[Résolu] Lois : e-mails et IPs

Bonjour,
J'aimerais quelques précisions par rapport aux lois en France.

1/ J'ai un formulaire qui demande un e-mail et le stocke. Faut-il demander la permission à l'utilisateur de le stocker ? Comme il rentre l'email, c'est qu'il est d'accord ?
Moi, j'ai mis une checkbox required selected avec une autorisation. Si on la décoche, le formulaire ne s'envoie pas. Si on la coche, il s'envoie.
Mais comme required est du JS, l'utilisateur peut le modifier. Je n'est pas mis de vérification PHP. Mais est-ce bon de se dire : "S'il modifie le code source, c'est lui qu'il l'a voulu".
Suis-je dans la loi ? Dois-je obligatoirement mettre une vérification PHP ?

2/ Ces e-mails, après, je les utilise pour envoyer des e-mails. Faut-il une autre autorisation ?

3/ Par rapport aux cookies, il faut un bandeau avec un clic de l’utilisateur. Mais pour les IPs et dates de visite ? Peut-on les récupérer comme ça ? Faut-il une autorisation ?

Merci beaucoup pour ces précisions !

Hi,

Pour être à 100% dans les clous :

1/ La case doit être décochée par défaut, car c'est l'utilisateur qui te permet d'utiliser ses données. Il n'a pas à t'interdire de le faire car par défaut la loi t’interdis de le faire si c'est un particulier.

2/ La case doit être préfixée d'un message "En cochant cette case j'accepte la politique de confidentialité du site et j'autorise l'exploitation de mes données à des fins de... (prospection commerciale/recevoir la newsletter/etc.)" (avec un lien pointant dessus). que tu dois définir dans ta politique de confidentialité.

3/ L'ensemble des traitements automatisées doivent être définit dans cette même politique de confidentialité à savoir où et comment sont stockée les données, qui à la charge de leur sécurité, qu'elle est le but du stockage de ces données.

4/ Les ip sont des informations indirectement nominatives donc soumissent à la RGPD.

RGPD / CNIL


Art. 2 : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».


Si besoin MP.
Modifié par gray_magic (16 Dec 2020 - 18:10)

Salut

js_html a écrit :
2/ La politique de confidentialité est obligatoire pour les entreprises ? Les sites web ? Les sites qui récupèrent des données ?

La politique de confidentialité est un document qui explique comment sont traitées les données et par qui (et combien de temps elles sont stockées, etc.). À partir du moment où tu traites des données, oui, c'est obligatoire.
Par exemple, un bête formulaire de contact est un traitement de données personnelles (Nom, prénom, email...)

js_html a écrit :
"En cochant cette case j'autorise l'exploitation de mes données qui pourraient être utilisées pour me contacter par e-mail." : est-ce bon ? Puis-je mettre ça ?

Regardes bien le site de la CNIL, qui fournit des exemples de mentions de ce genre. Dans ta mention, tu dois informer l'utilisateur de qui traite les données, pour quelle finalité et indiquer un lien vers la politique de confidentialité.
Par exemple : "(L'entreprise Machin) traite les données recueillies dans ce formulaire afin de (finalité du traitement). Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, reportez-vous à notre politique de traitement des données personnelles en cliquant ici."

js_html a écrit :
3/"qui à la charge de leur sécurité" : moi ??

Ben, ça dépend. En général c'est le propriétaire du site : par défaut, c'est toi, puisque le code d'un développeur lui appartient car le code qu'il produit est protégé par la propriété intellectuelle. Cependant, en général, quand on travaille pour une entreprise, on cède sa propriété intellectuelle à l'entreprise, et dans ce cas le responsable, c'est plutôt le responsable légal de l'entreprise, donc ton patron.
Ce point est à vérifier, je ne suis pas hyper sûr de ce que j'avance, contredisez-moi si besoin...

js_html a écrit :
4/ Du coup, on peut demander l'autorisation par un bandeau ?

Le bandeau, c'est plutôt pour les cookies : tu attends que l'utilisateur accepte avant d'installer sur sa machine tes multiples cookies. Un bandeau ne te dispense pas d'informer clairement l'utilisateur avant d'effectuer un traitement de ses données personnelles, via une mention explicite, placée par exemple juste à côté d'un bouton de validation d'un formulaire.

js_html a écrit :
Petite question bonus : j'utilise les images d'iplogger.org pour récupérer l'IP, dates de visite... On ne peut pas supprimer UNE Ip (c'est tout ou rien). Comment faire (si un utilisateur me demande de supprimer ses données) ?
Merci !

Je n'en sais rien... Que proposent iplogger dans leur propre politique de confidentialité ? Ils traitent après tout eux aussi des données personnelles, et je dirais même que dans ton cas, ils sous-traitent les données que tu leur fourni via ton site web...

Si tu veux en savoir plus sur le RGPD, et dégrossir un peu tes connaissances sur ce sujet, la CNIL fourni encore l'accès à son MOOC (https://atelier-rgpd.cnil.fr/), c'est déjà une bonne base ^^