Bonjour Robert,
Attention à propos du RGPD on entend tout et n'importe quoi.
Une des activités de mon entreprise est dédiée au RGPD, si tu as besoin je peux te mettre en contact la personne au sein de mon entreprise qui est la spécialiste du RGPD.

Pour le RGPD le plus important n'est pas au niveau des extensions en tant que tel. Le plus important est que tu collectes et la manière dont tu exploites, stockes et utilises ces informations.
Les personnes qui communiquent des informations ou qui sont tracées d'une manière ou d'une autre doivent être informées en amont et doivent pouvoir s'adresser à un responsable des traitements désigné par ton entreprise pour accéder à ses données et les faire modifier et/ou supprimer.

En ce qui concerne la formation, selon les informations que tu collectes tu ne vas avoir besoin que de peu de choses, en l’occurrence dire dans tes formulaires que tu stockes les informations et surtout récupérer l'approbation de la personne qui complètent ton formulaire (par une case à cocher par exemple), tu devras décrire leur finalité, la durée de conservation et décrire la sécurité que tu as mise en oeuvre pour stocker les données.
Informer de l'utilisation des cookies, permettre aux visiteurs de les régler le cas échéant. Pour cela je pourrais te donner des informations dès que la personnes dédiée au RGPD sera arrivée. (Il est 7h30 chez moi)

Tu ne dois rien communiquer à la CNIL tant que tu n'as pas besoin d'analyse d'impact, obligatoire dans certains cas seulement ; données sensibles (Religion, sexuelles, médicales, syndicales...), vidéo surveillance, tracking...,elle sont 9 au total, je peux te fournir la liste et les règles si tu veux.

Par contre, tu dois obligatoirement posséder un registre RGPD, que tu dois tenir à disposition de la CNIL en cas de contrôle, j'ai développé un modèle si tu veux.

• Donc bien informer sur tes formulaires les mentions obligatoires.
• Proposer un lien qui amène vers le rédactionnel de d'informations. (Avec informations sur le responsable des traitements, email et/ou téléphone)
• La manière dont tu stockes les informations de carte bancaire et données bancaires ainsi que leurs utilisations.
• Tenir un registre à jour.
• Réaliser le process des traitements.

Important : Il y a des traitements obligatoires dont nous ignorons souvent l'existence, par exemple les fiches des sous-traitants, des réseaux sociaux, hébergeur, comptable, partenaires.;;etc (sans oublier les OPCO, FAF, bilan pédagogique)
Il faut aussi obtenir des documents justificatifs de ses sous-traitants sans quoi tu est considéré comme co-responsable des traitements qu'ils font des données communiquées.

Si tu as besoin d'informations plus détaillées, n'hésite pas.

Cordialement.

Eric

Une information complémentaire importante, que j'ai oublié.
J'ai parlé des sous-traitants, il est essentiel d'avoir une fiche par sous-traitant et d'obtenir la garantie qu'ils sont en conformité avec la RGPD.

MAIS AUSSI, si toi, tu es également sous-traitant, par exemple tu formes des personnes pour un autre organisme, sois en inter sois en intra,
Ainsi la CNIL recommande de réaliser deux registres distincts afin de bien discerner :

• Dans le premier registre : les traitements que vous réalisez en tant que responsable de traitement (par exemple, la gestion de la paie de vos salariés) et ;
• Dans le second registre : les traitements que vous réalisez en tant que sous-traitant.

Merci Eric de toutes ces informations.

Pour le moment, je suis plus sur la question de quelle extension utiliser pour informer et obtenir l'accord du visiteur, comme le choix des cookies acceptés et l'information succincte sur la protection des données personnelles.

L'organisme n'a pas de sous-traitants, seulement des formateurs/examinateurs. On ne crée pas de compte utilisateur, la navigation est libre, seul un candidat à l'examen remplit un formulaire d'inscription et est redirigé vers PayPal lorsqu'il valide (le site ne gère pas lui-même les CB). Google Analytics suit le site. Les infos concernant le candidat ne sont actuellement pas envoyées par voie électronique, mais imprimées pour être transmises à l'organisme centralisateur.

Je dois dire que ces cookies et RGPD ont toujours été pour moi une plaie, compte tenu du type de sites dont je m'occupe plus ou moins et qui ne devraient pas être concernés. Quant à moi, sur les sites que je visite, je fais comme la quasi totalité des internautes : je valide sans regarder... Mais passons !

PS : j'ai oublié de préciser que la validation du formulaire nécessite déjà l'acceptation des conditions, avec lien vers un article concernant la politique de confidentialité.

Bonjour Robert,
Il y a des extensions mais elle sont payantes. Si tu veux je demanderai lesquelles à la personne en charge du RGPD.
en attendant j'ai vu passer Advanced Cookies qui parait assez complet.

Un formateur, examinateur, s'il est externe à l'entreprise peut être considéré comme un partenaire ou un sous-traitant.
A-t-il accès à des informations nominatives, ou a un moment donné, collecte-t-il des informations, ne serait-ce que par la connexion à une page qu'il administre par exemple pour proposer des documentations, des exercices ... ? sur lesquels il a une action à exercer ? (Correction, réponse à des messages ... ?) Là il doit plus être vu comme un sous-traitant, contrairement à un comptable ou une banque par exemple qui sont eux des partenaires car ils n'ont pas d’interaction directe avec la personnes concernée.
Donc s'il peut être considéré comme un sous-traitant il faut s'assurer que lui-même est en conformité avec le RGPD.

Paypal est vu comme un partenaire, il doit y avoir une fiche dans le registre consacré à PayPal.

Google est aussi vu comme un partenaire, dès que le site est suivi par Analytics par exemple.
Les réseaux sociaux également dès qu'un membre de l'entreprise à un rôle d'adminsitrateur de pages.


Dès lors ou quelque chose est déposé sur le poste du client, le site qui les dépose doit mettre une fiche dans sont registre pour préciser cela (Un fiche : Site Internet)

Il est vrai que l'on clique sans lire, mais dès lors, l'accord du visiteur est validé et protège le propriétaire du site, sous condition que le site soit en conformité avec les articles du RGPD.

Cordialement.

Eric

Merci Eric de ce complément d'informations.

Je suis surpris que Advanced Cookies ne soit pas sur le JED, mais seulement sur le site de ses auteurs. Je vais tester sa version gratuite, mai je suis atterré par le fait que cette extension intègre une alerte sur l'utilisation de reCaptcha !!!
"Je me protège en vérifiant que vous n'êtes pas un indésirable connu et/ou que vous êtes bien un humain et pas un robot malveillant", mais je suis contraint de vous prévenir. (ce que font pourtant les reCaptcha case à cocher et invisible qui se montrent bien sur les pages qu'ils protègent)

Si je te comprends bien, les profs d'une école seraient considérés (s'ils sont à temps partiel ou aussi à temps plein ?) comme des sous-traitants parce qu'ils ont accès aux informations des élèves ?

Même si je comprends la nécessité de protéger les utilisateurs (mais sont-ils protégés puisque presque tous ne lisent pas les clauses qu'ils valident ?), la lourdeur du système est difficilement gérable par une foule de créateurs de sites très simples...

Il manque une bibliothèque d'exemples pour ces sites concernant les cookies (c'est tellement vague ce que la plupart des alertes signalent que je n'ai personnellement toujours pas compris à quoi ils servent dans Joomla! à part mémoriser le fait qu'on veut rester connecté et la langue sur les sites multilingues), l'utilisation de formulaires de simple contact standard ou plus élaborés (avec et sans enregistrement dans la base), l'utilisation de Google Analytics, entre autres.

Compte tenu de la politique d'envoi à toutes sortes de sites Joomla!, dont l'AFUJ, de mails non sollicités signalant la nécessité de mise à jour de sites qu'a suivie la société qui édite Advanced Cookies, mails dont on a parlé plus d'une fois sur ce forum, je vais chercher une autre solution.

Finalement, compte tenu du fait que les simples visiteurs ne seront confrontés qu'aux cookies standard et à Analytics, je pense que le plus pratique sera une acceptation ou un refus de ceux-ci, avec page d'explications. Celui que j'ai trouvé pratique CookieHint and Consent, a un inconvénient : le refus fait tourner en boucle au lieu de permettre de renvoyer sur un site tiers.

Ensuite, l'acceptation des conditions ne sera nécessaire que pour la validation de l'inscription, avec lien vers l'article décrivant celles-ci et ce qui est enregistré par le site. Sur le site, après export de la liste des inscrits pour envoi à l'autorité de tutelle, les infos sont supprimées dans la base, ce listing imprimé détruit et les mails détruits dès l'examen passé. Donc les infos ne sont présentes que de la date d'inscription à celle de l'examen, ce qui simplifie les choses.

Correction : j'avais mal regardé, le refus peut renvoyer sur une adresse autre, par défaut cookieinfo.org ou toute autre adresse définie

Alors je connaissais pas Advanced Cookies, mais si le nom de l'éditeur ressemble est bien du genre xyz-pays, sachant le problème de réputation et l'agressivité de l'éditeur, pas sûr que je leur accorderais ma confiance
Et puis, ne pas être sur la JED, c'est pas top.

Perso j'ai pas tout à fait fini mon "tour des possibilités", mais j'entends que celui-ci a une bonne réputation : https://www.web357.com/product/cooki...-joomla-plugin
Il y en a aussi p ex https://extensions.joomla.org/extens...-control/gdpr/, sachant que l'éditeur a pas mal d'extensions bien connues sur la place.

Si vous avez de meilleures propositions que ces deux-là, n'hésitez pas à partager

Oui, c'est bien ça, le nom de l'éditeur...

Cookie Policy est proche de GDPR. J'ai eu des échanges avec l'auteur de ce dernier à propos de son extension JChat Social : très réactif. Les deux me semblent très intéressants.

En ce moment, j'en cherche un de plus simple pour d'autres sites sans autre chose, au plus, que le formulaire standard de contact, certains avec GA, d'autres sans. J'en ai quelques uns sur lesquels j'interviens de temps à autre où il n'y en a pas, pour éviter le spam et seule une adresse de messagerie est citée pour le contact.
Je ne suis pas sûr qu'on ait besoin de quelque chose de si complet dans ce cas, mais si j'ai bien lu, il faudrait que ces extensions permettent de refuser les cookies, ce qu'on ne trouve pas sur pas mal d'extensions uniquement dédiées aux cookies dans leur ensemble.

Je dois dire qu'après quelques tests, CookieHint and Consent me paraît bien convenir.
Un bémol cependant : je viens de constater un conflit avec l'option CDN/Cookieless de JCH Optimize pro et j'ai interrogé l'auteur de CookieHint. Si cette option est activée, la fenêtre pop-up du plugin disparaît, ainsi que les images, et le texte de ce pop-up est renvoyé en bas de page.

Bonjour,

Nouveaux soucis avec CookieHint : sur deux sites dont l'accès à l'administration est protégé par Admin Exile, l'identification à l'administration ramène sur la page d'accueil. Si je remplace la protection par celle d'ECC Plus, je peux me connecter, mais je ne vois plus les statistiques Analytics en backend... J'attends une réponse de l'auteur de CookieHint à mes précédentes questions pour signaler ce nouveau pépin.
Pour pouvoir voir les stats, il faut que j'aie accepté les cookies côté site...

Je sens que je vais me tourner vers une autre solution, au moins pour les sites utilisant Admin Exile.

Je complète après échange avec un auteur de CookieHint : par défaut, donc tant que l'acceptation n'a pas été faite, tout accès est interdit à certains sites externes, ce qui est assez logique.
Quant au problème de fontes que j'ai rencontré avec JCH, lui aussi est dû au fait que c'est un appel à un fichier css externe.
Reste une question importante : le conflit avec l'option pro de JCH "CDN/Cookieless" qui, une fois activée, renvoie le contenu du pop-up en bas de page et CookieHint bloque les images sur le site où je suis en train de tester. Je ne sais pas quel fichier il faudrait exclure de cette option JCH pour que le fonctionnement soit correct.

Bonjour,

Le RGPD n'est pas une partie de plaisir, mais la réglementation est très (TROP) précise, mais c'est comme ça

Il ne faut pas perdre de vue que beaucoup se sont engouffrés dans la voie de ce RGPD et propose des extensions tout azimut, mais qu'à aucun moment cette réglementation ne demande autant de précision au niveau des cookies que certains le laissent croire.


Il n'est obligatoire QUE d'informer le visiteur que le site utilise les cookies (quels qu'ils soient) et récupérer son approbation pour qu'il continue sa visite.
Ensuite il suffit de créer une fiche dans le registre pour les cookies.


Cette réglementation demande simplement des fiches de traitement qui détaillent :

• La manière dont sont collectées les informations personnelles.
• Leur finalité.
• La durée de conservation.
• La sécurité mise en oeuvre pour leur protection.

Il faut simplement permettre aux utilisateurs d'accéder, faire modifier et/ou supprimer les informations détenues et tenir un registre à jour qui détaille les points énumérés juste au dessus.



Si je te comprends bien, les profs d'une école seraient considérés (s'ils sont à temps partiel ou aussi à temps plein ?) comme des sous-traitants parce qu'ils ont accès aux informations des élèves ?
Les profs des écoles ne sont dans le public pas considérés comme des sous-traitants, mais des employés, ils font partis la fiche "employé" au niveau du RGPD, il ne faut jamais perdre de vue qu'aucune information nominative n'est mentionnée dans les fiches RGPD.
S'il s'agit d'un intervenant externe, il peut-être considéré comme un partenaire ou un sous-traitant selon les taches qui lui sont confiées. (S'il manipule des données dans un but de traitement il devient sous-traitant, par exemple la banque qui ne fait que le virement des salaires n'est pas un sous-traitant mais un partenaire car il ne fait q'utiliser les données sans que son intervention n'ai d'impact sur ces données, un formateur qui corrige et note un apprenant, si ces annotations sont stockées, il devient sous-traitant)

• Un partenaire ne doit être notifié que sous forme d'une fiche dans le registre.
• Un sous-traitant doit être mentionné sous forme d'une fiche dans le registre et doit aussi fournir son registre (En tout cas les fiches relatives au traitements effectuées avec les informations fournies)

Il est vivement conseillé d'avoir deux registres, un pour l'exploitation des données par l'entreprise et ses partenaires, un autre pour ses sous-traitants.


Même si je comprends la nécessité de protéger les utilisateurs (mais sont-ils protégés puisque presque tous ne lisent pas les clauses qu'ils valident ?), la lourdeur du système est difficilement gérable par une foule de créateurs de sites très simples...
Tout doit être consigné dans un registre RGPD. On sait bien que c'est lourd, la CNIL en est bien consciente aussi, mais la réglementation européenne l'exige depuis le 25 mai 2018 et les règles ont largement évoluées depuis, elles évoluent encore actuellement, puisque plusieurs points ne sont pas encore finalisés.

Il manque une bibliothèque d'exemples pour ces sites concernant les cookies (c'est tellement vague ce que la plupart des alertes signalent que je n'ai personnellement toujours pas compris à quoi ils servent dans Joomla! à part mémoriser le fait qu'on veut rester connecté et la langue sur les sites multilingues), l'utilisation de formulaires de simple contact standard ou plus élaborés (avec et sans enregistrement dans la base), l'utilisation de Google Analytics, entre autres.
la CNIL ne demande au niveau des cookies uniquement que l'utilisateur soit informé, à aucun moment il n'est précisé de proposer à l'utilisateur de "régler" ses cookies, il faut uniquement être capable de lui proposer de les accepter ou pas, au quel cas, il devrait ne pas pouvoir accéder au site.
Une liste devient donc superflue et n'est jamais demandé dans le registre RGPD.
Le fait de ne stocker que la langue de l'utilisateur est considéré comme une donnée personnelle par la CNIL, sous réserve que l'individu soit identifiable grâce aux données collectées.


Cordialement.

Eric

Merci Eric,

Je prendrai aussi comme référence https://www.service-public.fr/profes...sdroits/F31228

Mais dans ce que tu dis, il y a quelque chose qui m'interpelle : les registres qui vont conserver les infos des "clients", mais sur lesquels il faudra pouvoir faire disparaître ces données si le concerné le demande ? On serait à l'inverse de la comptabilité qui exige l'absence de ratures et suppressions.
Exemple : j'achète un objet ou un service sur un site, puis je demande la suppression de mes données. OK, mais le vendeur va devoir conserver la facture acquittée, donc mes données ne seront jamais complètement effacées...

Bonjour Robert,
Il faut bien comprendre qu'il s'agit d'une réglementation européenne, la législation de chaque pays n'a pas valeur de référence en tant que tel mais peut servir à décrire par exemple la durée de conservation des données.

Le mieux est que tu regardes du côté CNIL. https://www.cnil.fr/fr/rgpd-par-ou-commencer

Aucun registre ne conserve d'info, les registres doivent uniquement décrire la nature des collectes et des informations collectées, leur utilisation (finalité), description du stockage et durée de conservation. Ensuite tu as le process à construire et le cas échéant une analyse d'impact pour les données sensibles ou si des données collectées (texte, audio, vidéo...) font parties des données de la liste des traitements qui nécessitent une analyse d'impact. https://www.cnil.fr/fr/ce-quil-faut-...s-donnees-aipd

La durée de conservation est très variable et est liée au traitement.
Par exemple pour un site marchand, les données bancaires ne sont conservées que pendant le temps nécessaire au traitement, les empruntes bancaires pour une durée qui permet le recours du vendeur. Pour des employés, par exemple jusqu'à la fin du contrat de travail ou toute la durée pendant laquelle la personne est employée. La durée peut aussi être "Durée légale prévue par la loi" ou encore "Toute la durée de vie de l'entreprise"...
La durée n'est pas forcément une valeur numérique.

Cordialement.

Eric