Protection des données personnelles et sécurité informatique
I) La protection des données personnelles
11- L’engagement du Carnet en Ligne/L’Annuaire (CEL)
Conformément à la réglementation, Le Carnet en Ligne/L’Annuaire est juridiquement responsable du traitement de vos données personnelles et s’engage en conséquence à prendre toutes les mesures nécessaires pour garantir leur sécurité et leur confidentialité en toutes circonstances. Conformément au Règlement Général sur la Protection des Données (RGPD), le Carnet en Ligne souhaite vous informer de la manière dont vos données sont utilisées et vous aviser de vos droits concernant leur traitement.
12 – Données privées – finalités
Lors de l’inscription et pendant la présence d’un membre, le site du Carnet en Ligne (CEL) est amené à collecter des données privées. Ces données ne sont collectées que dans le but de faire fonctionner le CEL. La collecte est donc strictement nécessaire au fonctionnement du CEL (principe de minimisation).
13 – Document de référence
Le site est conforme à la loi « Informatique et Libertés » du 6 janvier 1978, aux dispositions relatives au Règlement Général sur la Protection des Données (RGPD) (mise à jour le 1er juin 2019 par le législateur) et au règlement européen UE 2016/679.
14- Objet du traitement, consentement, transparence
Le site collecte des données uniquement pour son usage interne et celui de ses membres. Au sens du RGPD, les données sont dîtes de catégories 1 : « courantes et non-sensibles». Les données demandées apparaissent dans les différentes vues d’inscription ou d’actualisation du site. Ainsi, certaines données sont obligatoires pour un fonctionnement minimum du service annuaire (exemple : nom, prénom, adresse), d’autres sont facultatives et donc laissées à l’appréciation du membre (exemple : mails, titres nobiliaires). Les données obligatoires sont repérées par une *. La volonté du membre sera toujours respectée. Le consentement libre et éclairé du membre sera demandé tous les ans lors du renouvellement de l’abonnement.
15 – Accès aux données collectées
Les données collectées sont accessibles au salariés du CEL uniquement lors de leur activité de salariés et dans les locaux du CEL. A l’embauche, les salariés signent une charte de confidentialité engageant leur responsabilité. Cette charte est disponible sur demande.
16 – Délégué à la protection des données (DPO)
Conformément à la loi, la société a nommé un DPO. En 2021/2022, le DPO est Gaultier d’Andlau, contactable à dpo@lecarnetenligne.fr
17 – Stockage et durée de stockage des données
Sous la responsabilité de Gaultier d’Andlau en tant que DPO, le site tient à jour un registre de traitement des données, conformément à l’article 30 du RGPD. Ce registre est disponible sur demande de la CNIL, pour contrôles. Les données personnelles sont conservées le temps de présence du membre.
18 – Cession des données
Les données personnelles des membres ne feront pas l’objet de vente, locations, exports vers quelques tiers que ce soit. Cette politique fait partie du socle de confiance entre le CEL et ses membres. L’annuaire utilise vos données uniquement à des fins non-commerciales.
Le CEL n’a ni sous-traitants, ni partenaires commerciaux.
Le partenariat avec Roglo n’entraîne aucune cession des données des membres de L’Annuaire. Il ne s’agit que d’une consultation de la base Roglo.
Quant à d’éventuelles données bancaires, elles sont gérées en externe par le site de paiement en ligne Stripe dont la politique de traitement des données privées est consultable là.
19 – Politique des cookies
Le site n’utilise que des cookies internes nécessaires au fonctionnement. Ils permettent au site de fonctionner de manière optimale. Vous pouvez vous y opposer et les supprimer en utilisant les paramètres de votre navigateur, cependant votre expérience utilisateur risque d’être dégradée. Le site s’interdit tout cookies qui aurait pour vocation de transmettre des informations à l’extérieur du site (tracking).
20 – Exercer ses droits – accès aux données – droit de rectification – droit de suppression
Vous pouvez exercer vos droits ou poser une question, soit en utilisant le formulaire de contact en cliquant là, soit envoyer un courrier électronique à dpo@lecarnetenligne.fr (de préférence avec accusé de réception), ou encore envoyer un courrier postal (de préférence A/R) à l’attention de M. Gaultier d’Andlau – Société FPEL – 125 , avenue de Versailles – 75016 Paris.
Le délai de réponse est de maximum trois semaines, à réception du courrier (date et heure de réception de l’émail ou date de présentation du courrier AR faisant foi)
Chaque membre peut accéder aux données le concernant, les rectifier en ligne ou les faire effacer.
Pour tout membre qui ne renouvelle pas les propositions de renouvellement d’abonnement, les données du membre seront définitivement effacées dans un délai maximum de six mois après la dernière relance.
21 – Déclaration à la CNIL
Le Carnet en Ligne a déposé le 8 mars 2016 une déclaration de conformité à la CNIL, qui a fait l’objet d’un récépissé enregistrée sous le n° 1937065.
II) Politique de sécurité informatique du CEL
La politique de sécurité du Carnet en Ligne recouvre un large périmètre de mesures :
- Intégrité des données : le Carnet en Ligne garantit d’une part que chaque membre est bien qui il prétend être (absence de faux profils) ainsi que l’exactitude des données,
- Protection des données : cette partie regroupe un ensemble de problématiques diverses,
- Le site lui-même gère les données des membres avec rigueur,
- Le site est protégé contre les attaques extérieures,
- Le membre a un contrôle total de ses données.
21 -Intégrité des données
Absence de faux profils
Chaque profil est authentifié par une pièce d’identité transmis électroniquement lors du parcours d’inscription, qui peut-être :
- un livret de famille pour les familles
- une CNI ou un passeport en cours de validité pour les célibataires
Fiabilité des données
Une déclaration sur l’honneur engage la responsabilité de son auteur et l’expose à d’éventuelles sanctions en cas de fausses déclarations. Certains justificatifs supplémentaires pourront être exigés. Le CEL procède à des vérifications avec ses propres bases de données.
22 – Protection des données
Utilisation des données par le site
Le site n’effectue aucun traitement des données personnelles des utilisateurs :
- Aucune transmission de données vers un service tiers à des fins commerciales ou non,
- Aucun traitement d’intelligence artificielle destiné, par exemple, à présenter tel ou tel produit à l’intérieur du site pour lequel le membre pourrait être pressenti appétant compte tenu de ses données,
- Aucune donnée personnelle de navigation ou consultation ne sont conservées, le site ne sait pas quelles pages un membre a visitées.
Les seules utilisations que le site fait des données sont les suivantes :
- Mise à disposition des données personnelles aux autres membres à travers la fonction annuaire, selon les autorisations explicitement données par chaque membre,
- Fonction de recherche multicritère dans l’annuaire effectuée sur la base des données personnelles des membres.
Les messages de la messagerie privée ne sont accessibles qu’à l’émetteur et au destinataire. Aucune fonction de recherche n’y est associée.
23 – Protection des données contre des attaques externes
Protection du mot de passe
- Seules les personnes disposant d’un compte peuvent entrer sur le site.
- Chaque compte est protégé par un login (email) / mot de passe. A cet égard, les membres ne doivent pas communiquer leurs identifiants et mot de passe. Ces données doivent aussi être conservés en lieu sûr chez le membre.
- Un niveau important de complexité du mot de passe est exigé (12 caractères).
- Au delà de trois tentatives erronées de mot de passe, il est demandé au membre de se réauthentifier en validant son adresse email à nouveau, et de générer un nouveau mot de passe. Le site est immédiatement informé de cette procédure, qui pourra procéder à des vérifications supplémentaires .
Protection des pièces d’identité
Par un souci de sécurisation supplémentaire, les pièces d’identité collectées de sont pas stockées sur le site mais dans un disque dur non connecté conservé dans un endroit physique sécurisé. Conformément à la recommandation de la CNIL, spécifiquement consultée sur ce sujet, les pièces d’identité seront détruites après la vérification du dossier.
Ransomewares
Des attaque sophistiquées de type ransomewares se sont récemment multipliées. Il s’agit pour les pirates de bloquer entièrement un site et d’exiger une rançon pour le débloquer. Toutes les données sont dupliquées sur un disque externe non connecté et sécurisé de façon hebdomadaire. En cas d’attaque de type ransomeware, le site piraté serait détruit et réinstallé sur un nouveau serveur non compromis avec les dernières données sauvegardées. Dans le pire des cas, un historique d’une semaine serait perdu.
A l’avenir, si les fonctions du Carnet en Ligne devenait évoluer de manière à ce que certains contenus soient mis à jour quotidiennement, la stratégie de sauvegarde évoluerait en conséquence avec des fréquences de sauvegarde quotidiennes.
Connexions inhabituelles
En cas de connexion inhabituelle (à partir d’un autre ordinateur ou après une longue période sans connexion), le site envoie une demande de vérification par sms (ou par mail).
24 – Sécurité des accès
Les locaux de la société sont équipés, en dehors des heurs de travail, d’un système d’alarme et de surveillance à distance (société Homiris).
25 – Contrôle des données par les membres / Gestion des droits de consultation aux données
Le membre dispose d’une tableau de bord lui permettant d’une part de voir quelles informations sont visibles par les autres membres, d’autre part de modifier très facilement l’accès à ces informations par les membres.
26- Ensemble des données personnelles conservées par le site
Le membre aura accès à une page contenant toutes les données conservées le concernant, y compris celles qu’il ne voit pas sur le site (sa date d’inscription par exemple).
Cette fonction ne sera pas disponible au lancement du service.
27 – Portabilité des données
A l’avenir, le membre aura accès à une page lui permettant de télécharger sous un format adéquat toutes les données le concernant.
Cette fonction ne sera pas disponible au lancement du service.
En attendant, un membre pourra demander l’exhaustivité des données le concernant par mail à l’adresse contact@lecarnetenligne.fr.
28 – Destruction des données
Si un membre supprime son compte, ce qu’il peut faire par une demande explicite à l’adresse contact@lecarnetenligne.fr, toutes ses données personnelles et échanges par mails seront définitivement effacés de tous les supports physiques ou électroniques du Carnet en Ligne.
A des fins de requêtes éventuelles des autorités, seront tout de même archivées :
- Les nom et prénom du membre
- La date d’inscription
- La date de suppression du compte