# Module 3 - Responsabilité du fait des contenus + RGPD ## Responsabilité du fait des contenus en ligne : ### Question 1 - Cherchez la différence entre un éditeur et un hébergeur L’éditeur du contenu est en général celui qui élabore le contenu ou qui a un rôle de choix du contenu qui figure sur la plateforme. Celui de l’hébergeurfournit une prestation de stockage du contenu sans choix des contenus. ### Question 2 - Quelle est la responsabilité d’un éditeur de contenu ? La responsabilité d'un éditeur de contenu est totale , ce qui veut dire que tous ce qui est ligne sur un site internet a été rédigé par l'éditeur. ### Question 3 - Quelle est la responsabilité d’un hébergeur ? L'hebergeur est celui qui stock des données sur des serveurs connectés. Il est en aucun cas responsable juridiquement des données qu'il stock car il n'en a pas le connaissance. Son but est uniquement technique (heberger un site internet). ### Question 4 - Quelles sont les différentes façons d’obtenir une levée d’anonymat sur internet ? Dans le cas de l'utilisation de n'importe quel site internet ou réseau social, l'anonymat est un droit dans le cas où l'utilisateur respecte le règlement de la plateforme utilisée. Néanmoins, ce dernier peut être levé en cas de faute grave : usurpation d'identité, attaque ou cyber-harcèlement. ### Question 5 – Avant toute action en justice, comment puis-je me constituer une preuve du contenu illicite ? Pour constituer des preuves de contenu dupliqué, il est possible de faire des copies d'écran (incluant l'URL de la source) par plusieurs personnes. Une compilation de mail (contenant les captures d'écran) pourra servir de témoignage. Un constat d'huissier peut être utile en cas d'engagement d'une action en justice. ### Question 6 – L’hébergeur est-il tenu de supprimer les contenus signalés ? L’hébergeur doit retirer le contenu rapidement suite à une notification. Il dispose d'un délai de 24h pour supprimer le contenu indésirable. Les sanctions en cas de non retrait du contenu illicite sont de plus en plus lourdes. ### Question 7 – Citez quelques affaires connues de levée d’anonymat sur internet. j'ai entendu parler d'une histoire de harcelement qui concerne l'affaire mila. Elle est victime de harcelement sur twitter et les autres réseaux sociaux. Certain de ses agresseurs ont été interpelés malgrès leur compte twitter anonyme. ### Question 8 – Établissez un courrier de demande de levée d’anonymat auprès d’un hébergeur à l’amiable. Bonjour, Mon client a été victime d'une usurpation d'identité sur un site internet hébergé sur votre plateforme. Dès lors, nous souhaitons avoir accès à ses coordonnées afin de mener une enquête sur l'individu responsable de cet acte. ## RGPD ### Question 1 – Définissez une donnée à caractère personnel Une donnée à caractère personnel est toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement. ### Question 2 – Donnez des exemples de données qualifiées de données à caractère personnel Un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal peuvent par exemple être des données à caractère personnel. ### Question 3 – Qu’est-ce qu’une donnée qualifiée de sensible ? Une donnée sensible est une information qui révèle la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne. ### Question 4 – Donnez des exemples de données sensibles. L’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont des données sensibles. ### Question 5 – Qu’est-ce qu’un traitement de données personnelles ? Un traitement de données personnelles est une opération, ou ensemble d’opérations portant sur des données personnelles. Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions. Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation. ### Question 6 – Énumérez les différents droits d’une personne physique affirmé par le RGPD. **Le droit à l’information** Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes **Le recueil du consentement** Le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée. Dans un formulaire en ligne, il peut se matérialiser, par exemple, par une case à cocher non cochée par défaut. **Le droit d’opposition** Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale **Les droits d’accès et de rectification** Le responsable du fichier dispose d’un délai de réponse maximal d'un mois à compter de la date de réception de la demande. Si la demande exercée sur place ne peut être satisfaite immédiatement, un avis de réception daté et signé doit être remis au demandeur **Le droit à la portabilité** Le responsable du fichier dispose d’un délai de réponse maximal d'un mois à compter de la date de réception de la demande. Si la demande exercée sur place ne peut être satisfaite immédiatement, un avis de réception daté et signé doit être remis au demandeur ### Question 7 – Quelle responsabilité pour les sous-traitants ? Depuis l’entrée en application du RGPD, de nouvelles obligations pèsent sur les sous-traitants comme sur les responsables de traitement. Voici les obligations : - Déterminer le statut des acteurs impliqués - Établir un contrat clair - Documenter l’activité de sous-traitance - Proposer des outils respectueux des données personnelles - Aider le responsable de traitement à répondre aux demandes - d’exercices des droits des personnes - Garantir la sécurité des données collectées ### Question 8 – Citez-moi plusieurs décisions de justice concernant un manquement à l’obligation de sécurisation des données. ### Question 9 – Décrivez moi l’affaire Boulanger suite au contrôle de la CNIL Certains employés ont mis des commentaires désobligeants dans les fichiers clients ce qui pose un problème de "propos excessifs" ### Question 10 – Quelles sont les conditions imposées par le RGPD de notification des failles de sécurité ? La notification doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes. Si vous ne pouvez pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, vous pouvez procéder à une notification en deux temps : - Une notification initiale dans un délai de 72 heures si possible à la suite de la constatation de la violation. - Si le délai de 72 heures est dépassé, vous devrez expliquer, lors de votre notification, les motifs du retard. Enfin, une notification complémentaire dès lors que les informations complémentaires sont disponibles. ### Question 11 – Sous quelles conditions puis-je envoyer des newsletters ? Pour envoyer une newsletter, il faut que les personne la recevant aient donné leur accord explicite pour les recevoir. Il faut également permettre une désinscription facile à la newsletter. ### Question 12 – Réalisez une cartographie des données conforme au RGPD sous forme de Mind-Mapping, vous pouvez choisir l’entreprise de votre choix et imaginer les différentes collectes de données. Il convient de partir de deux éléments centraux distincts : la collecte des données et la sécurisation des données. Il s’agira des deux éléments de votre carte desquels devront partir les sous-branches correspondantes. ### Question 13 – Sur la base de votre cartographie précédente, réalisez un registre de traitement conforme au RGPD. ### Question 14 – Quelle difficulté est soulevée par Google Analytics ? Quelle est la position de la CNIL ? Le problème de Google Analytics soulevé par la CNIL est qu'il constitue une violation des RGPD en raison de transferts de données vers les États-Unis. ### Question 15 – Qu’est-ce qu’un DPO ? Son rôle ? Ses qualités ? Le délégué à la protection des données, est la personne en charge de la protection des données à caractère personnel au sein des organismes publics ou privés. ### Question 16 – Dans quelle mesure un DPO est-il obligatoire ? La désignation d'un Délégué est obligatoire pour les autorités et organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle comme les compagnies d'assurance ou les banques pour leurs fichiers clients, les opérateurs téléphoniques ou les fournisseurs d'accès internet ; Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites "sensibles" ou relatives à des condamnations pénales et infractions. ### Question 17 – Rédigez une politique de confidentialité pour un site internet de vente en ligne de produits cosmétiques. <section style="padding:20px; border:1px solid rgba(0,0,0,0.2); border-radius:10px;"> # Politique de confidentialité Cette politique de confidentialité décrit la manière dont vos informations personnelles sont collectées, utilisées et partagées lorsque vous visitez ou effectuez un achat auprès de raphy-cosm.fr (le «Site»). ## INFORMATIONS PERSONNELLES QUE NOUS COLLECTONS Lorsque vous visitez le site, nous collectons automatiquement certaines informations sur votre appareil, notamment des informations sur votre navigateur Web, votre adresse IP, votre fuseau horaire et certains des cookies installés sur votre appareil. De plus, lorsque vous naviguez sur le site, nous collectons des informations sur les pages Web individuelles ou les produits que vous affichez, sur les sites Web ou les termes de recherche qui vous renvoient au site, ainsi que des informations sur la manière dont vous interagissez avec le site. Nous nous référons à ces informations collectées automatiquement en tant qu’informations sur le périphérique. Nous recueillons des informations sur les appareils en utilisant les technologies suivantes: Les «cookies» sont des fichiers de données placés sur votre appareil ou votre ordinateur et comprenant souvent un identifiant unique et anonyme. Pour plus d'informations sur les cookies et sur la façon de les désactiver, visitez le site http://www.allaboutcookies.org. Les «fichiers journaux» suivent les actions qui se produisent sur le site et collectent des données, notamment votre adresse IP, le type de navigateur, le fournisseur de services Internet, les pages de renvoi / de sortie et les horodatages. Les «balises Web», les «balises» et les «pixels» sont des fichiers électroniques utilisés pour enregistrer des informations sur la façon dont vous naviguez sur le site. De plus, lorsque vous effectuez un achat ou tentez de le faire via le site, nous collectons certaines informations, notamment votre nom, prénom, votre adresse de facturation, votre adresse de livraison et vos informations de paiement (y compris les numéros de carte de crédit), adresse e-mail et numéro de téléphone. Nous nous référons à cette information en tant que "Information de commande" Lorsque nous parlons de «Informations personnelles» dans la présente Politique de confidentialité, nous parlons à la fois d’informations sur les appareils et d’informations sur les commandes. ## COMMENT UTILISONS-NOUS VOS INFORMATIONS PERSONNELLES ? Nous utilisons généralement les informations de commande que nous collectons pour exécuter toutes les commandes passées sur le site (y compris le traitement de vos informations de paiement, l'organisation de l'expédition et la fourniture de factures et / ou de confirmations de commandes). De plus, nous utilisons ces informations de commande pour: Communiquer avec vous; Examiner nos commandes pour détecter tout risque potentiel ou fraude Lorsque cela est conforme aux préférences que vous avez partagées avec nous, vous fournissons des informations ou des publicités relatives à nos produits ou services. Nous utilisons les informations sur le périphérique que nous collectons pour nous aider à détecter les risques potentiels et les fraudes (en particulier adresse IP), et plus généralement à améliorer et optimiser notre site (par exemple, en générant des analyses sur la manière dont nos clients naviguent et interagissent avec site, et d’évaluer le succès de nos campagnes de marketing et de publicité). ## PARTAGE DE VOS INFORMATIONS PERSONNELLES Nous partageons vos informations personnelles avec des tiers pour nous aider à utiliser vos informations personnelles, comme décrit ci-dessus. Par exemple, nous utilisons Shopify pour alimenter notre boutique en ligne. Pour en savoir plus sur l’utilisation par Shopify de vos informations personnelles, consultez la page https://www.shopify.com/legal/privacy. Nous utilisons également Google Analytics pour nous aider à comprendre comment nos clients utilisent le site. Pour en savoir plus sur la manière dont Google utilise vos informations personnelles, consultez la page https://www.google.com/intl/fr/policies/privacy/. Vous pouvez également désactiver Google Analytics ici: https://tools.google.com/dlpage/gaoptout. Enfin, nous pouvons également partager vos informations personnelles afin de respecter les lois et réglementations en vigueur, de répondre à une assignation à comparaître, à un mandat de perquisition ou à toute autre demande licite d'informations que nous recevons, ou de protéger nos droits de quelque manière que ce soit. ## COMPORTEMENT PUBLICITAIRE Comme décrit ci-dessus, nous utilisons vos informations personnelles pour vous fournir des communications marketing susceptibles de vous intéresser. Pour plus d’informations sur le fonctionnement de la publicité ciblée, visitez la page pédagogique de la Network Advertising Initiative («NAI») à l’adresse http://www.networkadvertising.org/understanding-online-advertising/how-does-it-work. Vous pouvez par exemple désactiver la publicité ciblée en utilisant les liens ci-dessous: Facebook: https://www.facebook.com/settings/?tab=ads Google: https://www.google.com/settings/ads/anonymous Bing: https://advertise.bingads.microsoft.com/en-us/resources/policies/personalized-ads De plus, vous pouvez désactiver certains de ces services en visitant le portail de retrait de Digital Advertising Alliance à l’adresse suivante: http://optout.aboutads.info/. ## OUTIL "NE PAS SUIVRE" Veuillez noter que nous ne modifions pas la collecte de données de notre site ni les pratiques en vigueur lorsque nous voyons un signal "Ne pas suivre" de votre navigateur. ## VOS DROITS Si vous êtes résident européen, vous avez le droit d'accéder aux informations personnelles que nous détenons à votre sujet et de demander que vos informations personnelles soient corrigées, mises à jour ou supprimées. Si vous souhaitez exercer ce droit, veuillez nous contacter par mail à l'adresse hello@raphy-cosm.fr . De plus, si vous êtes un résident européen, nous notons que nous traitons vos informations afin de respecter les contrats que nous pourrions avoir avec vous (par exemple, si vous passez une commande sur le site) ou de poursuivre autrement nos intérêts commerciaux légitimes énumérés ci-dessus. De plus, veuillez noter que vos informations sont transférées hors d'Europe, y compris au Canada et aux États-Unis. ## LA CONSERVATION DES DONNÉES Lorsque vous passez une commande sur le site, nous conservons vos informations de commande pour nos enregistrements, à moins que et jusqu'à ce que vous nous demandiez de supprimer ces informations. ## CHANGEMENTS Nous pouvons mettre à jour cette politique de confidentialité de temps à autre afin de refléter, par exemple, des changements apportés à nos pratiques ou pour d'autres raisons opérationnelles, légales ou réglementaires. **Mineurs** Le site n'est pas destiné aux personnes de moins de 16 ans. </section>