Soleodigital Logo Soleodigital
Retour

🔒 Évaluation des facteurs relatifs à la vie privée

Conformité à la Loi 25 du Québec

Version publique En vigueur

📋 Résumé exécutif

Domaine analysé : tc-k9.com

Date de l'évaluation : 30 novembre 2025

Statut : EFVP requise et en cours de documentation

Objectif de cette EFVP

Cette évaluation documente la conformité du site tc-k9.com avec la Loi 25 du Québec concernant la protection des renseignements personnels.

Situations détectées

  • ✅ Système d'information ou prestation électronique

1️⃣ Description du flux complet des données

Parcours des données collectées

Formulaire de contact

Utilisateur Serveur web (Canada) Email / CRM

Les données du formulaire sont transmises par email ou stockées dans un système de gestion de la relation client (CRM) pour répondre aux demandes.

Système de rendez-vous (Calendly)

Utilisateur Calendly Serveurs États-Unis

⚠️ Transfert hors Canada : Les données de rendez-vous sont stockées sur les serveurs de Calendly situés en États-Unis.

Analytics (Matomo Analytics, Plausible Analytics)

Utilisateur Site web Serveurs Variable, UE

Les données de navigation sont collectées par les systèmes d'analytics pour améliorer l'expérience utilisateur.

Hébergement et stockage

Type de donnée Localisation Pays Durée de conservation
Formulaires de contact Serveur web / Email Canada 24 mois
Rendez-vous (Calendly) Calendly États-Unis 12 mois
Analytics Matomo Analytics, Plausible Analytics Variable, UE 26 mois (anonymisé)
Cookies / IP Serveur web Canada 90 jours
Emails (MX) Serveurs email Canada 24 mois

2️⃣ Base légale du traitement (obligatoire)

Conformément à la Loi 25, chaque traitement de renseignements personnels doit reposer sur une base légale valide.

Traitement Base légale Justification
Formulaire de contact Traitement nécessaire pour répondre à une demande Relation client - réponse aux demandes d'information des utilisateurs
Rendez-vous (Calendly) Consentement / Intérêt légitime Planification de rendez-vous - consentement obtenu lors de la réservation par l'utilisateur
Analytics (Matomo Analytics, Plausible Analytics) Consentement (si suivi individuel) / Exemption (si anonymisé) Consentement requis pour le suivi individuel via cookies analytics
Cookies essentiels Exemption Cookies strictement nécessaires au fonctionnement du site (session, sécurité)
Cookies non essentiels Consentement Consentement explicite obtenu via bannière de cookies conforme

3️⃣ Évaluation des risques (obligatoire CAI)

Analyse des risques à la confidentialité, à l'intégrité et à la disponibilité des renseignements personnels.

Risque Impact Probabilité Niveau Mesures d'atténuation
Transfert vers Calendly (États-Unis) Accès par autorités étrangères, non-respect des lois québécoises, surveillance gouvernementale Moyenne MOYEN Clauses contractuelles types (CCT), évaluation régulière de la conformité, recherche d'alternatives canadiennes, information des utilisateurs
Accès non autorisé aux formulaires Vol de données personnelles, usurpation d'identité, atteinte à la réputation Faible FAIBLE HTTPS obligatoire, validation des données côté serveur, protection CSRF, limitation des tentatives de soumission, monitoring des accès
Bris de confidentialité par mauvaise configuration Exposition accidentelle de données, fuite d'information Faible FAIBLE Audits de sécurité réguliers, formation du personnel, politiques de sécurité documentées, revue des configurations
Collecte excessive de données Non-respect du principe de minimisation, violation de la Loi 25 Faible FAIBLE Revue régulière des champs collectés, suppression des données non nécessaires, documentation des finalités
Transfert vers analytics (Matomo Analytics, Plausible Analytics) Profilage des utilisateurs, suivi comportemental, création de profils marketing Moyenne MOYEN Consentement explicite et éclairé, anonymisation des données, utilisation d'analytics respectueux de la vie privée, option de désactivation

4️⃣ Transfert hors Québec / hors Canada (obligatoire)

⚠️ Transferts internationaux détectés

Les données suivantes sont transférées hors du Canada, nécessitant une analyse approfondie des garanties et des risques.

Type de donnée Pays de destination Nature du transfert Garanties Risques résiduels Justification
Rendez-vous (Calendly) États-Unis Stockage et traitement des données de rendez-vous (nom, email, date/heure, informations de contact) Clauses contractuelles types (CCT), conformité RGPD si applicable, politique de confidentialité du fournisseur Moyen - Accès possible par autorités étrangères selon les lois locales Service tiers nécessaire pour la fonctionnalité de prise de rendez-vous en ligne, facilitant l'expérience utilisateur
Analytics (Matomo Analytics) Variable Collecte de données de navigation anonymisées (pages visitées, durée, source) Anonymisation des adresses IP, consentement explicite, politique de confidentialité du fournisseur, option de désactivation Faible - Données anonymisées, pas d'identification directe Analytics nécessaire pour améliorer l'expérience utilisateur et optimiser le site web
Analytics (Plausible Analytics) UE Collecte de données de navigation anonymisées (pages visitées, durée, source) Anonymisation des adresses IP, consentement explicite, politique de confidentialité du fournisseur, option de désactivation Faible - Données anonymisées, pas d'identification directe Analytics nécessaire pour améliorer l'expérience utilisateur et optimiser le site web

Mesures de protection pour les transferts

  • Clauses contractuelles types (CCT) avec les fournisseurs garantissant un niveau de protection équivalent
  • Évaluation régulière de la conformité des fournisseurs aux standards canadiens
  • Documentation complète des transferts dans le registre des traitements
  • Information transparente des personnes concernées sur les transferts via la politique de confidentialité
  • Recherche active d'alternatives canadiennes lorsque techniquement possible
  • Chiffrement des données sensibles en transit et au repos

5️⃣ Durée de conservation

Conformément au principe de limitation de la durée de conservation, les données sont conservées uniquement pour la durée nécessaire aux finalités.

Type de donnée Durée de conservation Raison Méthode de suppression
Formulaires de contact 24 mois Suivi client et historique des demandes pour assurer la continuité du service Suppression automatique après 24 mois ou suppression manuelle sur demande
Rendez-vous (Calendly) 12 mois Administration et suivi des rendez-vous, gestion des annulations et modifications Suppression via Calendly après 12 mois ou archivage automatique
Adresses IP / Journaux serveur 90 jours Sécurité, prévention des fraudes et analyse des incidents Rotation automatique des journaux, suppression après 90 jours
Cookies de session Selon expiration (max 1 an) Fonctionnement du site, maintien de la session utilisateur Expiration automatique selon la durée configurée (max 1 an)
Analytics anonymisés 26 mois Analyse de tendances, amélioration de l'expérience utilisateur et statistiques agrégées Anonymisation immédiate puis suppression automatique après 26 mois
Données de consentement Durée de validité du consentement Preuve du consentement donné par l'utilisateur Suppression lors du retrait du consentement ou après expiration du consentement
Emails (serveurs MX) 24 mois Communication avec les utilisateurs et historique des échanges Archivage puis suppression après 24 mois

6️⃣ Responsabilités internes (RPRP)

Responsable de la protection des renseignements personnels (RPRP)

Nom : Thomas Charest

Contact : contact@Soleodigital.com

Rôle : Assurer la conformité avec la Loi 25, gérer les demandes d'accès, coordonner les incidents de confidentialité, former le personnel

Processus de gestion des incidents de confidentialité

  • Détection : Surveillance continue via monitoring, alertes automatiques, signalement par le personnel
  • Évaluation : Analyse de la gravité et de l'impact dans les 24 heures suivant la détection
  • Notification :
    • Notification à la CAI dans les meilleurs délais (sous 72h si risque élevé)
    • Notification aux personnes concernées si risque élevé d'atteinte aux droits
    • Documentation complète de l'incident
  • Correction : Mesures correctives immédiates (fermeture de la faille, récupération des données si possible), analyse des causes, documentation de l'incident
  • Suivi : Revue post-incident, mise à jour des mesures de sécurité, formation supplémentaire si nécessaire

Registre des accès

Un registre des accès aux renseignements personnels est tenu et inclut :

  • Date et heure de l'accès
  • Identité de la personne ayant accédé (nom, fonction)
  • Type de données consultées (formulaire, email, rendez-vous, etc.)
  • Raison de l'accès (finalité légitime)
  • Résultat de l'accès (consultation, modification, suppression)
  • Durée de conservation du registre : 2 ans minimum

7️⃣ Validité de l'EFVP et révision

Date de validité : 30 novembre 2025

Date de révision prévue : 30 novembre 2026

Version : 1.0

Déclencheurs d'une nouvelle EFVP

Une nouvelle évaluation sera réalisée dans les cas suivants :

  • Changement significatif de technologie : nouveau CRM, nouveau système de paiement, nouveau système de gestion de contenu
  • Ajout de nouvelles fonctionnalités collectant des données personnelles (formulaires, intégrations, services tiers)
  • Changement d'hébergeur ou de localisation des données (migration vers un autre pays)
  • Modification des finalités de traitement (nouveaux usages des données)
  • Incident de sécurité majeur ayant affecté des renseignements personnels
  • Changement de la base légale du traitement (passage du consentement à l'intérêt légitime par exemple)
  • Demande de la CAI ou d'une autorité de contrôle
  • Modification de la structure organisationnelle affectant la gestion des données (nouveau partenaire, fusion, acquisition)

Processus de révision

  • Révision annuelle systématique pour s'assurer de la conformité continue
  • Révision immédiate en cas de déclencheur identifié ci-dessus
  • Documentation complète des changements et des décisions prises
  • Mise à jour de cette page publique et de la version PDF complète
  • Communication des changements significatifs aux personnes concernées si nécessaire

8️⃣ Conclusion sur la nécessité de réalisation du projet

✅ Évaluation globale

Le projet est acceptable sous réserve de l'application des mesures suivantes :

  • Mise en place d'une bannière de consentement aux cookies conforme à la Loi 25
  • Publication d'une politique de confidentialité détaillée et accessible
  • Renforcement des mesures de sécurité SSL/TLS (score minimum 80/100)
  • Évaluation régulière des alternatives canadiennes pour Calendly et autres services tiers
  • Formation du personnel sur la protection des renseignements personnels et la Loi 25
  • Mise en place d'un registre des traitements complet et à jour
  • Documentation des transferts internationaux et des garanties mises en place

Proportionnalité

Les finalités de traitement sont proportionnées aux objectifs légitimes poursuivis :

  • Les données collectées sont nécessaires et pertinentes pour les finalités déclarées
  • La durée de conservation est limitée au strict nécessaire (conformément au tableau de conservation ci-dessus)
  • Les mesures de sécurité sont adaptées à la sensibilité des données (chiffrement, accès contrôlé, monitoring)
  • Le principe de minimisation est respecté (seules les données nécessaires sont collectées)

Niveau de risque résiduel

Risque résiduel : MOYEN - Présence de transferts internationaux vers États-Unis, Variable, UE nécessitant une surveillance continue et des mesures d'atténuation.

Recommandation finale

Le projet peut être réalisé à condition que toutes les mesures d'atténuation identifiées dans cette EFVP soient mises en place et maintenues. Une surveillance continue et des révisions régulières sont nécessaires pour assurer la conformité continue avec la Loi 25.

Cette évaluation constitue une base solide pour la mise en conformité et doit être considérée comme un document vivant, mis à jour régulièrement selon les évolutions du projet et de la législation.

🔍 Renseignements personnels collectés

Types de renseignements

Type Source Finalité
Informations de contact Formulaires web Répondre aux demandes et communiquer avec les utilisateurs
Informations de rendez-vous Calendly Planification et gestion des rendez-vous
Données techniques Cookies, adresses IP, journaux serveur Fonctionnement du site, sécurité, statistiques

Technologies utilisées

Analytics Matomo Analytics Plausible Analytics Rendez-vous Calendly Sécurité hCaptcha Cloudflare Bot Management

🛡️ Mesures de protection

✅ Mesures en place

  • Utilisation d'analytics respectueux de la vie privée (Matomo Analytics, Plausible Analytics)
  • Hébergement au Canada (souveraineté des données)
  • Chiffrement HTTPS pour toutes les communications
  • Politique de confidentialité accessible

⚠️ Améliorations prévues

  • Mise en place d'une bannière de consentement aux cookies conforme
  • Publication d'une politique de confidentialité détaillée
  • Renforcement des mesures de sécurité SSL/TLS
  • Mise en place d'un registre des traitements complet

👤 Vos droits

Conformément à la Loi 25, vous avez le droit de :

Droit Description
Droit d'accès Vous pouvez demander une copie de vos renseignements personnels dans un délai de 30 jours
Droit de rectification Vous pouvez demander la correction de renseignements inexacts ou incomplets
Droit de suppression Vous pouvez demander la suppression de vos renseignements lorsque les finalités sont atteintes
Droit d'opposition Vous pouvez vous opposer à certains traitements pour des motifs légitimes
Droit de portabilité Vous pouvez demander le transfert de vos données dans un format structuré
Droit de retirer le consentement Vous pouvez retirer votre consentement à tout moment pour les traitements basés sur le consentement

📞 Contact

Pour exercer vos droits ou poser des questions

Responsable de la protection des renseignements personnels
Email : privacy@tc-k9.com
Téléphone : 418-262-5754

Délai de réponse : 30 jours maximum
Commission d'accès à l'information du Québec : www.cai.gouv.qc.ca

📄 Documents complémentaires

Dernière mise à jour : 30 novembre 2025

Cette EFVP est conforme au modèle de la Commission d'accès à l'information du Québec (CAI)
Version publique - Pour la version complète, consultez le PDF ci-dessus