Confidentialité des données - Certificats TRUSTe

Écrit par Frédéric Simonet.

Liste des mesures imposées aux opérateurs SaaS affiliés à TRUSTe.org en matière de protection des données personnelles. TRUSTe compte parmi ses membres Yahoo, Facebook, MSN, eBay, AOL, Disney, New York Times, Comcast and Apple.

Source : TRUSTe Privacy Program Requirements
Année : 2009

PII - Personnally Identifiable Informations

Ce sont les informations personnelles qui permettent l'identification directe (nom, prénom) ou indirecte (adresse physique, n° carte de crédit) de l'utilisateur.

Mesures imposées par le certificat "Web Privacy"

Pouvoir de contrôle des utilisateurs

  • Possibilité pour l'utilisateur d'interdire le partage des PII avec un Tiers ;
  • Possibilité pour l'utilisateur d'interrompre son abonnement aux newsletters ;
  • Possibilité pour l'utilisateur de corriger ou de mettre à jour ses PII.

Sécurité des données

  • Cryptage des PII transmises depuis les formulaires (demande d'information, authentification des utilisateurs, etc.) ;
  • Cryptage obligatoire des informations les plus sensibles (numéros de carte de crédits).

Procédure de recours

  • Définition de la procédure de réception et de prise en charge des plaintes en cas de détournement ;
  • Obligation pour l'opérateur SaaS de s'impliquer dans l'accompagnement de l'utilisateur vers l'entité Tiers, TRUSTe en l'occurrence ;
  • Obligation pour l'opérateur SaaS de s'impliquer dans la résolution des problèmes soulevés par les utilisateurs. A suivre, modification des procédures de gestion des PII.

Informations à déclarer

  • Indiquer le type de PII collecté (nom, prénom etc.) et l'usage qui en sera fait ;
  • Indiquer l'identité de l'entité habilitée à collecter ces PII ;
  • Indiquer si les PII seront partagées avec un Tiers ;
  • Déclarer l'usage de systèmes de tracking (suivi du comportement de l'internaute) ;
  • Indiquer si les PII sont complétées par d'autres sources ;
  • Indiquer à l'utilisateur ses droits quant à la gestion de ses PII ;
  • Indiquer de quelle manière les utilisateurs peuvent mettre à jour leurs PII ;
  • Préciser les mesures de sécurité ;
  • Indiquer la procédure de notification en cas de changement de politique de gestion des PII ;
  • Indiquer l'Email et l'adresse physique de l'entité Tiers (TRUSTe en l'occurrence) émettrice du certificat.

L'opérateur SaaS doit faciliter l'accès à l'information

  • Afficher un lien vers sa politique de gestion des PII sur toutes les pages de son site ;
  • Afficher les droits des utilisateurs dans les pages servant à collecter des PII ;
  • Poser un lien sur le certificat de TRUSTe permettant à l'utilisateur de vérifier la validité du certificat.

Se soumettre aux contrôles, collaborer et renouveler son certificat

  • Se soumettre aux contrôles de l'entité Tiers lui fournissant son certificat (TRUSTe en l'occurrence) ;
  • S'impliquer dans la résolution des éventuelles plaintes émises par les utilisateurs ;
  • Renouveller son certificat chaque année.

Mesures imposées par le certificat "Email Privacy"

Pouvoir de Contrôle des utilisateurs

  • Toutes les actions commerciales doivent être soumises au consentement de l'utilisateur ;
  • Le consentement de l'utilisateur doit être explicite. C'est à l'utilisateur de donner son accord en cliquant sur un bouton (bouton radio ou case à cocher); le bouton de consentement ne doit pas être prérempli.
  • L'utilisateur doit pouvoir modifier son adresse Email.

Informations à déclarer

  • Indiquer la nature des Emails qu'il envoie à l'utilisateur ;
  • Indiquer si l'envoi d'Emails commerciaux conditionne l'accès au sercice proposé ;
  • Indiquer si les adresses des utilisateurs sont partagées avec un Tiers.

D'autre part, les pages à partir desquelles les Emails sont collectées doivent mentionner le certificat TRUSTe "We Do Not Spam". Elles doivent aussi permettre l'utilisateur de se rediriger vers :

  • La page de vérification du certificat TRUSTe ;
  • La page d'accès au TRUSTe’s Watchdog en cas de détournement.

Fonction de désabonnement aux newsletters

La fonction de désabonnement doit être à la fois :

  • Clair et concise ;
  • Facile à activer (1 seul click) ;
  • Effective dans un délai de 10 jours maximum.

Elle doit aussi pouvoir être activée par téléphone.

Responsabilité de l'opérateur SaaS

  • Les Emails automatisés ne doivent pas exéder 10% de l'ensemble des emails envoyés ;
  • L'opérateur doit fournir le nom de la personne à contacter en cas d'abus ;
  • L'opérateur doit enregistrer dans la base de données abuse.net l'adresse de la personne à contacter en cas de non respect des règles imposées par le certificat ;
  • Si l'opérateur utilise des adresses procurées par un Tiers, il doit le déclarer explicitement et certifier le consentement de l'entité Tiers.

Ce qu'implique le certificat EU Safe Harbor

Le certificat EU Safe Harbor donne la possibilité à l'utilisateur de demander la correction voire la suppression des ses PII.

Dans les 30 jours suivant la demande de l'utilisateur TRUSTe s'engage à :

  • Confirmer la mise à jour ou la suppression des PII ;
  • Sinon, fixer une date limite à partir de laquelle la demande sera satisfaite ;
  • Sinon, donner une raison pour laquelle la demande ne peut pas être satisfaite.

Liens utiles :