Dernière édition : Septembre 2020
Page en cours de finalisation. version précédente : https://blog.zads.fr/guides-documentation-version-8/
Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).
En tant que fournisseur de services web de petites annonces, via le script ZADS, vous avez la responsabilité de respecter de cette réglementation qui entre en vigueur le 25 mai 2018.
Ce document présente les moyens techniques mis à disposition par le SCRIPT ZADS pour vous permettre l’atteinte de ces objectifs.
En tant que fournisseur de service de petites annonces pour les utilisateurs finaux de l'Union européenne, vous avez des responsabilités :
Vous devez mettre en œuvre tous les efforts raisonnables pour annoncer, de manière claire et obtenir le consentement pour la collecte, le partage et l'utilisation de données sur votre site
L’ensemble de ces informations doivent être explicitées via une page « politique de confidentialité » qui listera de façon claire les points suivants :
Ce document sera complété par la politique de cookies
ZADS apporte des moyens techniques pour simplifier la mise en conformité et sont décrit dans les sections suivantes.
Définissez un identifiant (login) unique à chaque utilisateur
Chaque utilisateur est identifié par un LOGIN et un EMAIL qui doit être unique dans le système et inexistant.
Toute création d’un nouvel utilisateur peut envoyer un email à l’administrateur du site avec des informations de Localisation (via l’adresse IP).
Il est également possible de n’autoriser l’accés au site qu’après APPROBATION du compte.
ZADS utilise une politique de SCORE sur les mots de passe qui consiste à combiner plusieurs critères de renforcement pour atteindre un score de 100 points. Le mot de passe ne peut jamais être égal à nom de login. Le Score est augmenté par :
Les mots de passe ne sont jamais stockés en clair (dans un fichier ou cookie ou base de données). Ils sont encryptés.
Lors d’un changement d’un mode passe, le mot de passe n’est pas envoyé en clair mais via un lien :
Depuis l’administration, on peut forcer un reset du mot de passe, un email est alors envoyé demandant à l’utilisateur de changer son mot de passe. (appuyer sur le cadenas)
ZADS n’a pas de mécanisme dans ce sens.
ZADS n’a pas de mécanisme dans ce sens.
ZADS travaille avec une gestion des ROLES (visiteur, owner, administrateur) qui limite les droits et fonctionnalités du site.
ZADS collecte des données privées (usagers ou annonces) et doivent être précisées dans la politique de confidentialité du site. On peut distinguer :
Les données typiques renseignées par le client :
Ces champs sont paramétrables (présenté oui/non et obligatoires) via le menu :
Lorsque vous contactez notre support client ou signalez une annonce, vous devez nous communiquer votre nom, prénom, et votre adresse email.
Lorsque vous répondez à une annonce sans être connecté à un Compte Personnel ou Professionnel, vous devez nous communiquer votre nom, prénom, et votre adresse email
ZADS utilisons une technologie d’analyse automatique du contenu des messages, afin de détecter des contenus non sollicités, y compris frauduleux.
En cliquant sur “Rechercher autour de moi” sur la page d’accueil de notre site, le client communiquer ses données de géolocalisation afin que nous puissions répondre à une recherche d’Annonces proches. Ces informations sont sauvegardée dans un COOKIE : ZADS_LOCATION
Pour des mesures d’audiences générales (par exemple le nombre de pages vues, le nombre de visites du Site, ainsi que l’activité des visiteurs sur le Site et leur fréquence de retour) , ZADS utilise GOOGLE ANALYTICS que vous pouvez activer ou non en ajoutant le code GOOGLE ANALYTICS
Pour les mesures de LIKE, MOST VIEWED, … , ZADS compatibilise des compteurs anonymes
Pour vous identifier et pour enregistrer, ZADS utilise les identifiants de connexion (notamment des identifiants concernant vos appareils mobiles) et des cookies ainsi que votre adresse IP l’activité. ZADS collecte les données techniques sur la connexion internet, le navigateur et le type d’appareil dans la section visiteurs (voir la section Journaux)
ZADS permet une gestion des publicités. Dans le cas d’intégration d’une publicité GOOGLE ADSENSE, un certain nombre de cookies tiers seront positionnées automatiquement par Google. Ces cookies contiennent des données personnelles. Le compteur ce click sur une publicité ZADS est anonyme
ZADS possède une fonctionnalité optionnelle qui permet de tracker les visiteurs (authentifié) lorsqu’ils visitent une annonce dans une catégorie particulière. Le but est de lancer ensuite un rappel par email si l’article n’est pas vendu après xx jours. Il est de la responsabilité du fournisseurs de service de communiquer cette information aux clients afin d’obtenir leur consentement.
Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque.
ZADS permet de collecter deux consentements :
Ce consentement est obligatoire. En cas de refus, l'utilisateur ne peut pas bénéficier des services du site. Le consentement est demandé lors de la création d'un compte ou d'une annonce. Le consentement est stocké attaché à l'annonce avec la version des condition (le CONTRAT) et la date de consentement.
La version du contrat peut être indiquée ici, via le menu ADMIN > CONFIGURATION > DISPOSITION
La version permet de redemander un consentement en cas de changement de version lors de la modification d'une annonce.
Il est nécessaire d'informer l'utilisateur de l'utilisation par le site de Cookies et obtenir le consentement de l'utilisateur. Pour activer le consentement via le menu ADMIN > CONFIGURATION > SECURITE
Le site affichera le bandeau de collecte du consentement en bas de page.
nom | usage |
---|---|
ZADSCUST_CSRF | Protection des formulalaires compte injection CSRF |
ZADSCUST_GLOB_DISCLAMER_ACCEPT | Sauvegarde de l'accord général aux conditions du site |
ZADSSESID | ID de session |
ZADSCUST_COOKIES_ACCEPT | Sauvegarde l'accord sur la sauvegarde des cookies |
fbm_xxxx | |
fbsr_xxx | Facebook TOKEN d'accés en cas d'utilisation du Login Facebook |
ZADSCUST_OAUTH_facebook_xxx | Recopie /normalisation du TOKEN d'accés en cas d'utilisation du Login Facebook |
__utmz | Google Analytics : Ce cookie stocke toutes les informations utiles à l'identification d'une source de trafic. C'est dans ce cookie que sont stockées les informations suivantes : la source de trafic, le support de cette source de trafic, le mot clé tapé si l'internaute consulte le site en provenance d'un moteur de recherche, etc. Par défaut, ce cookie a une durée de vie de 6 mois, cependant, il vous est possible de modifier cette limite grâce à la fonction : _setCookieTimeout() |
__utma | Google Analytics : Ce cookie est utilisé pour distinguer les visiteurs uniques sur votre site. Ce dernier est mis à jour à chaque page vue. |
__utmb | Google Analytics : Ce cookie est utilisé pour suivre la session de visite de l'internaute. Ce cookie expire dès que l'internaute reste inactif sur votre site plus de 30 minutes. L'utilisation de ce cookie couplée avec le cookie utmc permet de suivre de suivre les visites (sessions) sur un site donnée. |
__utmc | Google Analytics : Ce cookie fonctionne en complément du cookie utmb pour déterminer si oui ou il y a une nouvelle visite par le visiteur unique actuel. |
_gid | Ce nom de cookie est associé à Google Universal Analytics. Il stocke et met à jour une valeur unique pour chaque page visitée. |
_ga | Ce nom de cookie est associé à Google Universal Analytics, ce qui constitue une mise à jour importante du service d'analyse Google le plus utilisé. Ce cookie est utilisé pour distinguer les utilisateurs uniques en attribuant un numéro généré aléatoirement en tant qu'identifiant client. Il est inclus dans chaque demande de page dans un site et utilisé pour calculer les données de visiteurs, de sessions et de campagnes pour les rapports d'analyse de sites. il est défini pour expirer après 14 mois. |
/ Rectification des données L’utilisateur peut consulter et changer ses données privées via mon profil L’ensemble des champs est visible (hors adresse IP et dernier navigateur utilisé).
(automatique ou sur demande, droit à l’oubli) Un annonceur peur effacer complétement ses annonces (destruction complète ! )
Afin de garantir une reprise en cas de panne, effectuez des sauvegardes régulières et stockez les supports de sauvegarde dans un endroit sûr. ZADS permet un archivage automatisée (sur la tache CRON HEBDOMADAIRE) ou manuel des données (base de donnée) du site.
Une archive des fichiers de configurations est également envoyée par email à l’administrateur du site.
Pour plus d’information, consulter la page de gestion des sauvegardes
Aucun mécanisme automatisé de Transfer des données n’est en place sur ZADS. Les données peuvent cependant être exportée manuellement via export XLS ou récupérés depuis l'archive
ZADS possède un système de journalisation (logs) paramétrable.
On peut activer ou non les LOGs et contrôler la durée de rétention.
La journalisation des modifications est accessible aux annonceurs :
Journaux globaux pour l’administrateur Les logs peuvent être effacés définitivement v
Le Journal des paiements
Log des visiteurs
Le service de IP gélocalisation utilisée est https://geoiptool.com/
La GRDP nécessite la désignation d’un Délégué à la protection des données (DPO). Il doit être clairement indiqué dans les règles de vies privées sous la forme d’un email et une adresse postale ou un formulaire de signalement. Sur une annonce ou annonceur, on peut signaler un abus via :
On peut également activer un formulaire de contact.
Pour les commentaires ou évaluations, un bouton « flag » permet de signaler un contenu inapproprié. On peut automatiquement supprimer de la publication ou le garder et agir ensuite :
Idem pour les communications instantanées si l’option suivante est activée.
ZADS propose un certain nombre de pages statiques pour permettre l’Edition et les liens des confitions de vie privées et cookies dans votre site
Certaines pages sont déjà complétées (comme cookies) d’autres sont vierges.
Pour les annonces, ZADS permet un filtrage des contenus « abusifs » via
Une liste de mots interdits doit être indiquée dans la section « mots interdits » .
On peut activer un certain nombre d’alertes par email (vers l’administrateur) lors de la création de comptes ou d’annonces.
Lors de la création d’un utilisateur, des données de localisation (à partir de l’adresse IP) sont ajoutées (non sauvegardées) dans l’email comme ci-dessous :
Pour avoir la localisation, il faut activer l’option :
Il est possible de filtrer les accès au site via un mécanisme de BLACK-LISTES pour Emails et adresse IP.