Aller à la navigation Aller au contenu

Politique de confidentialité

Ce document a spécifiquement été préparé à l’attention de nos client‧e‧s et de leurs représentant‧e‧s légaux‧gales. Il s’agit d’un survol des pratiques courantes liées à l’opération d’un site web, dans le cadre des services professionnels que nous rendons.

Le présent document est séparé en quatre parties distinctes.

#01 - Le produit numérique développé : La première traite du produit numérique développé par Deux Huit Huit, incluant tout le code produit par Deux Huit Huit, ainsi que celui produit par des tiers (logiciels open-source) étant directement sous notre responsabilité;

#02 - Les fournisseurs tiers : Cette portion traite des fournisseurs tiers qui ne sont pas sous notre responsabilité;

#03 : L’hébergement du produit numérique : Le choix du fournisseur et l’impact;

#04 - Des conseils et les bonnes pratiques : La quatrième et dernière section présente des conseils et des bonnes pratiques.

#01 - Le produit numérique développé

Lors de la conception de nos produits numériques, nous faisons très attention afin de récolter le minimum nécessaire au bon fonctionnement du site. À moins d’avis contraire, il n’y a pas de système de collecte de données ou d’enregistrement de l’utilisation qui en est faite. D’ailleurs, afin d’assurer la performance de votre site web, nous utilisons une architecture distribuée permettant de mettre en place plusieurs couches de cache, faisant en sorte qu’il n’y a jamais un serveur qui est en mesure de voir tout le trafic. Chaque noeud n’en voit qu’une partie. Nous sélectionnons aussi nos fournisseurs en tenant compte de leurs pratiques en matière de sécurité et de respect de la confidentialité.

Collecte volontaire de données

Dès que votre site web contient des formulaires où l’utilisateur saisit lui-même l’information, il est raisonnable de penser que tous les systèmes, fournisseurs et plateformes utilisés ont accès à cette information et que celle-ci sera sauvegardée soit dans les journaux (logs) ou dans une base de données. Il est donc important de décrire l’utilisation, immédiate et future, que vous en ferez. Il est aussi recommandé de mettre en place un processus afin d’être en mesure d’effacer manuellement ou encore d’avoir une garantie de suppression après un délai connu pour toute information récoltée, et ce, pour chaque fournisseur.

Utilisation de cookies (témoins)

Deux Huit Huit s’en tient à une utilisation minimale des cookies. Mis à part ce qui touche à la connexion où l’utilisation d’un cookie est essentiel, nous n’avons jamais besoin d’utiliser un cookie. D’ailleurs, il existe d’autres manières de persister de l’information de manière locale à l’utilisateur, sans que l’information soit transmise aux serveurs. Il est possible que votre produit numérique fasse exception, en fonction des fonctionnalités requises. Le cas échéant, nous vous aviserons.

#02 : Les fournisseurs tiers

La référence dans l’industrie est d’avoir recours à un outil qui se nomme Google Tag Manager (GTM), afin de pouvoir faire la gestion des outils de mesures et d’autres fournisseurs tiers (chatbot, plugins, etc.). L’ajout de cette plateforme fait donc partie de notre processus de mise en ligne standard.

La procédure est la suivante:

Deux Huit Huit ajoute le code requis pour connecter GTM au site web et ensuite perd le contrôle sur ce qui est ajouté comme balise. Il est donc de votre responsabilité de dresser la liste des balises qui sont incluses dans GTM, que ce soit par nous, vous ou encore votre firme de placement média. N’oubliez pas d’inclure l’utilisation de GTM en soi! La politique de GTM est disponible ici.

Utilisation de cookies (témoins)

Les systèmes de mesure de performance et d’utilisation (tracking) utilisent souvent des cookies. Il est de votre responsabilité de vous assurer d’inclure la liste de tous les fournisseurs tiers que vous utilisez. Il est recommandé d’offrir un lien vers la politique de confidentialité de chacun de ces fournisseurs. Il est aussi recommandé d’être en mesure de classer chaque fournisseur en fonction de leur utilisation des cookies selon les critères suivants:

  1. Fonctionnel : essentiel au bon fonctionnement du site (Très rare)
  2. Performance : fournisseur qui s’intéresse à l’utilisation faite sur le site ou sur sa performance (Ex. Google Analytics)
  3. Ciblage (Targeting) : fournisseur qui s’intéresse à créer des audiences ou à mesurer l’efficacité des partenaires médias (publicité en ligne) (Ex. Pixel Facebook)

Certaines juridictions demandent d’avoir un consentement explicite (opt-in) avant de pouvoir utiliser des cookies, voire même d’être en mesure de permettre à l’utilisateur d’activer ou pas . Le cas échéant, nous pourrons vous guider vers des solutions existantes.

#03 : L’hébergement du produit numérique

Le choix de votre fournisseur d’hébergement a aussi un impact sur la confidentialité et sur le respect au droit à la suppression.

Tout comme les fournisseurs tiers, l’utilisation de votre site web sous-entend donc que vos utilisateurs acceptent aussi les politiques de tous vos fournisseurs, ainsi que les fournisseurs de vos fournisseurs.

Hébergement chez Deux Huit Huit

Si vous avez l’hébergement avec nous, votre solution est gérée à 100% par nous. Vous devez également tenir compte de nos fournisseurs concernés :

  • Cloudflare (DNS, firewall, reverse proxy, cache)
  • Digital Ocean (Serveurs backend)
  • Amazon AWS (Backups) OVH (Serveurs backend)
  • Vercel (Serveurs frontend)

Nous avons mis en place une politique de rétention de sauvegarde de 6 mois. Il est recommandé d’inclure cette information dans votre politique. De plus, chaque fournisseur possède aussi des politiques de rétention qui leur sont propres.

Il existe des journaux (logs) qui contiennent des informations qui, selon certaines juridictions, sont considérées comme étant des informations qui permettent d’identifier une personne (PII ou Personally Identifiable). Voici donc une liste non exhaustive d’informations qui pourraient s’y retrouver:

  1. Adresse IP
  2. Langue de navigation
  3. URL demandée
  4. Géolocalisation (latitude, longitude, code postal, ville, région, pays, …)
  5. Navigateur utilisé
  6. Fournisseur d’accès internet (ISP et/ou AS)
  7. Toute information saisie dans les formulaires ou envoyée par l’utilisateur via une requête HTTP

Au niveau de la sécurité, nos serveurs et les comptes fournisseurs sont accessibles uniquement à partir de nos adresses IP, et uniquement par certains employés de chez Deux Huit Huit. Les informations sont toujours protégées par mot de passe ou fichier de clé. De multiples systèmes de détection d’intrusions, de restrictions de sécurité ainsi que d’audits sont en place. Nous avons des systèmes d’alertes redondantes. Les mises à jour de sécurité sont effectuées en permanence, de manière automatique et autonome.

#04 - Des conseils et les bonnes pratiques

Il existe une multitude de sources sur le web traitant des bonnes pratiques pour la rédaction d’une bonne politique de confidentialité. Tellement qu’il est facile de s’y perdre! Nous avons donc identifié deux ressources fiables (l’une en anglais, l’autre disponible dans les deux langues officielles) afin de dresser une liste des éléments qui, selon nous, sont les plus importants :

  1. Tenir la politique à jour, et inscrire dans la politique la date de la dernière mise à jour. Essentiel chaque fois que l’on ajoute/supprime un fournisseur dans GTM.
  2. Écrire en langage simple, compréhensible. Si vous devez avoir la “poutine” légale, essayez d’abord de vulgariser l’essentiel du jargon, et inclure celui-ci à la suite.
  3. Assurez-vous qu’il est facile d’identifier toutes les méthodes disponibles pour communiquer avec vous: adresse postale, adresse courriel, téléphone, …
  4. Soyez transparent et clair. Indiquez l’utilisation que vous faites des données récoltées ainsi que leur durée de rétention.
  5. Rendez-vous disponible. Assurez-vous d’avoir un employé clé qui est en mesure de répondre aux futures demandes de vos utilisateurs.
  6. Assurez-vous de respecter les lois qui sont en vigueur pour les pays où sont situés vos clients. Les lois comme GDPR (Europe), COPPA (USA) ou PIPEDA (Canada) sont applicables en fonction du pays de résidence de l’utilisateur, et non pas en fonction du pays où la compagnie est enregistrée. Consultez vos experts en droits numériques!
  7. Ce n’est pas juste une question de cookie, ni même un enjeu uniquement technologique. Votre entreprise doit être en mesure d’avoir les processus administratifs en place afin de jouer un rôle actif dans la protection des données.
  8. Questionnez-vous sur la nécessité d’utiliser des plateformes de mesure. En plus d’avoir un impact sur la vie privée de vos utilisateurs, chaque balise de mesure a un coût de performance. Assurez-vous d’activer le strict minimum.
  9. La bannière d’utilisation de cookies (avec ou sans opt-in) n’est pas obligatoire si vos fournisseurs n’en utilisent pas! Il existe des plateformes de mesure qui sont “cookie-less” (sans cookies). En optant pour ce genre de solutions, on évite d’avoir une bannière sur le site! N’hésitez pas à nous contacter si cette avenue vous intéresse. Sinon, sachez que si l’on choisit une bannière avec opt-in, on perd environ 90 % des statistiques: rares sont les gens qui décident activement de vouloir être observés.

Source 1, Le Commissariat à la protection de la vie privée du Canada

Dix conseils pour améliorer votre politique de confidentialité en ligne et la transparence de vos pratiques en matière de protection de la vie privée

Source 2, privacypolicies.com

Merci et n’hésitez pas à communiquer avec votre chef.fe de projets pour toute question!