Détails, offre, acceptation, confirmation de commande, accord d’utilisation, consentement au traitement des données personnelles, notification de la collecte de cookies, consentement à recevoir de la publicité.
Détails. Doit être affiché sur tous les sites Web. Sur n’importe quel site, y compris les pages de destination des sites de publicité et de cartes de visite. Les détails sont des informations sur le propriétaire du site et comment le contacter. Au minimum, vous devez indiquer le nom de l’entreprise, le nom complet de l’entrepreneur ou de l’indépendant et son email. Les organisations doivent ajouter une adresse légale, et les entrepreneurs individuels et les travailleurs indépendants doivent ajouter une adresse à laquelle ils peuvent recevoir de la correspondance. Sur un site Internet utilisé pour la publicité ou la vente de biens, de travaux ou de services, indiquez en outre l’OGRN de l’entreprise, l’OGRNIP d’un entrepreneur individuel ou le NIF d’un indépendant. Placez-les là où les visiteurs peuvent les trouver facilement. Une pratique courante consiste à publier les détails dans le «pied de page» du site, une section au bas de chaque page. Ou vous pouvez créer une page distincte appelée «Contacts», «À propos de nous» ou «Informations légales». Il n’y a pas d’amende pour les détails manquants, mais Roskomnadzor peut émettre une ordonnance pour se conformer à cette exigence. Si vous l’ignorez, les entreprises peuvent être condamnées à une amende: citoyens – 300 à 500 roubles, entrepreneurs individuels – 1 000 à 2 000 roubles, petites entreprises – 5 000 à 10 000 roubles, moyennes et grandes organisations – 10 000 à 20 000 roubles.
Offre. Placez-le dans les magasins en ligne et les services payants, c’est-à-dire là où le client conclut un accord avec l’entreprise. Une offre n’est pas nécessaire si le site est informatif et que vous ne pouvez pas y acheter quelque chose. Il s’agit d’une offre de conclure une transaction sous certaines conditions. Le propriétaire du site est tenu de respecter les termes de l’offre si le visiteur les accepte. Selon la loi, l’offre doit être placée sur les sites Internet des magasins en ligne axés sur le commerce de détail. Mais il est préférable de publier une offre partout où une entreprise conclut une transaction: sur les pages de services payants, sur les sites de vente en gros ou sur les endroits où vous pouvez commander des travaux ou des services. L’offre indique les termes de la transaction et remplace un accord écrit distinct avec chaque client, ce qui simplifie la conclusion des transactions. Le texte de l’offre dépend du produit, du travail ou du service vendu. L’offre est généralement publiée sur une page distincte dans le domaine public. La page est nommée de manière à ce que le visiteur du site comprenne son objectif, par exemple «Conditions de vente» ou «Offr ». Lors de la vente d’un produit, d’un travail ou d’un service à un acheteur au détail, il y a une amende: pour les entrepreneurs individuels – 3 000 à 4 000 roubles, pour les petites entreprises – 15 000 à 20 000 roubles, pour les moyennes et grandes organisations – 30 000 à 40 000 roubles. Il n’y a aucune pénalité en cas d’absence d’offre lors de la vente à un autre entrepreneur ou entreprise.
L’offre doit contenir au minimum:
– le nom de l’entreprise, le nom complet de l’entrepreneur ou de l’indépendant;
– une mention précisant que ce document et les informations présentes sur le site Internet concernant l’objet de la vente constituent une offre publique;
– une description de ce que l’entreprise vend dans son ensemble, sans qu’il soit nécessaire d’indiquer les paramètres spécifiques de chaque produit dans l’offre – vous pouvez écrire que la description du produit, de l’œuvre – ou du service est affichée dans le catalogue;
– comment passer une commande et comment l’annuler;
– comment payer;
– conditions de livraison, durée de conservation des marchandises au point de livraison, autres règles d’interaction entre le client et l’entreprise.
Placez l’acceptation partout où il y a une offre. Pour conclure un contrat en réponse à une offre, le client doit répondre par consentement – acceptation. Il s’agit généralement d’un bouton avec une explication: si le client clique dessus, il acceptera les termes de l’offre. Il arrive qu’un bouton d’acceptation séparé ne soit pas créé; à la place, un formulaire est créé avec une notification: si le client passe et paie la commande, alors il accepte les conditions de vente. Vous pouvez afficher un formulaire d’acceptation lors de la création d’une commande ou lors de l’enregistrement d’un compte. Si vous ne publiez pas, le client peut prétendre avoir accidentellement transféré l’argent et exiger son remboursement. Par exemple, à Saratov, une organisation a déposé une plainte devant le tribunal: de l’argent aurait été retiré par erreur de son compte en faveur d’un développeur de sites Web avec lequel l’entreprise n’avait conclu aucun accord. Le tribunal n’a pas donné raison au demandeur: les défendeurs ont publié sur leur site Internet une offre de prestation de services de développement. Le client s’est inscrit sur ce site, a «signé» le contrat en cliquant sur le bouton «J’accepte les conditions», puis a transféré l’argent. Selon le tribunal, il s’agit d’une offre et d’une acceptation légales, la demande a donc été rejetée.
Passez une confirmation de commande dans les magasins en ligne destinés aux acheteurs au détail. La boutique en ligne doit confirmer la conclusion du contrat sur les termes de l’offre après que l’acheteur a passé une commande. Vous pouvez envoyer un e-mail, une notification par SMS ou afficher une fenêtre contextuelle sur le site Web. Il est important que le client comprenne qu’il s’agit de son achat. Par conséquent, la notification doit inclure un numéro ou un autre moyen d’identifier la commande. Vous pouvez utiliser n’importe quel formulaire pour passer, l’essentiel est de confirmer la commande immédiatement après l’avoir passée ou payée. S’il n’est pas publié. L’amende pour les citoyens est de 1 500 à 2 000 roubles, pour les entrepreneurs individuels de 3 000 à 4 000 roubles, pour les petites entreprises de 15 000 à 20 000 roubles, pour les organisations de 30 000 à 40 000 roubles.
Les conditions d’utilisation doivent être affichées sur les sites dotés d’un compte personnel, les forums, les réseaux de neurones, les éditeurs graphiques et autres services utiles aux visiteurs. Le document décrit les règles d’utilisation du site. Le contrat d’utilisation permet d’indiquer clairement les responsabilités que l’entreprise est prête à assumer et celles qu’elle ne veut pas assumer. Par exemple, un entrepreneur dispose d’un site Internet avec un calculateur du coût approximatif des travaux de rénovation d’un appartement. Le contrat d’utilisation d’une telle ressource indique que le calcul final n’est pas définitif et que le consommateur ne peut exiger des réparations uniquement sur la base du prix proposé par le calculateur. Cela inclut également les règles d’utilisation du contenu – par exemple, dans les conditions d’utilisation, vous pouvez spécifier comment vous êtes autorisé à copier des articles et comment non. Peut être placé sur une page distincte du site dans le domaine public. Un lien vers celui-ci sera placé sous chaque service ressource important, sur la page de l’offre ou dans le pied de page. Il n’y a aucune pénalité en cas de non-existence d’un contrat d’utilisation, mais cela aidera à résoudre les litiges avec les clients. Par exemple, si un client demande quelque chose au tribunal, vous pouvez vous référer à l’accord : ce sont les règles, et lorsque le client a utilisé le service, il s’est engagé à les respecter.
Les règles d’utilisation du site comprennent:
– les droits et obligations des visiteurs;
– description des fonctions du service;
– les règles de publication ou de copie de contenu;
– les conditions d’utilisation du contenu;
– les règles d’inscription et d’utilisation de votre compte personnel;
– les conditions d’abonnement au contenu, le cas échéant.
La politique de traitement des données personnelles est affichée sur tous les sites où les utilisateurs déposent des données personnelles: nom, prénom, patronyme, date de naissance, adresse de livraison, lieu de travail. Généralement, ces données sont collectées par les boutiques en ligne et les forums. Si le site dispose d’un formulaire de commentaires, d’abonnement, d’autorisation ou d’inscription, il devrait également y avoir une politique de traitement des données personnelles. Dans ce document, le propriétaire du site informe les visiteurs de quelles manières, à quelles fins et dans quelle mesure leurs données personnelles seront traitées sur le site. Pour la politique de traitement, vous pouvez créer une page séparée avec le texte de la politique de traitement des données personnelles. Vous pouvez ajouter un lien vers le pied de page du site. Sous chaque formulaire collectant des données personnelles, vous devez placer le texte «En cliquant sur le bouton «Soumettre», vous acceptez la «Politique de traitement des données personnelles»» et laisser un lien vers le document. S’il n’est pas publié. L’amende pour les citoyens est de 1 500 à 3 000 roubles, pour les entrepreneurs individuels et les petites entreprises de 10 000 à 20 000 roubles, pour les organisations de 30 000 à 60 000 roubles. La politique doit indiquer:
– un lien vers le site auquel elle s’applique;
– Nom complet de l’entrepreneur ou nom de l’organisation qui reçoit le consentement du visiteur du site;
– les finalités du traitement des données personnelles, c’est-à-dire la raison pour laquelle les données sont collectées. Par exemple, pour vendre des biens, examiner les candidats à un emploi, donner accès au programme;
– une liste des données traitées, c’est-à-dire ce que collecte exactement le site;
– si les utilisateurs publient sur le site des données accessibles à tous les autres visiteurs, alors il doit être indiqué que «des données publiques à caractère personnel sont traitées»;
– si des informations sont collectées sur la race et la nationalité, les opinions politiques, religieuses et philosophiques, l’état de santé, les détails de la vie intime, – des informations sur le casier judiciaire, il faut alors indiquer que «des catégories particulières de données personnelles sont traitées»;
– délai de traitement des données – une période de temps ou un événement, par exemple avant l’expulsion d’une école en ligne;
– les modalités de traitement des données, par exemple: «collecte, enregistrement, systématisation, accumulation, stockage, clarification, extraction, utilisation, transfert, dépersonnalisation, blocage, suppression»;
– la procédure de destruction des données personnelles, par exemple «effacement d’un support de stockage sans possibilité de récupération».
Le consentement au traitement des données personnelles est affiché sur toutes les ressources sur lesquelles les utilisateurs laissent des données personnelles, telles que nom, prénom, patronyme, date de naissance, adresse de réception des marchandises, lieu de travail. Si un site collecte des données personnelles, le consentement doit être obtenu de l’utilisateur. Le consentement peut être donné sous n’importe quelle forme, l’essentiel est de confirmer le fait de sa réception. Par exemple, vous pouvez créer une page avec un texte de consentement et fournir un lien vers celui-ci dans chaque formulaire de collecte de données, ainsi qu’ajouter un bouton de confirmation – jusqu’à ce que l’utilisateur indique qu’il accepte la collecte et le traitement des données, il ne le fera pas. pouvoir utiliser le service. S’il n’est pas publié. L’amende pour les citoyens est de 10 000 à 15 000 roubles, pour les entrepreneurs individuels de 100 000 à 300 000 roubles, pour les petites entreprises de 150 000 à 350 000 roubles, pour les autres organisations de 300 000 à 700 000 roubles.
Le texte de consentement doit contenir:
– le nom de l’entreprise ou le nom complet du propriétaire du site;
– liste des données personnelles pour le traitement desquelles le consentement est donné;
– finalité du traitement;
– durée de validité du consentement;
– les moyens de refuser le consentement au traitement des données, par exemple en remplissant un formulaire de refus sur le site Internet ou en envoyant un avis de refus à l’adresse légale de l’entreprise.
Le consentement au traitement des données personnelles dont la diffusion est autorisée doit être donné sur les sites où les utilisateurs non seulement laissent des données, mais les publient également pour les consulter au public : il s’agit, par exemple, de forums, de réseaux sociaux, de portails d’entreprise et de magasins avec avis. Un consentement séparé doit être obtenu pour la distribution de données personnelles. La distribution est le moment où les données peuvent être vues par n’importe quel visiteur du site Web. Par exemple, publier sur le site Internet de l’entreprise le nom et le numéro de téléphone d’un responsable ou un avis client. Vous pouvez créer un tel consentement dans le service Roskomnadzor. Le concepteur propose de remplir les champs, après quoi le modèle est envoyé pour vérification par les spécialistes du département. Si nécessaire, l’opérateur reçoit des recommandations pour finaliser le document. Le résultat final est envoyé par email. Le consentement peut figurer sur une page distincte. À côté de chaque formulaire dans lequel le visiteur laisse ses données, il doit y avoir un lien vers le texte de consentement et un bouton confirmant que le visiteur a donné son autorisation. S’il n’est pas publié. L’amende pour les citoyens est de 10 000 à 15 000 roubles, pour les entrepreneurs individuels de 100 000 à 300 000 roubles, pour les petites entreprises de 150 000 à 350 000 roubles, pour les autres organisations de 300 000 à 700 000 roubles.
Parallèlement, dans le consentement, le visiteur du site doit avoir le choix des données qu’il:
– autorise la diffusion;
– interdit la publication en accès public – ces informations ne peuvent être traitées que par le propriétaire du site;
– définit les conditions de traitement, par exemple l’interdiction d’utiliser les informations à des fins de recherche statistique. Si le visiteur a indiqué les conditions de diffusion des données personnelles, le propriétaire du site est tenu de publier ces conditions dans un délai de trois jours ouvrables.
Idéalement, vous devez fournir au visiteur une liste des données personnelles qui seront traitées. Dans cette liste, le visiteur doit sélectionner les informations pouvant être diffusées.
Le propriétaire du site est tenu d’être un opérateur de données personnelles et de se conformer à la loi. Conformément à la loi, vous pouvez collecter des données personnelles et les transférer à quelqu’un d’autre pour traitement. Le propriétaire du site peut transférer les données client au webmaster et la boutique en ligne peut transférer les données client au service de messagerie. La personne à qui il transfère des données pour traitement n’a pas besoin d’obtenir une autorisation distincte, mais doit se conformer à la loi. Le propriétaire du site sera responsable du respect de la loi envers les visiteurs du site. Le propriétaire du site sera déterminé par Roskomnadzor et le tribunal sur la base de l’ensemble des données. Si le site Web contient des informations sur une personne morale ou un entrepreneur individuel spécifique, ils le lui demanderont. S’il n’y a pas de telles données, ils le demanderont à l’administrateur du domaine.
La loi oblige les opérateurs à stocker les données personnelles sur des serveurs russes. Il existe quelques exceptions, mais celles-ci sont spécifiques. Toute boutique en ligne ou service d’abonnement doit stocker une base de données contenant les données personnelles des citoyens russes. Vous pouvez ensuite transférer ces données à l’étranger. C’est légal, mais sous certaines conditions. Autrement, il serait impossible de réserver des hôtels et d’acheter des billets d’avion à l’étranger.
Roskomnadzor peut exiger la confirmation de l’emplacement de stockage des bases de données. Par exemple, un accord avec un centre de données, un hébergement ou des documents pour votre propre serveur. S’il s’avère que les données personnelles sont stockées en violation et non en Russie, des problèmes surviendront. Outre la loi sur les données personnelles, il existe des exigences du Service fédéral du contrôle technique et des exportations et du FSB. Le parquet peut également être impliqué dans l’enquête. Ils disposent de suffisamment de pouvoir pour découvrir où les données sont réellement stockées et traiter les violations.
La loi sur les données personnelles doit être respectée si le site est utilisé pour fonctionner dans la Fédération de Russie. Théoriquement, Roskomnadzor a le droit et peut le bloquer. Voici les signes utilisés pour comprendre cela:
– le nom de domaine est associé à la Fédération de Russie ou à un sujet;
– il existe une version du site en langue russe;
– le paiement des biens ou des services s’effectue en roubles, la livraison est possible sur le territoire de la Fédération de Russie;
– les consommateurs du contenu du site sont des Russes;
– il y a une publicité en russe qui mène à ce site.
En cas de combinaison de ces facteurs, le responsable du traitement doit se conformer à la loi, même s’il s’agit d’une société étrangère. Cela signifie que les documents doivent être accessibles et compréhensibles en Fédération de Russie. Il suffit de les avoir en russe pour que Roskomnadzor et les citoyens russes les comprennent. Nos lois sur la confidentialité ne s’appliquent pas aux non-résidents en dehors du pays.
La loi n’expliquait pas comment déterminer la citoyenneté d’un visiteur. Il a été demandé aux opérateurs de résoudre eux-mêmes ce problème. Et s’il n’y a pas de position et d’outils clairs, il vaut la peine de se conformer à la loi concernant toutes les données personnelles collectées sur le territoire de la Russie.
Cela n’a aucun sens pour les Russes de reproduire les mêmes documents dans des langues étrangères. Mais ces règles n’ont pas été inventées en Russie. Il existe une convention du Conseil de l’Europe sur la protection des personnes physiques à l’égard du traitement automatisé des données à caractère personnel. Ainsi, si vous collectez des données auprès d’étrangers, réfléchissez à la manière dont vous respectez la loi du pays dans lequel ils résident.
En Europe, des amendes de plusieurs centaines de milliers d’euros sont infligées pour une seule violation des règles de traitement des données personnelles. En Russie, l’amende maximale à compter du 1er juillet 2017 est de 75 000 roubles.
La loi sur les données personnelles protège uniquement les données des individus. Cela ne s’applique pas aux données de l’entreprise. Mais ce qui est indiqué dans le formulaire de feedback est une formalité. Il est important de savoir quelles données le propriétaire du site collecte et dans quel but.
S’il s’agit bien du nom de l’entreprise et du numéro de téléphone du bureau, ces informations ne sont pas soumises à la loi. Mais si un site collecte les adresses postales et les numéros de téléphone des employés de l’entreprise pour ensuite leur envoyer des mailings ou les transférer à des tiers, des problèmes peuvent survenir tant de la part de ces employés que de Roskomnadzor.
Tous les opérateurs de données personnelles doivent s’inscrire auprès de Roskomnadzor. Les exceptions concernent uniquement les cas énumérés au paragraphe 2 de l’art. 22 lois sur les données personnelles.
Presque n’importe quel site peut être reconnu comme organisateur de diffusion d’informations. Pour ce faire, il suffit de donner aux utilisateurs la possibilité de commenter, d’échanger des messages et de rédiger des avis sur les produits.
Tous les propriétaires de sites Web, de blogs et de forums doivent comprendre comment la loi fonctionne pour les organisateurs de diffusion d’informations. Il y a de fortes chances que vous ne pensez même pas que cela vous concerne et que vous ayez des responsabilités supplémentaires. Mais s’ils ne sont pas respectés, il existe un risque d’amende. Par exemple, 300 000 roubles pour ne pas avoir informé Roskomnadzor du début des travaux. Ou un million de roubles pour ne pas stocker de données sur les utilisateurs et leurs messages ou pour ne pas les stocker en Russie.
Placez un avis sur la collecte de cookies sur toutes les ressources où les cookies sont collectés, c’est-à-dire les informations sur le comportement des utilisateurs qui sont stockées dans les navigateurs. Cela est généralement effectué par des sites connectés à des services de statistiques et de CRM, des boutiques en ligne et des ressources disposant d’une autorisation d’utilisateur. Vous pouvez vérifier si votre site collecte des cookies en utilisant votre navigateur. Par exemple, sur un ordinateur avec Windows, accédez au site via Chrome, puis appuyez sur Ctrl+Shift+I, sélectionnez la section Application→Stockage→Cookies. Ou vérifiez auprès de l’administrateur du site. Et bien que la loi n’indique pas directement que les utilisateurs doivent en être informés, il existe une pratique judiciaire dans laquelle ces informations techniques sont assimilées à des données personnelles, ce qui signifie que leur collecte nécessite une notification. Par exemple, le service américain de mesure de la vitesse Internet Speedtest a été condamné à une amende d’un million de roubles pour avoir refusé de stocker les données personnelles de ses utilisateurs en Russie. Considérant l’affaire, le tribunal a reconnu que les cookies collectés par le service constituent également de telles données. Les services commencent à collecter des cookies immédiatement après que l’utilisateur entre sur le site, donc une notification standard concernant le traitement des données ne convient pas – sinon vous devrez d’abord obtenir le consentement et ensuite seulement autoriser la personne à accéder à la page principale du site. Pour les cookies, un formulaire distinct est créé, souvent avec un bouton qui apparaît immédiatement après le chargement de la page du site. Lorsque vous accédez au site, une fenêtre pop-up devrait immédiatement apparaître vous informant que le site collecte des cookies. Il existe un risque que le tribunal considère la collecte de cookies sans avertissement préalable comme un traitement de données personnelles sans consentement. Ensuite, le propriétaire du site sera condamné à une amende : citoyens – 10 000 à 15 000 roubles, entrepreneurs individuels – 100 000 à 300 000 roubles, petites entreprises – 150 000 à 350 000 roubles, moyennes et grandes organisations – 300 000 à 700 000 roubles.
Le consentement à recevoir de la publicité doit être placé là où l’entrepreneur ou l’entreprise collecte les contacts des utilisateurs pour les envois publicitaires. Sont considérés comme contenus publicitaires les SMS, les notifications push, les lettres qui attirent et vendent des biens, des travaux et des services. Par exemple, une lettre contenant une sélection de produits d’une boutique en ligne est considérée comme une publicité, mais pas une notification concernant la livraison de marchandises. Lors de la diffusion de publicité via les communications mobiles et Internet, vous devez obtenir l’autorisation de l’utilisateur. Pour ce faire, préparez un formulaire avec un texte indiquant:
– qui enverra l’annonce – le nom de l’entreprise ou le nom complet de l’entrepreneur;
– ce qui sera envoyé – informations sur les événements, sélections de produits, notifications sur les promotions;
– comment les informations seront envoyées – par exemple, par SMS ou par e-mail;
– les règles de refus du consentement – cela signifie généralement cliquer sur le lien «Se désabonner».
Le texte de consentement est placé sur une page séparée. Un lien vers celui-ci est laissé sous le formulaire de collecte de contacts utilisateur. L’entrepreneur doit s’assurer que les coordonnées ont été laissées par le propriétaire. Pour ce faire, par exemple, un SMS avec un code unique est envoyé à un numéro de mobile et l’utilisateur doit le saisir dans un formulaire séparé sur le site Internet. S’il n’est pas publié. Pour les citoyens, l’amende est de 2 000 à 2 500 ₽, pour les entrepreneurs individuels de 4 000 à 20 000 ₽, pour les petites entreprises de 50 000 à 250 000 ₽, pour les autres organisations de 100 000 à 500 000 ₽.
