https://loi25.certi360.com"
Soumission :
curl -s -X POST "$BASE/api/v1/scan" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"url":"exemple.com","test_type":"policy"}'
Polling (remplacer SCAN_ID par la valeur reçue) :
curl -s "$BASE/api/v1/scan/SCAN_ID" \
-H "Authorization: Bearer $TOKEN"
Exemple Python
Un appel bloquant qui attend la fin du scan :
import time, requests
TOKEN = "votre_token_ici"
BASE = "https://loi25.certi360.com"
hdrs = {"Authorization": f"Bearer {TOKEN}"}
r = requests.post(f"{BASE}/api/v1/scan", json={"url": "exemple.com", "test_type": "policy"}, headers=hdrs)
scan_id = r.json()["scan_id"]
while True:
time.sleep(10)
data = requests.get(f"{BASE}/api/v1/scan/{scan_id}", headers=hdrs).json()
if data["status"] in ("done", "failed"): break
print(data["percentages"])
Codes de retour
- 202 — scan accepté et mis en file (réponse à la soumission)
- 400 — paramètre manquant ou invalide
- 401 — token absent ou incorrect
- 429 — limite atteinte (30 scans/h par IP)
- 503 — API non encore configurée, ou capacité globale dépassée
Limites et bon usage
- S'applique uniquement aux sites Web publics — pas aux intranets ni aux pages protégées par un mot de passe.
- Les résultats sont factuels et techniques : ils ne constituent pas un avis juridique.
- Ne jamais inclure le token dans du code versionné ou des journaux applicatifs.
Pour démarrer, cliquez sur « Contactez-moi » sur la page d'accueil en décrivant votre projet d'intégration.