Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).
En tant que fournisseur de services web de petites annonces, via le script ZADS, vous avez la responsabilité de respecter de cette réglementation qui entre en vigueur le 25 mai 2018.
Ce document présente les moyens techniques mis à disposition par le SCRIPT ZADS pour vous permettre l’atteinte de ces objectifs.
En tant que fournisseur de service de petites annonces pour les utilisateurs finaux de l'Union européenne, vous avez des responsabilités :
Vous devez mettre en œuvre tous les efforts raisonnables pour annoncer, de manière claire et obtenir le consentement pour la collecte, le partage et l'utilisation de données sur votre site
Vous devez mettre en œuvre tous les efforts raisonnables pour vous assurer que l'utilisateur final reçoit des informations claires et complètes concernant le stockage et l'utilisation des cookies ou de toute autre donnée sur son appareil si une activité en rapport avec un produit pour lequel ces règles s'appliquent à lieu, et qu'il y donne son consentement.
L’ensemble de ces informations doivent être explicitées via une page « politique de confidentialité » qui listera de façon claire les points suivants :
Ce document sera complété par la politique de cookies
ZADS apporte des moyens techniques pour simplifier la mise en conformité et sont décrit dans les sections suivantes.
Définissez un identifiant (login) unique à chaque utilisateur
Chaque utilisateur est identifié par un LOGIN et un EMAIL qui doit être unique dans le système et inexistant.
Toute création d’un nouvel utilisateur peut envoyer un email à l’administrateur du site avec des informations de Localisation (via l’adresse IP).
Il est également possible de n’autoriser l’accés au site qu’après APPROBATION du compte.
ZADS utilise une politique de SCORE sur les mots de passe qui consiste à combiner plusieurs critères de renforcement pour atteindre un score de 100 points. Le mot de passe ne peut jamais être égal à nom de login. Le Score est augmenté par :
Les mots de passe ne sont jamais stockés en clair (dans un fichier ou cookie ou base de données). Ils sont encryptés.
Lors d’un changement d’un mode passe, le mot de passe n’est pas envoyé en clair mais via un lien :
Depuis l’administration, on peut forcer un reset du mot de passe, un email est alors envoyé demandant à l’utilisateur de changer son mot de passe. (appuyer sur le cadenas)
ZADS n’a pas de mécanisme dans ce sens.
ZADS n’a pas de mécanisme dans ce sens.
ZADS travaille avec une gestion des ROLES (visiteur, owner, administrateur) qui limite les droits et fonctionnalités du site.
ZADS collecte des données privées (usagers ou annonces) et doivent être précisées dans la politique de confidentialité du site. On peut distinguer :
Les données typiques renseignées par le client :
Ces champs sont paramétrables (présenté oui/non et obligatoires) via le menu :
Lorsque vous contactez notre support client ou signalez une annonce, vous devez nous communiquer votre nom, prénom, et votre adresse email.
Lorsque vous répondez à une annonce sans être connecté à un Compte Personnel ou Professionnel, vous devez nous communiquer votre nom, prénom, et votre adresse email
ZADS utilisons une technologie d’analyse automatique du contenu des messages, afin de détecter des contenus non sollicités, y compris frauduleux.
En cliquant sur “Rechercher autour de moi” sur la page d’accueil de notre site, le client communiquer ses données de géolocalisation afin que nous puissions répondre à une recherche d’Annonces proches. Ces informations sont sauvegardée dans un COOKIE : ZADS_LOCATION
Pour des mesures d’audiences générales (par exemple le nombre de pages vues, le nombre de visites du Site, ainsi que l’activité des visiteurs sur le Site et leur fréquence de retour) , ZADS utilise GOOGLE ANALYTICS que vous pouvez activer ou non en ajoutant le code GOOGLE ANALYTICS
Pour les mesures de LIKE, MOST VIEWED, … , ZADS compatibilise des compteurs anonymes
Pour vous identifier et pour enregistrer, ZADS utilise les identifiants de connexion (notamment des identifiants concernant vos appareils mobiles) et des cookies ainsi que votre adresse IP l’activité. ZADS collecte les données techniques sur la connexion internet, le navigateur et le type d’appareil dans la section visiteurs (voir la section Journaux)
En application de la directive ePrivacy, les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement.
ZADS permet une gestion des publicités. Dans le cas d’intégration d’une publicité GOOGLE ADSENSE, un certain nombre de cookies tiers seront positionnées automatiquement par Google. Ces cookies contiennent des données personnelles. Le compteur ce click sur une publicité ZADS est anonyme
ZADS possède une fonctrion optionnelle qui permet de tracer les visiteurs authentifiés lorsqu’ils visitent une annonce dans une catégorie particulière. Le but est de lancer ensuite un rappel par email si l’article n’est pas vendu après xx jours. Il est de la responsabilité du fournisseurs de service de communiquer cette information aux clients afin d’obtenir leur consentement.
Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque.
ZADS permet de collecter deux consentements :
Ce consentement est obligatoire. En cas de refus, l'utilisateur ne peut pas bénéficier des services du site. Le consentement est demandé lors de la création d'un compte ou d'une annonce. Le consentement est stocké attaché à l'annonce avec la version des condition (le CONTRAT) et la date de consentement.
La version du contrat peut être indiquée ici, via le menu ADMIN > CONFIGURATION > DISPOSITION
La version permet de redemander un consentement en cas de changement de version lors de la modification d'une annonce.
ZADS propose 2 niveaux de consentement pour les traceurs (cookies) en lien avec la règlementation RGPD :
j'accepte
)choix des traceurs
) obligatoire en France depuis le 01 Avril 2021.Il est nécessaire d'informer l'utilisateur de l'utilisation par le site de Cookies et obtenir le consentement de l'utilisateur. Pour activer le consentement via le menu ADMIN > CONFIGURATION > SECURITE
Le site affichera le bandeau de collecte du consentement en bas de page.
Le consentement doit se manifester par une action positive de la personne préalablement informée, notamment, des conséquences de son choix et disposant des moyens d’accepter, de refuser et de retirer son consentement.
Depuis le 1ier Avril 2021, l'utilisateur doit avoir le choix de donner son consentement selectivement sur certains traceurs. ZADS permet d'enregistrer ces consentements et d'agir en conséquence sur le fonctionnement du site.
Pour activer ce consentement sélectif utilisez e menu ADMIN > CONFIGURATION > SECURITE
Le site affichera le bandeau de choix du consentement en bas de page.
L'utilisateur peut alors gérér ses préférences et la fenêtre de sélection d'affiche.
La liste des options doit être alignée avec les options activées sur le site. On ajustera cela via le menu ADMIN > CONFIGURATION > SECURITE
Si le consentement n'est pas accordé, la fonction est désactivée .
Exemple pour la fenêtre de connection si le consentement réseaux sociax n'est pas activé
Les traceurs de Google (Analytics) activés depuis le site via le menu ADMIN > CONFIG. > AUTRES
ont le comportement suivant :
nom | usage |
---|---|
ZADSCUST_CSRF | Protection des formulalaires compte injection CSRF |
ZADSCUST_GLOB_DISCLAMER_ACCEPT | Sauvegarde de l'accord général aux conditions du site |
ZADSSESID | ID de session |
ZADSCUST_COOKIES_CONSENT | Sauvegarde l'accord sur la sauvegarde des cookies |
ZADSCUST_COOKIES_ADMIN_PREFERENCES | Sauvegarde des options de recherche d'administration |
ZADSCUST_CART | Sauvegarde des élements du panier de commande en cours (mode place de marché activée) |
ZADSCUST_VOTES | sauvegarde des évaluations sur une annonce |
payzone_merchantToken | ZADS when PAYZONE paiment platform is used |
fbm_xxxx | |
fbsr_xxx | Facebook TOKEN d'accés en cas d'utilisation du Login Facebook |
ZADSCUST_OAUTH_facebook_xxx | Recopie /normalisation du TOKEN d'accés en cas d'utilisation du Login Facebook |
__utmz | Google Analytics : Ce cookie stocke toutes les informations utiles à l'identification d'une source de trafic. C'est dans ce cookie que sont stockées les informations suivantes : la source de trafic, le support de cette source de trafic, le mot clé tapé si l'internaute consulte le site en provenance d'un moteur de recherche, etc. Par défaut, ce cookie a une durée de vie de 6 mois, cependant, il vous est possible de modifier cette limite grâce à la fonction : _setCookieTimeout() |
__utma | Google Analytics : Ce cookie est utilisé pour distinguer les visiteurs uniques sur votre site. Ce dernier est mis à jour à chaque page vue. |
__utmb | Google Analytics : Ce cookie est utilisé pour suivre la session de visite de l'internaute. Ce cookie expire dès que l'internaute reste inactif sur votre site plus de 30 minutes. L'utilisation de ce cookie couplée avec le cookie utmc permet de suivre de suivre les visites (sessions) sur un site donnée. |
__utmc | Google Analytics : Ce cookie fonctionne en complément du cookie utmb pour déterminer si oui ou il y a une nouvelle visite par le visiteur unique actuel. |
_gid | Ce nom de cookie est associé à Google Universal Analytics. Il stocke et met à jour une valeur unique pour chaque page visitée. |
_ga | Ce nom de cookie est associé à Google Universal Analytics, ce qui constitue une mise à jour importante du service d'analyse Google le plus utilisé. Ce cookie est utilisé pour distinguer les utilisateurs uniques en attribuant un numéro généré aléatoirement en tant qu'identifiant client. Il est inclus dans chaque demande de page dans un site et utilisé pour calculer les données de visiteurs, de sessions et de campagnes pour les rapports d'analyse de sites. il est défini pour expirer après 14 mois. |
/ Rectification des données L’utilisateur peut consulter et changer ses données privées via mon profil L’ensemble des champs est visible (hors adresse IP et dernier navigateur utilisé).
(automatique ou sur demande, droit à l’oubli) Un annonceur peur effacer complétement ses annonces (destruction complète ! )
Un menu de l'interface d'administration permet d'accéder aux données privées d'un utilisateur (pour les imprimer par exemple) via le menu ADMIN > USAGERS > DONNEES PERSONNELLES
comme ci-dessous.
Une interface permet de saisir le nom ou prénom ou email d'une personne et rechercher toutes les données personnelles sauvegardées.
Cette interface permet également de supprimer ces données (en totalité ou partiellement).
Afin de garantir une reprise en cas de panne, effectuez des sauvegardes régulières et stockez les supports de sauvegarde dans un endroit sûr. ZADS permet un archivage automatisée (sur la tache CRON HEBDOMADAIRE) ou manuel des données (base de donnée) du site.
Une archive des fichiers de configurations est également envoyée par email à l’administrateur du site.
Pour plus d’information, consulter la page de gestion des sauvegardes
Aucun mécanisme automatisé de Transfer des données n’est en place sur ZADS. Les données peuvent cependant être exportée manuellement via export XLS ou récupérés depuis l'archive
ZADS possède un système de journalisation (logs) paramétrable.
On peut activer ou non les LOGs et contrôler la durée de rétention.
La journalisation des modifications est accessible aux annonceurs :
Journaux globaux pour l’administrateur Les logs peuvent être effacés définitivement v
Le Journal des paiements
Log des visiteurs
Le service de IP gélocalisation utilisée est https://geoiptool.com/
La GRDP nécessite la désignation d’un Délégué à la protection des données (DPO). Il doit être clairement indiqué dans les règles de vies privées sous la forme d’un email et une adresse postale ou un formulaire de signalement. Sur une annonce ou annonceur, on peut signaler un abus via :
On peut également activer un formulaire de contact.
Pour les commentaires ou évaluations, un bouton « flag » permet de signaler un contenu inapproprié. On peut automatiquement supprimer de la publication ou le garder et agir ensuite :
Idem pour les communications instantanées si l’option suivante est activée.
ZADS propose un certain nombre de pages statiques pour permettre l’Edition et les liens sur
Ces pages sont déjà complétées (comme cookies et vie privées) mais nécéssite une adaptation à chaque site fonction des modules activés et de la finalité du site.
Pour plus d’information, consulter la page de édition du contenu des pages statiques
Pour les annonces, ZADS permet un filtrage des contenus « abusifs » via
Une liste de mots interdits doit être indiquée dans la section « mots interdits » .
On peut activer un certain nombre d’alertes par email (vers l’administrateur) lors de la création de comptes ou d’annonces.
Lors de la création d’un utilisateur, des données de localisation (à partir de l’adresse IP) sont ajoutées (non sauvegardées) dans l’email comme ci-dessous :
Pour avoir la localisation, il faut activer l’option :
Il est possible de filtrer les accès au site via un mécanisme de BLACK-LISTES pour Emails et adresse IP.