RGPD joomla protection données personnelles

Le Règlement Général Européen pour la Protection des Données (RGPD ou GDPR en anglais) entre en vigueur le 25 Mai 2018. Les données sont à caractère personnel et peuvent concerner aussi bien des clients, des utilisateurs récurrents ou des visiteurs occasionnels d'un site. Le RGPD va impacter toutes les structures disposant d'un site internet proposant une intéraction avec des utilisateurs (formulaires, commentaires, téléchargements, espaces privés, likes, achats en ligne, localisation ...), et même ceux qui n'offrent pas d'intéraction mais qui effectuent des statistiques de connexion et de tracking. Dès lors que des données à caractère personnel sont stockées dans une base de données, ces nouvelles règles Européennes vont s'appliquer.

Toutes les structures sont concernées par le RGPD : entreprises, associations, organismes publics...
Pour faire court, nous sommes tous potentiellement concernés.

L'esprit de ce nouveau règlement est de responsabiliser les structures en matière de traitement des données. Il s'agit de contraindre à un inventaire précis des données collectées, d'inciter à plus de sécurité pour les protéger, et d'offrir aux utilisateurs une plus grande transparence et des moyens d'actions sur le traitement de leurs informations. Si vous souhaitez bénéficier d'un accompagnement pour mettre votre site en conformité avec le RGPD, découvrez nos forfaits d'audit.

La CNIL est l'organisme chargé en France de faire respecter ces nouvelles directives Européennes, qui seront donc communes à l'ensemble des pays de l'UE. Le non respect du RGPD peut entrainer des sanctions financières lourdes pouvant aller jusqu'à 4% du CA annuel. A partir de la mise en place du RGPD, la déclaration à la CNIL ne sera plus obligatoire.

A partir de la date du 25 Mai 2018 d'entrée en vigueur des RGPD, nous allons entrer dans une période transitoire de mise en place (probablement 2 ans), durant laquelle il est à espérer que l'organisme de contrôle va faire preuve d'indulgence et de pédagogie.

L'essentiel sera de montrer que votre structure a entamé une réelle démarche d'application des RGPD. Nous allons développer dans cet article comment initier cette démarche sous Joomla.
A noter, compte-tenu de l'étendue du sujet, et de certaines précisions réglementaires encore attendues, cet article ne peut pas être exhaustif.

1- Les enjeux du RGPD

2- Quelles sont les données concernées?

3- Les acteurs du RGPD

4- Identifier tous les traitements liés aux données personnelles

5- La durée de conservation des données

6- Le consentement préalable au traitement

7- L'accès aux données personnelles

8- Les mentions légales : espace de synthèse de vos actions

9- La relation de sous-traitance avec Nosyweb

10- Ressources et documentation RGPD

1- Les enjeux du RGPD

1.1- Des droits nouveaux pour les utilisateurs

Avant d'évoquer l'impact du RGPD pour les structures collectrices de données personnelles, soyons positifs et évoquons les droits nouveaux dont vont disposer les utilisateurs personnes physiques. Il s'agit principalement :

  • Droit d'information : l'utilisateur devra être informé de la finalité du traitement de ses données,
  • Droit de rectification : l'utilisateur a le droit d'obtenir toute modification ou ajout concernant ses données,
  • Droit à l’effacement : la personne a le droit d’obtenir l’effacement de ses données lorsqu’elle a retiré son consentement, ou lorsque les données ne sont plus nécessaires au regard des finalités du traitement.

1.2- Les enjeux pour nos organisations

Entamer une démarche pour intégrer le RGPD à votre culture d'entreprise et vos procédures va permettre :

  • de limiter considérablement le risque financier associé au non respect de la protection des données personnelles,
  • de limiter considérablement le risque de contentieux,
  • de gagner en crédibilté auprès de vos clients (conserver leur confiance, améliorer leur expérience utilisateur),
  • d'entamer une vraie réflexion de mise à niveau en matière de sécurité,
  • de maîtriser la co-responsabilité avec les sous-traitants participant au traitement des données personnelles,
  • d'adapter votre management et de sensibiliser votre équipe aux questions de sécurité et de protection des données.

2- Quelles sont les données concernées ?

Selon l’article 2 du RGPD : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ... ».

Par exemple : le nom, l'adresse mail, le N° de téléphone, le N° de SS, la localisation, l'adresse IP, des informations liées au paiement, le tracking d'url à des fins de statistiques ou de suivi, etc...

3- Les acteurs du RGPD

Le responsable de publication du site est le responsable de la sécurité des données.

Une structure importante peut avoir plusieurs responsables de traitement (le département marketing pour les données collectées via les newsletters, le département RH pour des données collectées via un formulaire de dépot de candidatures etc...).

Pour un volume de données traitées "à grande échelle" (à partir de 5000 personnes par an, chiffre non officiel), un DPO (Data Protection Officer) doit être désigné. La nomination d'un DPO est également obligatoire pour des entreprises de plus de 250 salariés ou dans certains secteurs notamment les organismes publics (mairies par exemple). Le DPO peut être externe à la structure et partagé par plusieurs structures.
Le DPO apparaît comme un réel « chef d’orchestre » principalement chargé de piloter la mise en place des RGPD et d’informer et de conseiller le responsable de publication, le responsable de traitement ou les sous-traitants, mais aussi les employés.

4- Identifier tous les traitements liés aux données personnelles

4.1- Un inventaire obligatoire

La première démarche consiste à effectuer l'inventaire de toutes les données personnelles collectées, ainsi que des composants Joomla concernés.

Au cours de cette démarche, réfléchissez à l'utilité de certaines informations collectées. Par exemple, des informations telles que la date de naissance ou la société sont-elles vraiment pertinentes et réellement exploitées?

Moins vous avez de données personnelles stockées dans votre base de données, moins vous risquez de violation de votre base de données, et également vous risquez moins de contrevenir au RGPD.

Par ailleurs, certains composants, notamment de formulaires, ont pour fonction de stocker les informations collectées. Il peut arriver qu'un paramétrage un peu rapide, permette ce stockage alors qu'il n'est pas nécessaire. Il faut donc vérifier, chacun des composants que vous utilisez.

4.2- Le Registre des Traitements

L'inventaire doit servir à la tenue d'un registre des traitements qui est obligatoire. Le registre devra être complété en cas de mise en place de nouvelles fonctionnalités collectant des données personnelles.

Cette formalité de tenue d'un registre doit garantir qu'à tout moment les process de traitement sont conformes, sécurisés et permettent la confidentialité des données. Il sera un référent en cas de contrôle ou d'audit.

Le registre des traitements doit comporter :

  • Les objectifs généraux poursuivis par chaque traitement de données : gestion d’une boutique en ligne, administration d’une communauté, gestion de la relation commerciale, collecte d’informations à des fins statistiques ...
  • Les catégories de données - et leur durée de conservation, ci-dessous les principales catégories :
    • Etat civil : coordonnées, données d'identification, images ...
    • Vie personnelle : habitudes de vie, situation familiale
    • Informations financières : revenus, endettement ...
    • Données de connexion : logs, adresses IP
    • Données de localisation
    • etc...
  • Les acteurs concernés : responsable du traitement (à défaut le responsable de publication), DPO, sous-traitant (hébergeur, en charge de la maintenance tel que NosyWeb, prestataire en lien avec la gestion de newsletters en nombre important ...)
  • Les différents types de traitements concernés (ou leur origine) : collecte via un formulaire, logs d’adresses IP, tracking de clics ...
  • Les mesures de sécurité techniques et organisationnelles
    Exemples de mesures organisationnelles : sensibiliser les utilisateurs aux mesures de sécurité et en premier lieu à la gestion des mots de passe, charger un utilisateur de contrôler certains traitements ...
    Exemples de mesures techniques : HTTPS, revoir la force des mots de passe, limiter les droits de certains utilisateurs, s'interroger sur la qualité de l'hébergement, valider les conditions de restauration des données, proposer aux utilisateurs nouvellement inscrits une confirmation par mail (opt-in), proposer l’utilisation d’un pseudonyme de sorte qu’il soit impossible de faire le lien entre l’utilisateur et ses données et donc de l’identifier sans information additionnelle, réduire ou supprimer la collecte de certaines données ...
  • Données sensibles éventuelles (santé, opinions politiques ...) : un registre de traitement doit leur être consacré avec les mêmes types d'informations que celles évoquées ci-dessus.

Nous recommandons d'utiliser le tableau Excel fourni par la CNIL en téléchargement en bas de la page "Cartographier vos traitements de données personnelles". Ce fichier Excel comporte 2 onglets : une liste des traitements, un modèle pour structurer les informations évoquées ci-dessus. Ce modèle sera à dupliquer pour chaque traitement. Ce tableau confidentiel sera à stocker en toute sécurité sur votre serveur, nous recommandons qu'il ne soit accesible que via FTP.

Notre conseil : mentionnez pour chaque traitement le composant Joomla concerné.

5- Durée de conservation des données

Le RGPD stipule que l'internaute doit être informé de la durée de conservation de ses données personnelles.

Pour positiver, les bénéfices que l'on peut attendre de la mise en place de règles de conservation des données vont au-delà de la protection des données des personnes, puisque cela permettrait à chaque base de données d'être nettoyée de données obsolètes et inutiles; avec un impact sur l'amélioration des performances du site voire de son administration.

Pour le moment, très peu de composants Joomla permettent une purge des données, et encore moins de filtrer la suppression des données selon leur ancienneté. Certains composants associés à un formulaire, proposent dans leur configuration "Ne garder les informations que 1 mois, 1 an ...".
Comme évoqué précédemment, une visite de la configuration des composants (parfois accessible via le bouton  bouton parametres composants joomla RGPD  en haut à droite de l'administration Joomla), peut vous aider à exploiter certaines données dans une meilleure conformité au RGPD.
Voir notre article "RGPD - limiter les données personnelles stockées sur votre site".

La durée se détermine à partir du dernier contact avec la personne. Si la durée de conservation pour les coordonnées de la personne est prévue pour 3 ans et qu'aucun contact n'est intervenu en provenance de celle-ci, alors ses informations doivent être supprimées.

Par exemple avec Acymailing, on peut exporter les utilisateurs de la newsletter avec des champs de date qui permettent d'identifier ceux qui sont les moins actifs. Il est alors possible de les réimporter en les désactivant, puis de lancer un traitement de masse pour supprimer les utilisateurs non actifs.

La durée de conservation est à déterminer selon le type de données et selon leur finalité (ou l'activité). On peut par exemple admettre que des données personnelles exploitées par un site du secteur immobilier soient conservées plus longtemps (par exemple 5 ans), que pour un site de prestations ou de biens de consommation (par exemple 3 ans).
Parallèlement on peut ne vouloir conserver des données de tracking que pendant 1 an et des données de commande/paiement pendant 3 ans.

Vous pouvez vous référer à ce texte de la Communauté Européenne vulgarisé : La durée de conservation des données : le moins longtemps possible

Ce sujet est certainement le plus complexe à mettre en place, et nécessite une réelle volonté de développement et de nombreuses actions, de la part des éditeurs d'extensions Joomla. Nous espérons que certains éditeurs se saisiront du RGPD pour apporter ce type de fonctionnalités et prendre une longueur d'avance sur leurs concurrents.

6- Consentement préalable au traitement

Ce point constitue une véritable nouveauté du RGPD.
Le RGPD précise dans son article 6 que, sauf cas très particulier, un traitement n'est licite que si "...la personne concernée a consenti au traitement de ses données à caractère personnel...".

Ce type de démarche existe déjà au sein de nombreux sites concernant l'exploitation de cookies. Désormais tous les traitements de collecte de données (formulaires, boutique en ligne etc...) sont soumis au consentement préalable. En théorie, la plupart des traitements sont concernés, y compris ceux très techniques de collecte de logs ou d'adresses IP, essentiellement pour des motifs de tracking (et de neutralisation) d'intrusions malveillantes. D'après nos informations recueillies auprès de la CNIL, la création d'un commentaire à un article ne nécessite pas de consentement, car cette démarche recouvre un accord implicite.

Fort heureusement, il semble qu'aucune rétroactivité ne soit requise, c'est-à-dire, le fait de demander leur consentement à des utilisateurs dont les données personnelles sont déjà stockées.

2 situations sont à distinguer pour recueillir le consentement des visiteurs :

6.1- Adresse IP et logs de suivi : au chargement du site

Il s'agit de permettre aux visiteurs de donner leur consentement préalable à la conservation de leurs données de type adresse Ip ou tracking pour Google Analytics. 
Ce consentement serait donné via un click sur l'un des 2 boutons "OUI" ou "NON" au sein d'une fenêtre pop up ouverte une seule fois, quelle que soit la page d'arrivée sur le site.

L'adresse IP du visiteur serait associée à la réponse OUI/NON et cette information serait accessible à l'administrateur du site pour modification ou suppression. Ces hypothèses de collecte du consentement pour ces données non visibles par l'utilisateur, sont encore à l'étude. Ces informations sont associés dans les articles du RGPD à la notion de profilage.

6.2- Pour les autres traitements : donc par composant

Le RGPD impose un formalisme rigoureux qui repose sur la notion de traitement, qui est au coeur de la nouvelle réglementation.

Donc pour chaque traitement différent, il faudra mettre en place le recueil du consentement de l'utilisateur.

Plusieurs cas ou solutions sont à considérer en front-end :

Type de traitement Solutions
Formulaire sans création de compte Joomla, élaboré avec un composant de gestion de formulaires (contact, devis ...)

Le formulaire va intégrer une case à cocher, permettant à l'utilisateur d'autoriser la conservation de ses données personnelles. S'il n'autorise pas, le bouton "Envoyer" ne sera pas actif ou visible.

Commercialement cette situation peut engendrer des freins ou des incompréhensions. C'est la raison pour laquelle un module informatif à côté du formulaire ou un texte intégré au formulaire, doivent expliquer la finalité de l'utilisation de ces données, comment y avoir accès pour les modifier, la durée de conservation et également la procédure d'effacement.

Voir notre article "Créer des formulaires conformes au RGPD dans Joomla grâce à RSForm"

Formulaire avec création de compte Joomla, intégré dans Joomla ou dans un composant (création de compte utilisateur Joomla, adhésion newsletter, composant de gestion d'une communauté de membres...)

Dans la mesure du possible privilégier l'opt-in, c'est-à-dire l'envoi par mail d'un lien d'activation. Le texte du mail sera à compléter par un texte, par exemple : "en activant votre compte, vous acceptez la conservation de vos données personnelles sur notre site". L'activation par mail vaudra comme preuve irréfutable de consentement.
Le texte du mail pourra aussi expliquer la finalité de l'utilisation de ces données, comment y avoir accès pour les modifier, la durée de conservation et également la procédure d'effacement.

Voir nos articles : "RGPD - champ utilisateur et consentement à la conservation des données" et 
"RGPD - consentement conservation des données - opt-in création utilisateur"

Page de téléchargement (si tracking des adresses IP) Une pop up pourrait s'ouvrir au chargement de la page de téléchargement ou au click sur un bouton de type "Téléchargement". Cette pop up comporterait les boutons OUI/NON.
Boutique en ligne

A priori la case à cocher sur les CGV ne suffit pas, le consentement doit être explicitement exprimé, donc associé à une case à cocher indépendante des CGV. Cette fonctionnalité dépend de l'éditeur de boutique en ligne.
Par exemple, Hikashop offre la possibilité dans ses versions payantes, de créer un champ utilisateur, mais cela reste un moyen détourné de gérer l'activation du consentement.
Dans le cas d'inaction de l'éditeur une solution de type "pop up" peut être envisagée au click sur un bouton de type "Valider votre panier".
Il faudra vérifier que les emails envoyés à l'acheteur comportent bien l'information aux accès sur le site, au compte client et aux données personnelles.

Le retrait du consentement à la conservation des données personnelles

Cette possibilité doit être théoriquement offerte aux utilisateurs. Techniquement de nombreuses contraintes pèsent sur un accès simple en front-end, surtout compte-tenu de la multiplicité des traitements. Et si l'utilisateur ne dispose pas d'un compte, toute action de sa part s'avère impossible.
Nous préconisons une information de la procédure pour demander un effacement (éventuellement une modification) du consentement au sein des mentions légales.

Ce tableau, très loin d'être exhaustif, sera alimenté au fil de nos investigations auprès des éditeurs d'extensions Joomla.

7- Accès aux données personnelles

Nous l'avons évoqué, selon le RGPD, l'utilisateur doit pouvoir accéder à ses informations, pour chaque traitement. Cet accès peut être véritablement intégré à la navigation globale du site (ce que font souvent les boutiques en ligne). Alternativement la procédure d'accès doit pouvoir être trouvée dans un espace centralisateur, par exemple la page de mentions légales.

Quelques traitement/composants permettent d'accéder aux données personnelles de manière standard : les boutiques en ligne proposent un "espace compte", les composants de gestion de communauté proposent un "espace membre" ...

D'autres composants proposent aussi en standard des fonctions de modification, mais très peu utilisées. Par exemple, Acymailing comporte un élément de menu de type "User : subscribe/modify your subscription" qui permet de s'abonner ou se désabonner sélectivement, à chacune des newsletters d'un site. Ce lien peut aussi être inséré au sein de la newsletter, par exemple au niveau du lien de désinscription (qui est un peu différent car il désinscrit l'utilisateur de toutes les newsletters).

RSForm! Pro propose depuis sa version la plus récente, la mise en place d'un lien dans l'email reçu par la personne qui a utilisé le formulaire. Un click sur ce lien permet de supprimer les données de la soumission à ce formulaire dans la base de données de RSForm.

Mais l'inventaire des traitements de données personnelles peut aussi révéler d'autres composants partiellement ou totalement hors de l'esprit des RGPD. C'est malheureusement le cas le plus fréquent dans le monde des CMS tels que Joomla. Comme évoqué plus haut, il va falloir s'armer de patience et espérer que les éditeurs de composants vont s'emparer du sujet du RGPD. Nous ne manquerons pas d'alimenter cette rubrique pour vous informer des composants qui se seront enrichis fonctionnellement, pour se conformer au RGPD.

8- Les mentions légales : espace de synthèse de vos actions

Il nous semble que toute information liée au RGPD peut logiquement (mais pas obligatoirement) être inscrite au sein de la page des mentions légales. Pour rappel, les mentions légales requièrent principalement la mention et les coordonnées du responsable de publication et de l'hébergeur. En complément, nous conseillons de faire figurer ici :

  • les mesures de sécurité prises pour conserver les données personnelles
  • la durée de conservation de chaque type de données
  • une mention du type :"les données personnelles collectées sur ce site sont à usage exclusif, et ne seront jamais cédées à des tiers"
  • une mention du type :"en cas de violation des données personnelles, nous nous engageons à prévenir chaque personne concernée, ainsi que la CNIL, dans les 72h"
  • quand cela est possible, les liens pour modifier les données concernées
  • la procédure - ou directement un formulaire simple - pour notifier la fin du consentement et l'effacement des données

9- La relation de sous-traitance avec une agence web

Le responsable de traitement est co-responsable avec ses sous-traitants ayant accès aux traitement de données personnelles, de la protection de celles-ci.

La co-responsabilité implique un devoir de conseil de la part de l'agence web. Mais le rôle de celle-ci ne consiste pas à porter le projet de mise en place du RGPD pour le compte de ses clients, au sein de leur système d'informations.
La co-responsabilité implique un devoir d'alerte de la part de l'agence web si celle-ci estime que les conditions de sécurité mises en place par le client ne sont pas satisfaisantes.

Un avenant dédié au RGPD, au contrat liant le sous-traitant agence web et ses clients, doit être établi. Il comprendra en particulier :

  • la liste des traitements de données personnelles faisant l'objet d'une assistance sous le CMS Joomla
  • la liste des obligations du sous-traitant agence web envers le responsable de traitement
  • la liste des obligations du responsable de traitement envers le sous-traitant agence web.

Le tableau ci-dessous synthétise les devoirs réciproques de chacune des parties :

Responsable de traitement
(Propriétaire du site)
Sous-traitant
(Agence web)
  Rédaction de l'avenant "RGPD" au contrat de prestations
Garantir l’intégrité des données et leur confidentialité au sein de son organisme : mettre en place toutes mesures de sécurité techniques (pare-feu, hébergement de qualité) ou management (former et sensibiliser les collaborateurs) Conseils et mise en œuvre en matière de sécurité web Joomla : pare-feu, hébergement, mises à jour Joomla et composants

Traiter les données conformément aux instructions du responsable de traitement

Garantir la confidentialité des données

Inventaire et tenue du registre des traitements

Information du sous-traitant d’une quelconque modification dans la liste des traitements

Assistance pour la documentation des traitements

Obligation d’alerte en cas de traitement en infraction par rapport au RGPD

  Demande d’autorisation au responsable de traitement en cas de sous-traitance ultérieure
En cas de demande de modification/suppression de donnée personnelle :
  • Réponse par mail à la demande
  • Actions pour répondre à la demande dans la limite des contraintes techniques des composants Joomla
Assistance du responsable de traitement pour répondre à la demande dans la limite des contraintes techniques des composants Joomla

En cas de violation des données :

  • Alerter la CNIL
  • Alerter les personnes concernées
  • Alerter le responsable de traitement dans les 72h
  • Fournir toute documentation utile demandée par la CNIL, dans la limite des contraintes techniques des composants Joomla
  • Bloquer l’intrusion, ajouter un niveau de sécurité supplémentaire temporaire ou définitif, restaurer éventuellement
  Mettre tous les moyens en œuvre pour permettre un audit éventuel des conditions d’application du RGPD

10- Ressources

CNIL - ce qui change pour les professionnels

CNIL - RGPD:se préparer en 6 étapes

CNIL - cartographier vos traitements de données personnelles

Article 7 texte officiel du RGPD : les conditions d'application du consentement

CNIL - questions/réponses

Avis d'expert : le profilage nécessite le consentement

Une animation (en anglais) pour synthétiser le RGPD

CNIL - guide du sous-traitant


Conclusion

Nous ne pensons pas qu'il soit possible de respecter 100% des règles du RGPD en date du 25 Mai 2018... à moins de ne conserver aucune données personnelle !

En premier lieu car un certain nombre de points restent à préciser par le RGPD lui-même, et surtout en raison de la complexité et du nombre de traitements incriminés et de l'inertie des éditeurs de composants des sites internet. 

Il faut donc être pragmatique et réaliser en priorité les actions les plus accessibles et les plus symboliques, telles que le Registre des Traitements. En cas de contrôle, il vous sera alors possible de donner la preuve de votre bonne foi en fournissant la liste de vos actions réalisées.

Sans que cela soit officiellement annoncé, une période de transition de 2 ans, devrait être prise en compte par les autorités de contrôle (CNIL en France), pour la mise en place de la conformité au RGPD.

En revanche, pour les sites qui seront créés à partir de l'entrée en vigueur du RGPD, la prise en compte de ses règles sera indispensable. Les cahiers des charges véritablement professionnels devront lister les mesures prises pour appliquer le RGPD.

 

Voir nos forfaits d'audit pour la mise en conformité RGPD de votre site

 

L'auteur : un expert à votre service
Xavier Maglott
Nom : Xavier Maglott
Quel meilleur outil que Joomla pour mettre en oeuvre ce qui m'intéresse vraiment : comprendre les besoins de nos clients, apporter des solutions mais surtout des idées concrètes pour faire progresser leur site et leurs connaissances de l'univers Joomla.

Articles qui devraient vous intéresser

Quel hébergeur et hébergement Joomla 3.9 faut-il choisir ? Quel hébergeur et hébergement Joomla 3.9 faut-il choisir ?
CET ARTICLE EST OBSOLETE   Beaucoup de solutions d'hébergements s'offrent à nous et il n'est pas toujours...
Comment réaliser un formulaire de contact compatible RGPD Comment réaliser un formulaire de contact compatible RGPD
Nous allons aborder les différentes questions à se poser pour rendre le traitement d'un formulaire compatible avec...

Commentaires (23)

This comment was minimized by the moderator on the site

Un grand merci pour tous vos articles très riches et détaillés concernant la RGPD. J'ai deux questions :

1. Conservation de la preuve du consentement
Le responsable du traitement doit-être en mesure de démontrer que la personne concernée a donné...

Un grand merci pour tous vos articles très riches et détaillés concernant la RGPD. J'ai deux questions :

1. Conservation de la preuve du consentement
Le responsable du traitement doit-être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. Obtenir le consentement éclairé d’un abonné ne suffit pourtant pas. Il vous faut conserver la preuve de ce consentement afin de pouvoir la produire à tout moment. Cela revient à associer à chaque personne enregistrée dans vos bases de données le contenu de son consentement à l’utilisation de ses données personnelles.
- faut-il enregistrer les points suivants ? ou d'autres ? : la date d’inscription, l’url de la page d’inscription, l’adresse IP et la preuve du double optin
- comment faire pour un compte joomla ?

2. Existe-t-il une configuration ou une procédure pour créer en même-temps un compte utilisateur joomla associé à un formulaire d'inscription à une newsletter ou à un blog ? (avec le composant RSForm par exemple) et en double-optim (bien sur) ?
De cet façon l'utilisateur aura accès aux données collectés… Sinon je ne vois pas un utilisateur renseigner un formulaire d'inscription à une newsletter d'un coté et après ou avant un formulaire compte utilisateur joomla.
Et comment faire si l'utilisateur veut supprimé ses données et automatiquement son compte joomla ?

Lire la suite
This comment was minimized by the moderator on the site

Pour information (et sans aucune idée publicitaire), un composant GDPR (en anglais) est édité par https://storejextensions.org/, connu pour JSitemap Pro. Composant, va répondre à bon nombres de nos besoins : https://storejextensions.org/extensions...

Pour information (et sans aucune idée publicitaire), un composant GDPR (en anglais) est édité par https://storejextensions.org/, connu pour JSitemap Pro. Composant, va répondre à bon nombres de nos besoins : https://storejextensions.org/extensions/gdpr.html

Lire la suite
This comment was minimized by the moderator on the site

Effectivement, il semble bien aussi, sauf le prix qui est "fort de café" ($1472, en promo pour l'instant $299). Celui proposé, est à 39 € …

This comment was minimized by the moderator on the site

Didier,
Non elle est gratuite, notamment aussi car elle est en Beta : https://member.joomlart.com/downloads/joomlart/free-joomla-extensions/ja-joomla-gdpr-component

This comment was minimized by the moderator on the site

autant pour moi, je vais tester pour voir…

This comment was minimized by the moderator on the site

Bonjour :)

Je suis vos articles, en ce moment je traduis mon site, donc pas beaucoup de temps mais je m'en occupe bientôt :)
Pour les formulaires de contact, on peut choisir de ne pas stocker les infos dans la BBD, ce qui semble le plus simple,...

Bonjour :)

Je suis vos articles, en ce moment je traduis mon site, donc pas beaucoup de temps mais je m'en occupe bientôt :)
Pour les formulaires de contact, on peut choisir de ne pas stocker les infos dans la BBD, ce qui semble le plus simple, non?
Et cela allégera la base de données... Quel intérêt au final de les garder alors qu'on a des copies de mail pour répondre à ses clients?
Peut-être pour la newsletter? OU cela n'a rien à voir?

Pour Joomla, on peut voir grâce à vos tutos que l'utilisateur peut modifier ses propres infos, mais est-ce qu'il peut les supprimer?
Ou est-ce à l'admin de le faire si l'utilisateur nous le demande, grâce à un formulaire spécifique.

Concernant analytics, cela me parait compliquer...comment faire du commerce si on ne peut plus voir qui vient sur notre site?
Et comment demander le consentement? En clair les visiteurs d'un site web vont tous dire non pour ne pas être "suivi"....

Dernière questions concernant formulaire+ acymailing: on peut paramétrer l'inscription automatique aux newletters, est-ce qu'on doit changer cela et obtenir le consentement dès à présent?

Merci d'avance
Belle journée,
Sabrina

Lire la suite
This comment was minimized by the moderator on the site

Bonjour Sabrina,

Votre première question soulève le point de l'utilité des données stockées sur la bdd. effectivement si pas d'utilité il faut supprimer leur conservation. Il n'y a pas de lien entre le formulaire de contact (type RSForm) et...

Bonjour Sabrina,

Votre première question soulève le point de l'utilité des données stockées sur la bdd. effectivement si pas d'utilité il faut supprimer leur conservation. Il n'y a pas de lien entre le formulaire de contact (type RSForm) et Acymaiing.

Auto-suppression de l'utilisateur : nous testons actuellement des outils en cours de développement qui permettrai cela. Mais une demande de suppression via n'importe quel formulaire, effectuée par l'administrateur, est une procédure tout à fait acceptable par la CNIL.

Pour Analytics nous préconisons des pop up "light" de type cookie. Effectivement nombreux vont dire "Non", c'est un grand risque. Et en plus on ne saura pas filtrer dans Google Analytics pour ne pas prendre en compte ceux qui ont dit "Non". Nous restons en alerte sur ce point encore très nébuleux.

Oui il est impératif de mettre en place l'opt-in de mail de validation pour inscription à la newsletter pour les nouveaux abonnés.

Belle journée à vous aussi.

Lire la suite
This comment was minimized by the moderator on the site

si je peux compléter, le composant suivant pernet à l'utilisateur de supprimer son profil et toutes ses données, j'ai testé et cela fonctionne très.

https://storejextensions.org/extensions/gdpr.html

This comment was minimized by the moderator on the site

Bonsoir, j'ai lu votre billet avec attention et vais surement m'en inspirer.

Je souhaiterais par contre apporter un petit correctif. Cette directive a été votée il y a deux ans et justement, les entreprises avaient jusqu'au 25 mai 2018 pour s'y...

Bonsoir, j'ai lu votre billet avec attention et vais surement m'en inspirer.

Je souhaiterais par contre apporter un petit correctif. Cette directive a été votée il y a deux ans et justement, les entreprises avaient jusqu'au 25 mai 2018 pour s'y préparer. Même si officieusement la CNIL ne va pas utiliser cette date butoir pour amender les retardataires (qui sont trop nombreux) il n'y a plus de délai pour se mettre aux normes.

Lire la suite
This comment was minimized by the moderator on the site

Bonjour, la date butoir du 25 Mai 2018 est la théorie, parce qu'il fallait bien mettre une date. Dans la pratique, en tant que responsables de sites, nous sommes dépendants : des compléments d'explication de la CNIL qui ne sont apparus qu'en...

Bonjour, la date butoir du 25 Mai 2018 est la théorie, parce qu'il fallait bien mettre une date. Dans la pratique, en tant que responsables de sites, nous sommes dépendants : des compléments d'explication de la CNIL qui ne sont apparus qu'en début 2018, de la prise de conscience des éditeurs Joomla de la nécessité de se conformer au RGPD, et sur ce point il y a encore du chemin.
L'essentiel est d'enclencher la démarche de mise en conformité.

Lire la suite
This comment was minimized by the moderator on the site

Bonjour,

suite à votre tableau 6.2- Pour les autres traitements : donc par composant

Concernant un blog : un visiteur qui veut s'abonner au blog ou répondre à un commentaire doit-il être être inscrit avec un compte Joomla, celui-ci pourra...

Bonjour,

suite à votre tableau 6.2- Pour les autres traitements : donc par composant

Concernant un blog : un visiteur qui veut s'abonner au blog ou répondre à un commentaire doit-il être être inscrit avec un compte Joomla, celui-ci pourra voir/modifier/supprimer ses données personnelles ? Où s'il n'y a pas de compte, le simple fait de pouvoir se desabonner depuis un email de notification suffit ?

Merci d'avance
Didier

Lire la suite
This comment was minimized by the moderator on the site

Bonjour Didier,
Comme le dit Sabrina (merci à elle), si votre composant de blog permet de déposer un commentaire sans créer de compte, il ne s'agit pas de données personnelles car anonymes.
Dans le cas d'une création de compte requise pour...

Bonjour Didier,
Comme le dit Sabrina (merci à elle), si votre composant de blog permet de déposer un commentaire sans créer de compte, il ne s'agit pas de données personnelles car anonymes.
Dans le cas d'une création de compte requise pour déposer une commentaire, pour la suppression du compte le fonctionnement "normal" est le suivant : suppression de l'utilisateur Joomla => suppression utilisateur du composant => suppression de ses commentaires.
Concernant l'accès à ses propres commentaires consultation/modification/suppression/export), de l'utilisateur connecté, autre règle du RGPD, nous sommes très dépendants du bon vouloir de l'éditeur du composant. Certains développements nous ont été promis, nous espérons que c'est en cours.
J'ajoute que, renseignement pris auprès de la CNIL, le dépôt d'un commentaire vaut consentement; il n'est pas (dans l'état actuel de nos informations) nécessaire de collecter un consentement pour le dépôt (et la conservation dans la bdd) d'un commentaire.

Lire la suite
This comment was minimized by the moderator on the site

Bonjour Sabrinat E et Maglott,

Comme le dit Sabrina (merci à elle), si votre composant de blog permet de déposer un commentaire sans créer de compte, il ne s'agit pas de données personnelles car anonymes.
Ok mais le formulaire comprend "nom"...

Bonjour Sabrinat E et Maglott,

Comme le dit Sabrina (merci à elle), si votre composant de blog permet de déposer un commentaire sans créer de compte, il ne s'agit pas de données personnelles car anonymes.
Ok mais le formulaire comprend "nom" email, donc identifiable … ?c'est donc pas anonyme ?

Concernant l'accès à ses propres commentaires consultation/modification/suppression/export), de l'utilisateur connecté, autre règle du RGPD, nous sommes très dépendants du bon vouloir de l'éditeur du composant. Certains développements nous ont été promis, nous espérons que c'est en cours.
J'utilise Easyblog et je suis depuis bien depuis deux semaines en échanges avec eux pour la mise en conformité du composant. Le support étant très bien et à l'écoute nouas avançons dans le sens de RGPD

J'ajoute que, renseignement pris auprès de la CNIL, le dépôt d'un commentaire vaut consentement; il n'est pas (dans l'état actuel de nos informations) nécessaire de collecter un consentement pour le dépôt (et la conservation dans la bdd) d'un commentaire.
J'ai eu ma même confirmation d'une autre source (juridique)

Pour l'inscription au blog, cela doit être comme avec la newsletter il doit pouvoir se désabonner avec un mail de notification, ou alors il devrait pouvoir remplir un formulaire pour que l'admin puisse supprimer le compte (comme avec Joomla)

c'est le cas

Lire la suite
Dernière édition du commentaire il y a environ 6 ans par Didier A. Didier A.
This comment was minimized by the moderator on the site

Rebonjour Didier,
Nous avons eu la confirmation ce jour de l'éditeur d'Easyblog (également Komento) qu'ils étaient en train de mettre en place de nouvelles fonctionnalités au sein de leurs composants. Ce sont des fonctions importantes qui...

Rebonjour Didier,
Nous avons eu la confirmation ce jour de l'éditeur d'Easyblog (également Komento) qu'ils étaient en train de mettre en place de nouvelles fonctionnalités au sein de leurs composants. Ce sont des fonctions importantes qui nécessitent du temps de développement et des tests. Un peu de patience et , encore une fois, il ne sera possible pour personne d'être en conformité parfaite le 25 Mai. Le chemin sera long et c'est admis par les autorités de contrôle.

Lire la suite
This comment was minimized by the moderator on the site

Bonjour Didier

A mon avis, si le visiteur est anonyme cela ne pose pas de problème et ne concerne par le nouveau règlement.
Pour l'inscription au blog, cela doit être comme avec la newsletter il doit pouvoir se désabonner avec un mail de...

Bonjour Didier

A mon avis, si le visiteur est anonyme cela ne pose pas de problème et ne concerne par le nouveau règlement.
Pour l'inscription au blog, cela doit être comme avec la newsletter il doit pouvoir se désabonner avec un mail de notification, ou alors il devrait pouvoir remplir un formulaire pour que l'admin puisse
supprimer le compte (comme avec Joomla)

Belle journée,
Sabrina

Lire la suite
This comment was minimized by the moderator on the site

6.1- Adresse IP et logs de suivi : au chargement du site
Je lis aussi beaucoup de chose sur Google Analytics, n'étant pas conforme RGPD. La CNIL conseil d'utiliser entre autre Matomo, ou pour Google Analytics d'utiliser un bandeau cookies (un...

6.1- Adresse IP et logs de suivi : au chargement du site
Je lis aussi beaucoup de chose sur Google Analytics, n'étant pas conforme RGPD. La CNIL conseil d'utiliser entre autre Matomo, ou pour Google Analytics d'utiliser un bandeau cookies (un vrai) pour pour obtenir le consentement avec en plus un script produit pas eux et pas forcement simple à mettre en place. J'ai trouver un article intéressant pour le mettre en place, mais pour Wordpress, pas pour Joomla (http://www.webdust.fr/internet/mettre-le-suivi-google-analytics-en-conformite-avec-la-cnil/)

A titre de conseil, que faut-il faire ? Existe-t-il un composant/plugin Joomla pour facilité la mise en conformité de Google Analytics ?

Merci et bonne journée

Lire la suite
This comment was minimized by the moderator on the site

Bonjour à tous,

Didier, ce sujet me chiffonne un peu, on a besoin d'analytics pour travailler sinon je ne vois pas comment on peut faire autrement. De plus ce qui est est très embêtant dans cette histoire, c'est que nous sommes les seuls...

Bonjour à tous,

Didier, ce sujet me chiffonne un peu, on a besoin d'analytics pour travailler sinon je ne vois pas comment on peut faire autrement. De plus ce qui est est très embêtant dans cette histoire, c'est que nous sommes les seuls toucher par cette norme (en Europe) alors que les Géants du net sont hors UE... Quelle logique! :o
Pour le popup, comme je l'avais dis plus haut, beaucoup de visiteur vont répondre "non" pour ne pas être suivi...et comme l'a dit Xavier, comment suivre cela dans analytics?
Je pense qu'on peut mettre en place beaucoup de choses, et qu'on peut tous faire beaucoup d’effort pour le reste, mais pour ce sujet, cela coince encore!

Je rebondis sur le fait que nous ne pourrons pas être à 100% opérationnel au 25 Mai pour la simple et bonne raison: On utilise des composants créer par d'autres, et nous n'avons pas la main dessus. De plus les développeurs sont peut-être aussi étrangers et ne connaissent pas la norme RGPD...

Bon Vendredi
Sabrina

Lire la suite
This comment was minimized by the moderator on the site

Concernant Analytics et les IPs, nous en parlions pas plus tard que ce matin en conf call, il y a une fonction d'anonymisation des IP sous Analytics :
https://support.google.com/analytics/answer/2763052
Un article qui en parle :
https://fr.ryte.c...

Concernant Analytics et les IPs, nous en parlions pas plus tard que ce matin en conf call, il y a une fonction d'anonymisation des IP sous Analytics :
https://support.google.com/analytics/answer/2763052
Un article qui en parle :
https://fr.ryte.com/wiki/Anonymisation_de_Google_Analytics

Lire la suite
This comment was minimized by the moderator on the site

Bonjour à tous,

Merci pour vos retours et informations… je me doute bien que nous ne seront pas totalement prêt pour fin mai

This comment was minimized by the moderator on the site

Bonjour :)

Jean-Charles merci pour l'info il faut qu'on s'y penche!
Didier, pour ma part il faut que je m'y mette, après toutes les infos qu'on a pu échanger ici je pense qu'on a matière à travailler.

Par contre j'ai bien regardé le tableur...

Bonjour :)

Jean-Charles merci pour l'info il faut qu'on s'y penche!
Didier, pour ma part il faut que je m'y mette, après toutes les infos qu'on a pu échanger ici je pense qu'on a matière à travailler.

Par contre j'ai bien regardé le tableur d'exemple fourni par la CNIL concernant l'inventaire des modules, modifications...je ne le trouve pas très clair:(
Avez-vous un exemple plus sympa et plus compréhensible? Didier, avez-vous fait le votre?

Merci à tous :)
Sabrina

Lire la suite
Il n'y a pas encore de commentaire pour cet article.
Charger plus

Ajouter vos commentaires

  1. Insérer un commentaire en tant qu'invité.
Pièces jointes (0 / 3)
Share Your Location
Contact
Dernier article sur la même thématique
Les fondamentaux de la sécurité pour protéger votre TPE / PMELes fondamentaux de la sécurité pour protéger votre TPE / PME
Les gérants d’entreprises de petite et moyenne taille s’imaginent trop souvent à l’abri des cyberattaques et plus généralement des sujets afférents à la cybersécurité. Et pourtant, en pratique, c...