À quoi ressemble un rapport d'audit Loi 25 ?
Voici un aperçu reconstituré d'un rapport complet — score, détail par zone, lacunes identifiées et plan d'action priorisé. Profil fictif : PME québécoise de services professionnels, site vitrine avec formulaire de contact et infolettre.
Cet exemple est entièrement fictif. Il illustre la structure et le niveau de détail d'un rapport réel — sans données provenant d'un client existant.
Score global de conformité
Risque élevé — 3 zones critiques à corriger en priorité
Détail par zone — 6 zones auditées
La bannière de cookies est présente mais ne respecte pas les critères de la CAI : aucun bouton "Refuser" visible, les scripts analytiques se chargent avant tout consentement, et la gestion des préférences est introuvable.
Le formulaire de contact collecte le numéro de téléphone sans indiquer pourquoi. La case d'inscription à l'infolettre est pré-cochée. Aucune mention de durée de conservation des données.
La politique de confidentialité date de 2021, avant l'entrée en vigueur des nouvelles obligations de la Loi 25. Elle ne mentionne pas le RPRP, ne liste pas les sous-traitants, et l'accès depuis le pied de page est cassé sur mobile.
Google Analytics 4 et le pixel Meta se chargent sans consentement préalable. Un script de chat tiers (Intercom) transfère des données hors Québec sans mention dans la politique.
Aucun mécanisme de demande d'accès ou de rectification n'est visible sur le site. La politique mentionne les droits mais sans expliquer comment les exercer ni en combien de temps.
Le responsable de la protection des renseignements personnels n'est pas identifié publiquement. Aucune adresse courriel dédiée aux demandes de protection de la vie privée.
Plan d'action — 3 correctifs prioritaires
Les correctifs sont classés par urgence réglementaire et par niveau d'effort. Commencez par les priorités 1 et 2 — elles couvrent les zones les plus exposées en cas d'enquête CAI.
Ajouter un bouton "Refuser tout" visible dès le premier écran. Bloquer le chargement de GA4 et du pixel Meta tant que le visiteur n'a pas accepté. Durée estimée : 2 à 4h avec votre développeur ou votre agence.
Effort estimé : Moyen
Rédiger une nouvelle version mentionnant : le RPRP (nom + courriel), la liste des sous-traitants et leurs pays, les durées de conservation par type de donnée, et les droits exercables. Durée estimée : 3 à 6h ou utilisation d'un modèle Loi 25 validé.
Effort estimé : Moyen
Retirer la case pré-cochée pour l'infolettre. Ajouter une mention courte sur chaque formulaire indiquant pourquoi chaque champ est collecté. Supprimer le champ téléphone si non nécessaire. Durée estimée : 1 à 2h.
Effort estimé : Faible
Ce que contient le rapport PDF complet
- Résumé exécutif : score global + 3 priorités en une page — transmissible à la direction ou au CA
- Section 1 : cartographie de tous les cookies et scripts tiers actifs (nécessaires, analytiques, publicitaires)
- Section 2 : analyse formulaire par formulaire avec chaque lacune identifiée
- Section 3 : revue de la politique de confidentialité et des mentions légales
- Section 4 : plan d'action complet classé par priorité, effort et responsable suggéré
- Séance de restitution à distance incluse — 30 minutes pour passer en revue les points clés
Ce rapport complet est disponible pour votre site
Votre site ressemble-t-il à cet exemple ?
Commencez par le pré-audit gratuit — votre rapport de premier bilan apparaît instantanément. Si vous souhaitez aller plus loin, l'audit complet PDF est disponible à 99 $.
Sans engagement · Aucune carte requise · Résultats instantanés