RGPD

Dernière édition : Mai 2021

Avant-propos

Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).

En tant que fournisseur de services web de petites annonces, via le script ZADS, vous avez la responsabilité de respecter de cette réglementation qui entre en vigueur le 25 mai 2018.

Ce document présente les moyens techniques mis à disposition par le SCRIPT ZADS pour vous permettre l’atteinte de ces objectifs.

Principes

En tant que fournisseur de service de petites annonces pour les utilisateurs finaux de l'Union européenne, vous avez des responsabilités :

  • Vous devez mettre en œuvre tous les efforts raisonnables pour annoncer, de manière claire et obtenir le consentement pour la collecte, le partage et l'utilisation de données sur votre site

  • Vous devez mettre en œuvre tous les efforts raisonnables pour vous assurer que l'utilisateur final reçoit des informations claires et complètes concernant le stockage et l'utilisation des cookies ou de toute autre donnée sur son appareil si une activité en rapport avec un produit pour lequel ces règles s'appliquent à lieu, et qu'il y donne son consentement.

L’ensemble de ces informations doivent être explicitées via une page « politique de confidentialité » qui listera de façon claire les points suivants :

  1. Le type de données collectées
  2. Comment sont utilisées ses données
  3. Qui utilise ces données
  4. Qui est responsable des traitements fait sur ces données
  5. La durée de conversation des données
  6. Les droits et comment les exercer
  7. Identifier un contact délégué à la protection des données (DPO)
  8. Sécurisation des données

Ce document sera complété par la politique de cookies

ZADS apporte des moyens techniques pour simplifier la mise en conformité et sont décrit dans les sections suivantes.

Accés : autentification des utilisateurs

Définissez un identifiant (login) unique à chaque utilisateur

Chaque utilisateur est identifié par un LOGIN et un EMAIL qui doit être unique dans le système et inexistant.

Toute création d’un nouvel utilisateur peut envoyer un email à l’administrateur du site avec des informations de Localisation (via l’adresse IP).

Il est également possible de n’autoriser l’accés au site qu’après APPROBATION du compte.

Adoptez une politique de mot de passe :

ZADS utilise une politique de SCORE sur les mots de passe qui consiste à combiner plusieurs critères de renforcement pour atteindre un score de 100 points. Le mot de passe ne peut jamais être égal à nom de login. Le Score est augmenté par :

  • //password length > 4
  • //password has 3 numbers
  • //password has 2 symbols
  • //password has Upper and Lower chars
  • //password has number and chars
  • //password has number and symbol

Les mots de passe ne sont jamais stockés en clair (dans un fichier ou cookie ou base de données). 
Ils sont encryptés.

site-rgpd-password

Lors d’un changement d’un mode passe, le mot de passe n’est pas envoyé en clair mais via un lien : site-rgpd-passwordemail

Obligez l’utilisateur à changer son mot de passe après réinitialisation :

Depuis l’administration, on peut forcer un reset du mot de passe, un email est alors envoyé demandant à l’utilisateur de changer son mot de passe. (appuyer sur le cadenas)

Changer régulièrement les mots de passe :  

ZADS n’a pas de mécanisme dans ce sens.

Limitez le nombre de tentatives d’accès à un compte :

ZADS n’a pas de mécanisme dans ce sens.

Accès administrateurs / gestion des rôles

ZADS travaille avec une gestion des ROLES (visiteur, owner, administrateur) qui limite les droits et fonctionnalités du site.

Données collectées

ZADS collecte des données privées (usagers ou annonces) et doivent être précisées dans la politique de confidentialité du site. On peut distinguer :

  • Les données renseignées par le client
  • Les données collectées automatiquement
  • Les données partenaires.

Les données typiques renseignées par le client :

  • Lors de la création d’un compte : Civilité, nom, prénom, numéro de téléphone, adresse postale, date de naissance, spécialités, …
  • Lors du dépôt d’annonce : pseudo, email, numéro de téléphone, ville et localisation via la géolocalisation).

Ces champs sont paramétrables (présenté oui/non et obligatoires) via le menu :

Contact support client ou signalement d’annonces

Lorsque vous contactez notre support client ou signalez une annonce, vous devez nous communiquer votre nom, prénom, et votre adresse email.

Répondre à une annonce

Lorsque vous répondez à une annonce sans être connecté à un Compte Personnel ou Professionnel, vous devez nous communiquer votre nom, prénom, et votre adresse email

Utilisation de la Messagerie intégrée

ZADS utilisons une technologie d’analyse automatique du contenu des messages, afin de détecter des contenus non sollicités, y compris frauduleux.

Rechercher autour de moi

En cliquant sur “Rechercher autour de moi” sur la page d’accueil de notre site, le client communiquer ses données de géolocalisation afin que nous puissions répondre à une recherche d’Annonces proches. Ces informations sont sauvegardée dans un COOKIE : ZADS_LOCATION

Données collectées automatiquement :

Pour des mesures d’audiences générales (par exemple le nombre de pages vues, le nombre de visites du Site, ainsi que l’activité des visiteurs sur le Site et leur fréquence de retour) , ZADS utilise GOOGLE ANALYTICS que vous pouvez activer ou non en ajoutant le code GOOGLE ANALYTICS

Pour les mesures de LIKE, MOST VIEWED, … , ZADS compatibilise des compteurs anonymes

Pour vous identifier et pour enregistrer, ZADS utilise les identifiants de connexion (notamment des identifiants concernant vos appareils mobiles) et des cookies ainsi que votre adresse IP l’activité. ZADS collecte les données techniques sur la connexion internet, le navigateur et le type d’appareil dans la section visiteurs (voir la section Journaux)

Publicités & trackers

En application de la directive ePrivacy, les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement.

ZADS permet une gestion des publicités. Dans le cas d’intégration d’une publicité GOOGLE ADSENSE, un certain nombre de cookies tiers seront positionnées automatiquement par Google. Ces cookies contiennent des données personnelles. Le compteur ce click sur une publicité ZADS est anonyme

Traceurs spécifiques

ZADS possède une fonctrion optionnelle qui permet de tracer les visiteurs authentifiés lorsqu’ils visitent une annonce dans une catégorie particulière. Le but est de lancer ensuite un rappel par email si l’article n’est pas vendu après xx jours. Il est de la responsabilité du fournisseurs de service de communiquer cette information aux clients afin d’obtenir leur consentement.

site-rgpd-tracker

Recueillir le consentement

Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque.
ZADS permet de collecter deux consentements :

Consentement sur le conditions d'utilisation du site.

site-ad-nopreview

Ce consentement est obligatoire. En cas de refus, l'utilisateur ne peut pas bénéficier des services du site. Le consentement est demandé lors de la création d'un compte ou d'une annonce. Le consentement est stocké attaché à l'annonce avec la version des condition (le CONTRAT) et la date de consentement.

La version du contrat peut être indiquée ici, via le menu ADMIN > CONFIGURATION > DISPOSITION admin-rgpd-consentversion

La version permet de redemander un consentement en cas de changement de version lors de la modification d'une annonce.

site-rgpd-consentrenew

Consentement sur les cookies (ePrivacy)

ZADS propose 2 niveaux de consentement pour les traceurs (cookies) en lien avec la règlementation RGPD :

  • consentement simple (j'accepte)
  • consentement sélectif (choix des traceurs) obligatoire en France depuis le 01 Avril 2021.

Consentement simple

Il est nécessaire d'informer l'utilisateur de l'utilisation par le site de Cookies et obtenir le consentement de l'utilisateur. Pour activer le consentement via le menu ADMIN > CONFIGURATION > SECURITE admin-rgpd-cookieen

Le site affichera le bandeau de collecte du consentement en bas de page. site-rgpd-cookie

Le consentement doit se manifester par une action positive de la personne préalablement informée, notamment, des conséquences de son choix et disposant des moyens d’accepter, de refuser et de retirer son consentement.

Consentement sélectif

Depuis le 1ier Avril 2021, l'utilisateur doit avoir le choix de donner son consentement selectivement sur certains traceurs. ZADS permet d'enregistrer ces consentements et d'agir en conséquence sur le fonctionnement du site.

Pour activer ce consentement sélectif utilisez e menu ADMIN > CONFIGURATION > SECURITE admin-rgpd-cookieen

Le site affichera le bandeau de choix du consentement en bas de page. site-rgpd-cookie

L'utilisateur peut alors gérér ses préférences et la fenêtre de sélection d'affiche. site-rgpd-cookie

La liste des options doit être alignée avec les options activées sur le site. On ajustera cela via le menu ADMIN > CONFIGURATION > SECURITE admin-rgpd-cookieen

Si le consentement n'est pas accordé, la fonction est désactivée .

Exemple pour la fenêtre de connection si le consentement réseaux sociax n'est pas activé admin-rgpd-cookieen

Cas de Google Analytics

Les traceurs de Google (Analytics) activés depuis le site via le menu ADMIN > CONFIG. > AUTRES ont le comportement suivant :

  • si consentement simple : ils sont toujours activés quelque soit le consentement (donné ou pas).
  • si consentement sélectif : ils ne sont activés qu'aprés consentement spécifique donné par l'utilisateur. Dans ce dernier cas,si les utilisateurs ne donnent pas leur consentement et continuent de naviguer sur ls site, alors les statistiques de visite du site seront partielles.

Liste des Cookies utilisée sur le site

nom usage
ZADSCUST_CSRF Protection des formulalaires compte injection CSRF
ZADSCUST_GLOB_DISCLAMER_ACCEPT Sauvegarde de l'accord général aux conditions du site
ZADSSESID ID de session
ZADSCUST_COOKIES_CONSENT Sauvegarde l'accord sur la sauvegarde des cookies
ZADSCUST_CART Sauvegarde des élements du panier de commande en cours (mode place de marché activée)
ZADSCUST_VOTES sauvegarde des évaluations sur une annonce
fbm_xxxx Facebook
fbsr_xxx Facebook TOKEN d'accés en cas d'utilisation du Login Facebook
ZADSCUST_OAUTH_facebook_xxx Recopie /normalisation du TOKEN d'accés en cas d'utilisation du Login Facebook
__utmz Google Analytics : Ce cookie stocke toutes les informations utiles à l'identification d'une source de trafic. C'est dans ce cookie que sont stockées les informations suivantes : la source de trafic, le support de cette source de trafic, le mot clé tapé si l'internaute consulte le site en provenance d'un moteur de recherche, etc. Par défaut, ce cookie a une durée de vie de 6 mois, cependant, il vous est possible de modifier cette limite grâce à la fonction : _setCookieTimeout()
__utma Google Analytics : Ce cookie est utilisé pour distinguer les visiteurs uniques sur votre site. Ce dernier est mis à jour à chaque page vue.
__utmb Google Analytics : Ce cookie est utilisé pour suivre la session de visite de l'internaute. Ce cookie expire dès que l'internaute reste inactif sur votre site plus de 30 minutes. L'utilisation de ce cookie couplée avec le cookie utmc permet de suivre de suivre les visites (sessions) sur un site donnée.
__utmc Google Analytics : Ce cookie fonctionne en complément du cookie utmb pour déterminer si oui ou il y a une nouvelle visite par le visiteur unique actuel.
_gid Ce nom de cookie est associé à Google Universal Analytics. Il stocke et met à jour une valeur unique pour chaque page visitée.
_ga Ce nom de cookie est associé à Google Universal Analytics, ce qui constitue une mise à jour importante du service d'analyse Google le plus utilisé. Ce cookie est utilisé pour distinguer les utilisateurs uniques en attribuant un numéro généré aléatoirement en tant qu'identifiant client. Il est inclus dans chaque demande de page dans un site et utilisé pour calculer les données de visiteurs, de sessions et de campagnes pour les rapports d'analyse de sites. il est défini pour expirer après 14 mois.

Accès aux données par l’utilisateur

/ Rectification des données L’utilisateur peut consulter et changer ses données privées via mon profil L’ensemble des champs est visible (hors adresse IP et dernier navigateur utilisé).

Destruction des données

(automatique ou sur demande, droit à l’oubli) Un annonceur peur effacer complétement ses annonces (destruction complète ! )

Accès/destruction par d'administrateur

Un menu de l'interface d'administration permet d'accéder aux données privées d'un utilisateur (pour les imprimer par exemple) via le menu ADMIN > USAGERS > DONNEES PERSONNELLES comme ci-dessous.

admin-gdpr-menu

Une interface permet de saisir le nom ou prénom ou email d'une personne et rechercher toutes les données personnelles sauvegardées. admin-gdpr-menu

Cette interface permet également de supprimer ces données (en totalité ou partiellement). admin-gdpr-menu

Archive des données

Afin de garantir une reprise en cas de panne, effectuez des sauvegardes régulières et stockez les supports de sauvegarde dans un endroit sûr. ZADS permet un archivage automatisée (sur la tache CRON HEBDOMADAIRE) ou manuel des données (base de donnée) du site.

Une archive des fichiers de configurations est également envoyée par email à l’administrateur du site.

Pour plus d’information, consulter la page de gestion des sauvegardes

Portabilité des données (vers un tiers)

Aucun mécanisme automatisé de Transfer des données n’est en place sur ZADS. Les données peuvent cependant être exportée manuellement via export XLS ou récupérés depuis l'archive

Journalisation des accès et opérations

ZADS possède un système de journalisation (logs) paramétrable.

  • Journalisation des accés au site des membres
  • Journalisation des taches automatisées
  • Journalisation des modifications sur annonces/annonceurs
  • Journal des VISITEURS

On peut activer ou non les LOGs et contrôler la durée de rétention.

La journalisation des modifications est accessible aux annonceurs :

Journaux globaux pour l’administrateur
Les logs peuvent être effacés définitivement v

Le Journal des paiements

Log des visiteurs

Le service de IP gélocalisation utilisée est https://geoiptool.com/

Contacter le responsable / Reporter une vulnérabilité

La GRDP nécessite la désignation d’un Délégué à la protection des données (DPO). Il doit être clairement indiqué dans les règles de vies privées sous la forme d’un email et une adresse postale ou un formulaire de signalement. Sur une annonce ou annonceur, on peut signaler un abus via :

site-rgpd-flagmash

On peut également activer un formulaire de contact. site-rgpd-contactus

Pour les commentaires ou évaluations, un bouton « flag » permet de signaler un contenu inapproprié. On peut automatiquement supprimer de la publication ou le garder et agir ensuite :

site-rgpd-evalflag

Idem pour les communications instantanées si l’option suivante est activée.

site-rgpd-convflag

Informer sur la GRPR et les droits

ZADS propose un certain nombre de pages statiques pour permettre l’Edition et les liens sur

  • conditions de vie privées
  • cookies dans votre site

site-rgpd-info

Ces pages sont déjà complétées (comme cookies et vie privées) mais nécéssite une adaptation à chaque site fonction des modules activés et de la finalité du site.

Pour plus d’information, consulter la page de édition du contenu des pages statiques

Respect de l’intégrité morale / filtrage des messages

Pour les annonces, ZADS permet un filtrage des contenus « abusifs » via admin-rgpd-filter

Une liste de mots interdits doit être indiquée dans la section « mots interdits » .

Détection des vulnérabilités / protection

On peut activer un certain nombre d’alertes par email (vers l’administrateur) lors de la création de comptes ou d’annonces.

Lors de la création d’un utilisateur, des données de localisation (à partir de l’adresse IP) sont ajoutées (non sauvegardées) dans l’email comme ci-dessous :

email-rgpd-ipdetails

Pour avoir la localisation, il faut activer l’option : email-rgpd-ipdetails

Il est possible de filtrer les accès au site via un mécanisme de BLACK-LISTES pour Emails et adresse IP.

admin-rgpd-blacklists