RGPD

Dans cette FAQ nous allons essayer de vous expliquer pourquoi WMaker est conforme à la Réglementation général de l'Union européenne sur la protection des données (RGPD)

Notez également que les fournisseurs externes de WMaker sont les sociétés Paybox et Gandi se déclarent compatibles avec la RGPD.

Toutes les données de WMaker sont conservées sur des serveurs hébergés en France.
L’architecture serveurs est hébergées chez OVH en France.
1. Intérêt porté à la RGPD
Tous les employés responsables du développement logiciel et de la maintenance de l'infrastructure de WMaker (SARL Webzine), société à responsabilité limitée française (la société propriétaire de WMaker) sont pleinement conscients des exigences de la RGPD.
2. Les données que nous hébergeons
WMaker stocke 2 types de données différentes :

- Les données sur nos clients (c'est-à-dire c’est à dire les éditeurs de sites des plateformes WMaker.net et WMaker.tv)
- Les données sur les utilisateurs finaux de nos clients (c'est-à-dire les visiteurs de leurs sites web).

WMaker ne partage et ne revend aucune donnée telle que décrites ci-dessus. Nous n’utilisons pas ces données à des fin de publicité ni de statistiques.

2.1. Informations détenues sur nos utilisateurs

WMaker collecte des informations sur le compte de chaque utilisateur (que nous appelons clients), notamment :

- Nom et prénom de l'utilisateur ainsi que son email et son adresse IP

- Le détail des informations de paiement de l'utilisateur lorsqu'il s'abonne (y compris les informations de facturation, par exemple l'adresse de l'entreprise le numéro de TVA Intracommunautaire, le pays ainsi que les 10 derniers chiffres du numéro de carte de crédit et sa date d’expiration)

- Les adresses IP dates et heures des connexions au backoffice sont conservés en base de données et disponibles en visualisation dans les backoffices, ces informations sont nécessaires aux administrateurs du site pour suivre les interactions avec les équipes de rédactions.

- WMaker peut gérer les emails de ses clients, dans ce cas là nous conservons les logs détaillés de connexion pendant 30 jours, et les logs d’échanges de mails (date/expéditeur/destinataire/identifiant message) pendant 1 an par obligation de la loi française.

- WMaker n’utilise pas d’outils d'analyse externes tels que Google Analytics pour analyser le comportement de ses clients dans les backoffices.

Les outils de support et de superadmistration utilisés par WMaker permettent d’accéder aux backoffice des sites pour aider les clients à gérer leur site et les dépanner, les connexions des équipes de support sont loguées dans les backoffices et clairement identifiables. La superadmistration permet de gérer les options des sites.

2.2. Informations détenues sur les utilisateurs finaux de nos utilisateurs

Les informations détenues sur les utilisateurs finaux de nos clients comprennent :

- Adresse e-mail de l'utilisateur final (si elle est fournie par l'utilisateur final)
- Adresse Pays Numéro de téléphone de l'utilisateur final (si fourni par l'utilisateur final et demandé par le client)
- Échanges de messages entre utilisateurs finaux dans le cadres des forums
- Date et heure de la dernière connexion de l'utilisateur final
- Panier et commandes dans le cadre de ses boutiques

WMaker résout les informations d'identité de l'utilisateur final (nom et prénom, avatar) provenant d'API externes.
Ces API externes génèrent ces données à partir d'informations publiques que l'utilisateur final a consenti à partager sur un service tiers (par exemple sur des réseaux sociaux tels que Facebook ou Twitter dans les commentaires).
Ces informations d'identité d'utilisateurs finaux ne sont pas stockées par WMaker qui interroge directement les API des services tiers.

Les informations sur les utilisateurs finaux est uniquement la responsabilité de nos utilisateurs (c'est-à-dire les sites web individuels utilisant les solutions WMaker).
Il est de la responsabilité de nos clients de gérer les données qu'ils détiennent dans leur backoffice, c’est à dire de supprimer des données sensibles publiées sur leur site (par exemple, les numéros de téléphones, etc.).
3. Communication des informations de confidentialité
Les informations de confidentialité des clients sont clairement annoncées dans nos conditions générales de services. Les termes de confidentialité pour les utilisateurs finaux de nos clients sont de leur seule responsabilité. Ils doivent être annoncés sur leur site Web.
4. Droits des individus
Les droits des clients sur le RGPD sont considérés et appliqués, y compris :

- Droit d'être informé : nous informons clairement nos utilisateurs de l'utilisation qui sera faite de leurs données
- Droit d'accès : nos utilisateurs peuvent accéder à toutes leurs données, sans restriction, à partir des backoffices de WMaker
- Droit de rectification : vous pouvez nous contacter, nous traiterons toutes vos requêtes de rectification
- Droit d'effacement : vous pouvez nous contacter, nous traiterons toutes vos requêtes d'effacement
- Droit de restreindre le traitement : nous ne traitons pas les données sur nos clients (ni des utilisateurs finaux de nos clients)
- Droit à la portabilité des données : nous fournissons des scripts de portabilité depuis les backoffices (Backup au format XML, Exports au format CSV, toutefois nos utilisateurs peuvent nous contacter s'ils souhaitent obtenir un export de leurs données non fourni par ses scripts (cela peut prendre un certain temps car certaines données sont compliquées à exporter, exemple gros volumes de données comme les vidéos)
- Droit d'opposition : nous traiterons toutes les demandes à ce sujet, de nos clients et des utilisateurs finaux de nos clients (nous contacter)
- Droit de ne pas faire l'objet d'une prise de décision automatisée, y compris le profilage : nous ne faisons pas ce genre de traitement automatique
5. Demandes d'accès à vos données
Nous nous engageons à répondre clairement à toutes demandes d'accès (positive ou négative) dans un délai d’un mois maximum, ce service est gratuit.
6. Consentement
WMaker stocke les données des utilisateurs impliquant un consentement (par exemple une conversation entre deux parties échangée par mails).

Il est de la responsabilité du client de WMaker de s'assurer que les données de l'utilisateur soient légalement collectées. Par exemple, si les mails collectés sont réutilisés à des fins de campagne marketing sur WMaker (Newsletter) ou d'un autre système, le client WMaker doit demander le consentement de l'utilisateur.
7. Enfants
WMaker interdit dans ses CGS les contenus ou les sites réservés aux adultes. Du coup nous n’avons pas trouvé pertinent de contrôler l'âge des utilisateurs s'inscrivant aux sites de nos clients.

Les enfants peuvent toujours être en mesure de consulter un site utilisant WMaker. Dans cette mesure, le client WMaker est responsable de vérifier son activité et ses publications concernant la réglementation sur les enfants.
8. Violation de données
Notre équipe surveille de près tout trafic sur son architecture et traque les comportements anormaux pour réduire la surface d'attaque de nos services. WMaker commande régulièrement des audits externes de sécurité et en subies également à la demande de certains de ses clients. Nous n’avons jamais eu de retours critiques et avons toujours mis en place les recommandations de ces services. Les audits sont réalisés environ tous les 2 ans.

Les sociétés réalisant ou souhaitant réaliser des audits sécurité sur notre architecture peuvent demander préalablement leur mise en whitelist en précisant les dates de l’attaque. Les demandes de whitelist et le rapport de sécurité sont à adresser par email à audit@wmaker.net

Il nous est déjà arrivé arrivé de récompenser la découverte de failles de sécurité qui nous été signalées et corrigées immédiatement. Nous ne communiquons pas publiquement ni sur les audits ni les correctifs apportées. .

Voici quelques mesures en place pour réduire toute surface d'attaque :

Les pare-feux réalisent un filtrage des connexions entrantes et sortantes. Ils sont connectés à une base de donnée comportant une liste noire d’adresses IP pour lesquelles l’accès à notre plateforme est interdit (blacklist) ou restreint (greylist).
L’inscription à ces listes peut être manuelle ou automatique et comporte :
- L’adresse IP
- La date de l’ajout dans la liste grise ou noire
- La date sortie programmée de la liste
- La raison de la mise en liste grise ou noire

Dans le cas de comportement anormaux ou d’attaques délibérées sur l’architecture, les différents serveurs peuvent envoyer aux administrateurs système un mail comportant :
- L’adresse IP publique
- Si disponible, l’adresse IP privée (entête X-Forwared-For)
- La date
- L’URL demandée, ainsi que tous ses paramètres POST et GET
- La durée de conservation du mail est à la discrétion des administrateurs.

Aucun accès à nos systèmes de serveurs n'est autorisé depuis Internet exceptés de nos locaux en GoodIP, Toutes connexions hors de nos murs ne peuvent être réalisées qu’avec un VPN.

Nous mettons à jour toute faille de sécurité recensées des bibliothèques que nous utilisons, et appliquons les correctifs dès qu'ils sont publiés.

Les développeurs de WMaker sont sensibilisés à la sécurité de ses services et des réseaux.
9. Responsables des données au sein de WMaker
WMaker désigne un délégué à la protection des données, comme cela est requis par la RGPD :

Jérôme PIETRI
Rôle : COO
Email : privacy@wmaker.net
Adresse : 12 rue Général Fiorella, 20 000 AJACCIO, FR
10. International
WMaker peut, via ses utilisateurs, traiter des données provenant de tous les États membres de l'UE.
L'établissement principal est en France, son autorité de surveillance également.

WMaker est exploité par la SARL Webzine, identifiée comme:

SIRET : 438 864 894 00029 (APE: 722C)
Adresse: 12 rue Général Fiorella, 20 000 AJACCIO, FR
Email: info@wmaker.net
Téléphone: +33 (0)9 72 12 82 06

Mention légales
https://www.wmaker.net/mentions-legales/