RDPD

Dernière édition : Septembre 2020

Page en cours de finalisation. version précédente : https://blog.zads.fr/guides-documentation-version-8/

Avant-propos

Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).

En tant que fournisseur de services web de petites annonces, via le script ZADS, vous avez la responsabilité de respecter de cette réglementation qui entre en vigueur le 25 mai 2018.

Ce document présente les moyens techniques mis à disposition par le SCRIPT ZADS pour vous permettre l’atteinte de ces objectifs.

Principes

En tant que fournisseur de service de petites annonces pour les utilisateurs finaux de l'Union européenne, vous avez des responsabilités :

  • Vous devez mettre en œuvre tous les efforts raisonnables pour annoncer, de manière claire et obtenir le consentement pour la collecte, le partage et l'utilisation de données sur votre site

  • Vous devez mettre en œuvre tous les efforts raisonnables pour vous assurer que l'utilisateur final reçoit des informations claires et complètes concernant le stockage et l'utilisation des cookies ou de toute autre donnée sur son appareil si une activité en rapport avec un produit pour lequel ces règles s'appliquent à lieu, et qu'il y donne son consentement.

L’ensemble de ces informations doivent être explicitées via une page « politique de confidentialité » qui listera de façon claire les points suivants :

  1. Le type de données collectées
  2. Comment sont utilisées ses données
  3. Qui utilise ces données
  4. Qui est responsable des traitements fait sur ces données
  5. La durée de conversation des données
  6. Les droits et comment les exercer
  7. Identifier un contact délégué à la protection des données (DPO)
  8. Sécurisation des données

Ce document sera complété par la politique de cookies

ZADS apporte des moyens techniques pour simplifier la mise en conformité et sont décrit dans les sections suivantes.

Accés : autentification des utilisateurs

Définissez un identifiant (login) unique à chaque utilisateur

Chaque utilisateur est identifié par un LOGIN et un EMAIL qui doit être unique dans le système et inexistant.

Toute création d’un nouvel utilisateur peut envoyer un email à l’administrateur du site avec des informations de Localisation (via l’adresse IP).

Il est également possible de n’autoriser l’accés au site qu’après APPROBATION du compte.

Adoptez une politique de mot de passe :

ZADS utilise une politique de SCORE sur les mots de passe qui consiste à combiner plusieurs critères de renforcement pour atteindre un score de 100 points. Le mot de passe ne peut jamais être égal à nom de login. Le Score est augmenté par :

  • //password length > 4
  • //password has 3 numbers
  • //password has 2 symbols
  • //password has Upper and Lower chars
  • //password has number and chars
  • //password has number and symbol

Les mots de passe ne sont jamais stockés en clair (dans un fichier ou cookie ou base de données). 
Ils sont encryptés.

site-rgpd-password

Lors d’un changement d’un mode passe, le mot de passe n’est pas envoyé en clair mais via un lien : site-rgpd-passwordemail

Obligez l’utilisateur à changer son mot de passe après réinitialisation :

Depuis l’administration, on peut forcer un reset du mot de passe, un email est alors envoyé demandant à l’utilisateur de changer son mot de passe. (appuyer sur le cadenas)

Changer régulièrement les mots de passe :  

ZADS n’a pas de mécanisme dans ce sens.

Limitez le nombre de tentatives d’accès à un compte :

ZADS n’a pas de mécanisme dans ce sens.

Accès administrateurs / gestion des rôles

ZADS travaille avec une gestion des ROLES (visiteur, owner, administrateur) qui limite les droits et fonctionnalités du site.

Données collectées

ZADS collecte des données privées (usagers ou annonces) et doivent être précisées dans la politique de confidentialité du site. On peut distinguer :

  • Les données renseignées par le client
  • Les données collectées automatiquement
  • Les données partenaires.

Les données typiques renseignées par le client :

  • Lors de la création d’un compte : Civilité, nom, prénom, numéro de téléphone, adresse postale, date de naissance, spécialités, …
  • Lors du dépôt d’annonce : pseudo, email, numéro de téléphone, ville et localisation via la géolocalisation).

Ces champs sont paramétrables (présenté oui/non et obligatoires) via le menu :

Contact support client ou signalement d’annonces

Lorsque vous contactez notre support client ou signalez une annonce, vous devez nous communiquer votre nom, prénom, et votre adresse email.

Répondre à une annonce

Lorsque vous répondez à une annonce sans être connecté à un Compte Personnel ou Professionnel, vous devez nous communiquer votre nom, prénom, et votre adresse email

Utilisation de la Messagerie intégrée

ZADS utilisons une technologie d’analyse automatique du contenu des messages, afin de détecter des contenus non sollicités, y compris frauduleux.

Rechercher autour de moi

En cliquant sur “Rechercher autour de moi” sur la page d’accueil de notre site, le client communiquer ses données de géolocalisation afin que nous puissions répondre à une recherche d’Annonces proches. Ces informations sont sauvegardée dans un COOKIE : ZADS_LOCATION

Données collectées automatiquement :

Pour des mesures d’audiences générales (par exemple le nombre de pages vues, le nombre de visites du Site, ainsi que l’activité des visiteurs sur le Site et leur fréquence de retour) , ZADS utilise GOOGLE ANALYTICS que vous pouvez activer ou non en ajoutant le code GOOGLE ANALYTICS

Pour les mesures de LIKE, MOST VIEWED, … , ZADS compatibilise des compteurs anonymes

Pour vous identifier et pour enregistrer, ZADS utilise les identifiants de connexion (notamment des identifiants concernant vos appareils mobiles) et des cookies ainsi que votre adresse IP l’activité. ZADS collecte les données techniques sur la connexion internet, le navigateur et le type d’appareil dans la section visiteurs (voir la section Journaux)

Publicités & trackers

ZADS permet une gestion des publicités. Dans le cas d’intégration d’une publicité GOOGLE ADSENSE, un certain nombre de cookies tiers seront positionnées automatiquement par Google. Ces cookies contiennent des données personnelles. Le compteur ce click sur une publicité ZADS est anonyme

Trackers spécifiques

ZADS possède une fonctionnalité optionnelle qui permet de tracker les visiteurs (authentifié) lorsqu’ils visitent une annonce dans une catégorie particulière. Le but est de lancer ensuite un rappel par email si l’article n’est pas vendu après xx jours. Il est de la responsabilité du fournisseurs de service de communiquer cette information aux clients afin d’obtenir leur consentement.

site-rgpd-tracker

Obtenir le consentement

Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque.
ZADS permet de collecter deux consentements :

Consentement sur le conditions d'utilisation du site.

site-ad-nopreview

Ce consentement est obligatoire. En cas de refus, l'utilisateur ne peut pas bénéficier des services du site. Le consentement est demandé lors de la création d'un compte ou d'une annonce. Le consentement est stocké attaché à l'annonce avec la version des condition (le CONTRAT) et la date de consentement.

La version du contrat peut être indiquée ici, via le menu ADMIN > CONFIGURATION > DISPOSITION admin-rgpd-consentversion

La version permet de redemander un consentement en cas de changement de version lors de la modification d'une annonce.

site-rgpd-consentrenew

Consentement sur les cookies (ePrivacy)

Il est nécessaire d'informer l'utilisateur de l'utilisation par le site de Cookies et obtenir le consentement de l'utilisateur. Pour activer le consentement via le menu ADMIN > CONFIGURATION > SECURITE admin-rgpd-cookieen

Le site affichera le bandeau de collecte du consentement en bas de page. site-rgpd-cookie

Liste des Cookies utilisée sur le site

nom usage
ZADSCUST_CSRF Protection des formulalaires compte injection CSRF
ZADSCUST_GLOB_DISCLAMER_ACCEPT Sauvegarde de l'accord général aux conditions du site
ZADSSESID ID de session
ZADSCUST_COOKIES_ACCEPT Sauvegarde l'accord sur la sauvegarde des cookies
fbm_xxxx Facebook
fbsr_xxx Facebook TOKEN d'accés en cas d'utilisation du Login Facebook
ZADSCUST_OAUTH_facebook_xxx Recopie /normalisation du TOKEN d'accés en cas d'utilisation du Login Facebook
__utmz Google Analytics : Ce cookie stocke toutes les informations utiles à l'identification d'une source de trafic. C'est dans ce cookie que sont stockées les informations suivantes : la source de trafic, le support de cette source de trafic, le mot clé tapé si l'internaute consulte le site en provenance d'un moteur de recherche, etc. Par défaut, ce cookie a une durée de vie de 6 mois, cependant, il vous est possible de modifier cette limite grâce à la fonction : _setCookieTimeout()
__utma Google Analytics : Ce cookie est utilisé pour distinguer les visiteurs uniques sur votre site. Ce dernier est mis à jour à chaque page vue.
__utmb Google Analytics : Ce cookie est utilisé pour suivre la session de visite de l'internaute. Ce cookie expire dès que l'internaute reste inactif sur votre site plus de 30 minutes. L'utilisation de ce cookie couplée avec le cookie utmc permet de suivre de suivre les visites (sessions) sur un site donnée.
__utmc Google Analytics : Ce cookie fonctionne en complément du cookie utmb pour déterminer si oui ou il y a une nouvelle visite par le visiteur unique actuel.
_gid Ce nom de cookie est associé à Google Universal Analytics. Il stocke et met à jour une valeur unique pour chaque page visitée.
_ga Ce nom de cookie est associé à Google Universal Analytics, ce qui constitue une mise à jour importante du service d'analyse Google le plus utilisé. Ce cookie est utilisé pour distinguer les utilisateurs uniques en attribuant un numéro généré aléatoirement en tant qu'identifiant client. Il est inclus dans chaque demande de page dans un site et utilisé pour calculer les données de visiteurs, de sessions et de campagnes pour les rapports d'analyse de sites. il est défini pour expirer après 14 mois.

Accès aux données par l’utilisateur

/ Rectification des données L’utilisateur peut consulter et changer ses données privées via mon profil L’ensemble des champs est visible (hors adresse IP et dernier navigateur utilisé).

Destruction des données

(automatique ou sur demande, droit à l’oubli) Un annonceur peur effacer complétement ses annonces (destruction complète ! )

Archive des données

Afin de garantir une reprise en cas de panne, effectuez des sauvegardes régulières et stockez les supports de sauvegarde dans un endroit sûr. ZADS permet un archivage automatisée (sur la tache CRON HEBDOMADAIRE) ou manuel des données (base de donnée) du site.

Une archive des fichiers de configurations est également envoyée par email à l’administrateur du site.

Pour plus d’information, consulter la page de gestion des sauvegardes

Portabilité des données (vers un tiers)

Aucun mécanisme automatisé de Transfer des données n’est en place sur ZADS. Les données peuvent cependant être exportée manuellement via export XLS ou récupérés depuis l'archive

Journalisation des accès et opérations

ZADS possède un système de journalisation (logs) paramétrable.

  • Journalisation des accés au site des membres
  • Journalisation des taches automatisées
  • Journalisation des modifications sur annonces/annonceurs
  • Journal des VISITEURS

On peut activer ou non les LOGs et contrôler la durée de rétention.

La journalisation des modifications est accessible aux annonceurs :

Journaux globaux pour l’administrateur
Les logs peuvent être effacés définitivement v

Le Journal des paiements

Log des visiteurs

Le service de IP gélocalisation utilisée est https://geoiptool.com/

Contacter le responsable / Reporter une vulnérabilité

La GRDP nécessite la désignation d’un Délégué à la protection des données (DPO). Il doit être clairement indiqué dans les règles de vies privées sous la forme d’un email et une adresse postale ou un formulaire de signalement. Sur une annonce ou annonceur, on peut signaler un abus via :

site-rgpd-flagmash

On peut également activer un formulaire de contact.

Pour les commentaires ou évaluations, un bouton « flag » permet de signaler un contenu inapproprié. On peut automatiquement supprimer de la publication ou le garder et agir ensuite :

site-rgpd-evalflag

Idem pour les communications instantanées si l’option suivante est activée.

site-rgpd-convflag

Informer sur la GRPR et les droits

ZADS propose un certain nombre de pages statiques pour permettre l’Edition et les liens des confitions de vie privées et cookies dans votre site

site-rgpd-info

Certaines pages sont déjà complétées (comme cookies) d’autres sont vierges.

Respect de l’intégrité morale / filtrage des messages

Pour les annonces, ZADS permet un filtrage des contenus « abusifs » via admin-rgpd-filter

Une liste de mots interdits doit être indiquée dans la section « mots interdits » .

Détection des vulnérabilités / protection

On peut activer un certain nombre d’alertes par email (vers l’administrateur) lors de la création de comptes ou d’annonces.

Lors de la création d’un utilisateur, des données de localisation (à partir de l’adresse IP) sont ajoutées (non sauvegardées) dans l’email comme ci-dessous :

email-rgpd-ipdetails

Pour avoir la localisation, il faut activer l’option : email-rgpd-ipdetails

Il est possible de filtrer les accès au site via un mécanisme de BLACK-LISTES pour Emails et adresse IP.

admin-rgpd-blacklists