Verimont ne fait pas un scan passif. Un navigateur en direct charge votre domaine, intercepte ce qu'il transmet, interagit avec votre interface de consentement et teste si votre site respecte un utilisateur qui dit non. Chaque constat est documenté avec des preuves observées avant la rédaction de toute analyse.
Le scan s'exécute en trois phases avant la génération de tout rapport. Chaque phase produit des preuves structurées. Le rapport est rédigé à partir de ces preuves, et non à partir d'hypothèses.
Un navigateur en direct charge votre domaine à partir d'un état vierge — sans témoins, sans signal de consentement préalable, sans historique de navigation. Chaque requête réseau est capturée dès le premier octet. Nous enregistrez les scripts qui se déclenchent, le moment où ils se déclenchent, les domaines tiers qu'ils contactent, et si l'une de ces activités précède un signal de consentement de l'utilisateur.
Il ne s'agit pas d'un scan simulé. C'est une interception en direct de votre site tel qu'il se comporte réellement pour un nouveau visiteur.
Nous interagissons avec votre interface de consentement comme le ferait un utilisateur réel. Trois tests s'exécutent en séquence.
Premièrement, nous cliquons sur « Tout refuser » et observons si votre site honore le refus. Les scripts de suivi qui continuent de transmettre des données après un signal de refus ne sont pas un écart de configuration. Ce sont une violation active de la Loi 25, art. 8.1.
Deuxièmement, nous mesurons le nombre de clics nécessaires pour accepter les témoins, puis le nombre de clics nécessaires pour retirer ce consentement. La Loi 25 exige que le retrait soit aussi simple que le consentement. Si l'acceptation prend un clic et le retrait quatre étapes de navigation, cet écart est un constat citable avec un nombre précis de clics comme preuve.
Troisièmement, nous testons les motifs sombres visuels dans l'interface de consentement rendue : si les options de refus sont visuellement atténuées, si le consentement est implicite par l'utilisation continue, et si la finalité de la collecte de données est indiquée ou absente.
Nous parcourons chaque document juridique accessible publiquement sur votre domaine. Politique de confidentialité, politique de témoins, déclaration de témoins, conditions d'utilisation, page de contact, pages du centre d'aide relatives aux demandes de données, et les versions françaises de tout ce qui précède.
Chaque document est analysé à l'aide d'une liste de vérification statutaire structurée. Chaque réussite, échec et résultat partiel est documenté avec une citation textuelle de votre propre document comme preuve. Rien n'est inféré. S'il ne figure pas dans vos documents publiés, il n'est pas crédité.
Chaque constat se rapporte à l'un des quatre vecteurs. Chevauchement nul entre les catégories. Aucune lacune dans la couverture. Le résultat est une cartographie des responsabilités qui résiste à l'examen réglementaire.
La porte d'entrée. Chaque site commercial est une machine de collecte de données. La question que pose la Loi 25 est simple : avez-vous demandé d'abord, et l'avez-vous respecté quand quelqu'un a dit non ?
Ce vecteur documente ce que votre site transmet avant le consentement, comment votre interface de consentement se comporte lors de l'interaction, si un signal de refus est honoré, et si le retrait est opérationnellement équivalent à l'acceptation.
La paperasse. Les cadres réglementaires ne se contentent pas d'imposer des comportements. Ils imposent des structures de responsabilité et la divulgation publique de la personne responsable.
Ce vecteur vérifie si votre organisation a désigné publiquement un responsable de la protection des renseignements personnels nommé avec une voie de contact fonctionnelle, si votre politique de confidentialité est disponible en français pour les personnes situées au Québec, si elle fait explicitement référence à la législation applicable, et si elle a été mise à jour depuis l'entrée en vigueur complète de la Loi 25 en septembre 2023.
L'arrière-plan. L'endroit où les données résident physiquement détermine quel gouvernement peut exiger leur divulgation.
Ce vecteur trace vos enregistrements DNS, résout l'adresse IP de votre serveur à une juridiction et un opérateur de centre de données, identifie votre fournisseur CDN via l'analyse de chaîne CNAME et énumère les sous-domaines à partir des journaux de transparence des certificats. Si un composant de votre infrastructure fonctionne sur un fournisseur dont le siège est aux États-Unis, y compris AWS, Google Cloud, Azure, Cloudflare ou Fastly, vos données peuvent être accessibles par les autorités fédérales américaines en vertu du CLOUD Act, peu importe où les données résident physiquement.
La sortie. Savoir quelles données vous détenez est le minimum. Avoir une infrastructure opérationnelle pour les supprimer, les exporter et répondre aux demandes d'accès des personnes dans les délais prescrits est l'exigence.
Ce vecteur vérifie s'il existe une voie fonctionnelle de demande d'accès au-delà d'une déclaration de politique, si un mécanisme de suppression est documenté et accessible, si la portabilité des données est prise en charge, et si les procédures de notification de violations sont publiées.
Projet de loi 64, maintenant en vigueur complète. La législation provinciale sur la vie privée la plus exigeante au Canada. S'applique à toute organisation traitant des renseignements personnels de résidents du Québec, peu importe où l'organisation est établie. La pleine application est active depuis septembre 2023.
La LPRPSE régit les organisations commerciales sous juridiction fédérale. Le projet de loi C-27, la Loi sur la protection de la vie privée des consommateurs, est actuellement devant le Parlement et n'est pas encore en vigueur. Il propose des réformes importantes, y compris un délit statutaire de violation de la vie privée et des amendes allant jusqu'à 10 M$ ou 3 % du chiffre d'affaires mondial. Verimont audite selon les exigences actuelles de la LPRPSE et signale l'exposition qui constituerait une violation selon le cadre proposé de la LPVPC, clairement marqué comme législation en attente.
Non pas une loi canadienne, mais directement pertinent à la souveraineté des données canadiennes. Le CLOUD Act permet aux agences fédérales américaines d'exiger des fournisseurs de cloud domiciliés aux États-Unis qu'ils divulguent des données stockées n'importe où dans le monde. Si votre infrastructure fonctionne sur un fournisseur dont le siège est aux États-Unis, vos données peuvent être accessibles par les autorités américaines sans votre savoir ni votre consentement. Verimont identifie chaque composant de votre infrastructure soumis à cette exposition.
Le rapport complet est livré sur une page sécurisée du site Verimont et peut être téléchargé en PDF. Chaque constat comprend les preuves observées, la loi applicable citée par numéro d'article, et un lien direct vers la législation. Rien n'est affirmé sans documentation.
Sans carte de crédit. Sans compte. Confidentiel.
Confidentiel. Sans carte de crédit. Sans compte.