Checklist de Conformité Loi 25 pour Votre Site Web
Pas besoin d'un avocat pour faire un premier diagnostic. Voici la liste concrète des points à vérifier sur votre site pour répondre aux exigences de sécurité de la Loi 25. Cochez ce qui est en place, le reste devient votre plan d'action.
Checklist informative, pas un avis juridique. Le volet juridique complet (consentement, contrats, communications hors Québec) mérite l'avis d'un professionnel.
1. Sécurité technique du site
C'est le critère des « mesures raisonnables » de la loi. Le plus négligé, et le plus facile à corriger.
HTTPS forcé partout. Le site redirige automatiquement HTTP vers HTTPS et le certificat est valide.
En-têtes de sécurité configurés. HSTS, Content-Security-Policy, protection contre le clickjacking et le MIME sniffing.
Aucune vulnérabilité OWASP Top 10. Injection, XSS, mauvaise configuration, exposition de données.
CMS, thèmes et extensions à jour. WordPress, plugins, et dépendances sans version vulnérable connue.
Aucun sous-domaine ou fichier sensible exposé. Pas d'environnement de test, de sauvegarde ou de panneau d'admin accessible au public.
2. Collecte de données et formulaires
Vous ne collectez que le nécessaire. Pas de champs superflus qui ramassent des renseignements inutiles.
Consentement clair pour les cookies et le suivi. Pas de traceurs tiers qui se chargent avant le consentement.
Formulaires transmis de façon chiffrée et stockés dans un endroit sécurisé, pas dans une boîte courriel non protégée.
3. Transparence et droits des personnes
Politique de confidentialité publiée et compréhensible : quoi, pourquoi, comment, et comment l'utilisateur exerce ses droits.
Responsable de la protection des renseignements identifié avec ses coordonnées affichées sur le site.
Mécanisme pour répondre aux demandes d'accès et de rectification des données.
4. Gestion des incidents
Registre des incidents de confidentialité prêt, même vide.
Procédure de déclaration à la CAI connue, pour réagir vite en cas de fuite à risque de préjudice sérieux.
Sauvegardes régulières et testées, pour restaurer le site après un incident.
Combien de cases cochées ? Si vous hésitez sur la section 1 (sécurité technique), c'est normal : c'est invisible de l'extérieur sans outil. Un audit CLAW vérifie chaque point de cette section pour vous et vous remet la liste exacte des correctifs, en français, à partir de 99 $.
Pour comprendre le pourquoi derrière chaque exigence, lisez notre guide Loi 25 et sécurité de votre site web. Et pour mesurer ce qu'un incident coûterait vraiment, voyez le coût d'une fuite de données pour une PME québécoise.