L'utilisation des services numériques et des logiciels est inévitablement liée au traitement des données personnelles. Lorsqu'ils utilisent le logiciel FoodSoul, de nombreux clients et partenaires ne réalisent même pas qu'ils jouent déjà le rôle d'opérateur de données personnelles et ont certaines obligations légales.

Dans cet article, nous examinerons :

• qui est un opérateur de données personnelles ;

• quelles obligations incombent aux clients de FoodSoul ;

• quelles données sont traitées dans le cadre de l'utilisation du logiciel FoodSoul ;

• ce qu'est le Roskomnadzor et quelles fonctions il remplit ;

• faut-il notifier le Roskomnadzor et comment le faire ;

• comment obtenir correctement le consentement de l'utilisateur si vous utilisez un formulaire externe de collecte de données sur votre site ;

• comment gérer les cookies, l'analyse et les demandes des utilisateurs.

Qui est un opérateur de données personnelles

Un opérateur de données personnelles est toute personne physique ou morale qui :

• collecte des données personnelles ;
• stocke, utilise, transmet ou supprime ces données ;
• détermine de manière autonome les objectifs et les méthodes de traitement.

En d'autres termes, si vous décidez pourquoi et pour quoi vous avez besoin des données de l'utilisateur, vous êtes un opérateur.

Les clients de FoodSoul deviennent des opérateurs de données personnelles s'ils :

• enregistrent des utilisateurs ou des employés ;
• travaillent avec des bases de données clients ;
• acceptent des commandes, des demandes, des réclamations ;
• utilisent des comptes personnels et d'autres fonctionnalités du logiciel FoodSoul.

Peu importe où les données sont techniquement stockées : la responsabilité de l'opérateur demeure.

Quelles obligations incombent aux clients de FoodSoul

En tant qu'opérateur de données personnelles, le client de FoodSoul a les obligations clés suivantes :

• traiter les données personnelles légalement et à des fins spécifiques ;
• obtenir le consentement de l'utilisateur pour le traitement des données (si nécessaire) ;
• informer l'utilisateur des données traitées et de leur finalité ;
• assurer la confidentialité et la sécurité des données ;
• répondre aux demandes des utilisateurs (modification, suppression des données) ;
• respecter les exigences de la législation de la Fédération de Russie sur les données personnelles.

La présence d'une plateforme informatique ne libère pas l'entreprise de ces obligations. FoodSoul assure la partie technique, mais la responsabilité légale de la légalité du traitement reste à la charge du partenaire FoodSoul.

Quelles données sont traitées dans le cadre du logiciel FoodSoul

1. Données fournies par l'utilisateur

Ce sont les informations que l'utilisateur fournit lui-même. Elles incluent :

• Lors de l'enregistrement ou de la création d'un compte : nom, sexe, date de naissance, numéro de téléphone, adresse e-mail, photo ;
• Lors de la commande et de l'exécution d'une commande : nom, e-mail, données de carte de paiement, autres informations de paiement, adresse de livraison, numéro de téléphone ;
• Lors de la rétroaction, des réclamations, de la participation à des promotions et programmes de fidélité : nom, prénom, patronyme, coordonnées, informations textuelles et contenu multimédia ;
• Lors de la prise de contact avec le support : données de compte, paramètres techniques de l'appareil et du logiciel.

2. Données transmises automatiquement

Lors de l'utilisation du logiciel FoodSoul, les données suivantes peuvent être traitées automatiquement :

• Données techniques : adresse IP, en-têtes HTTP, données des cookies, balises web/pixels, informations sur le navigateur et le système d'exploitation, identifiant de l'appareil mobile, informations sur le matériel et le logiciel ;
• Données d'utilisation : date et heure d'accès aux sites et/ou services, historique des commandes et des actions ;
• Données de géolocalisation (si applicable et avec le consentement de l'utilisateur).

FoodSoul ne traite que les informations nécessaires au fonctionnement du logiciel et à l'amélioration des services.

Qu'est-ce que le Roskomnadzor et quelles fonctions remplit-il

Le Roskomnadzor est un organisme d'État chargé de contrôler le respect de la législation sur les données personnelles.

Il :

• tient un registre des opérateurs de données personnelles ;
• contrôle le respect des exigences légales ;
• examine les plaintes des utilisateurs ;
• effectue des inspections planifiées et non planifiées ;
• émet des injonctions pour corriger les violations ;
• engage la responsabilité administrative des opérateurs.

En d'autres termes, le Roskomnadzor veille à ce que les entreprises travaillent correctement et légalement avec les données personnelles.

Faut-il notifier le Roskomnadzor

Dans la plupart des cas, les clients de FoodSoul doivent notifier le Roskomnadzor du début du traitement des données personnelles. La notification doit être soumise avant le début du traitement ou, si le traitement est déjà en cours, dès que possible.

Ci-dessous, un guide pratique étape par étape pour remplir le formulaire électronique sur le site pd.rkn.gov.ru, avec des exemples basés sur votre Politique de confidentialité.

Guide “Comment remplir la notification de début de traitement des données personnelles”

Étape 1 : Informations générales sur l'opérateur

• Région d'enregistrement / Type d'opérateur / Nom / Adresse / INN, OGRN : Les données doivent être indiquées strictement conformément à l'EGRUL/EGRIP. Vérifiez l'actualité des informations sur le site de la FNS.
• Téléphone / Adresse e-mail : Indiquez les coordonnées par lesquelles le Roskomnadzor pourra vous contacter.
• Région de traitement : Indiquez les régions où votre entreprise opère effectivement et où les données sont traitées (par exemple, siège social, succursales). Si l'activité est menée dans toute la Russie, vous pouvez indiquer “Fédération de Russie”.

Étape 2 : Objectifs du traitement des données personnelles

C'est le bloc le plus important. Il faut décrire en détail chaque objectif. Utilisez la section 5 de votre Politique de confidentialité.

Exemple de remplissage pour l'objectif “Traitement et exécution des commandes, contrôle du statut, livraison” (basé sur les points 5.2 et 5.3 de la Politique) :

• Objectif du traitement : Traitement, exécution, contrôle du statut et livraison des commandes de biens/services de l'utilisateur, interaction avec l'utilisateur sur les questions de commande.
• Catégories de données personnelles : nom, prénom, patronyme ; numéro de téléphone ; adresse e-mail ; adresse de livraison ; données de carte de paiement/autres informations de paiement ; détails de la commande.
• Catégories de sujets : Utilisateurs passant des commandes et demandant une livraison.
• Base légale du traitement : Consentement du sujet des données personnelles (art. 6 de la loi “Sur les données personnelles”) ; contrat (Accord utilisateur).
• Liste des actions : Collecte, enregistrement, systématisation, accumulation, stockage, mise à jour (modification), extraction, utilisation, transmission (y compris délégation de traitement), anonymisation, blocage, suppression, destruction.
• Méthodes de traitement : Traitement automatisé.

Remplissez de la même manière les autres objectifs de la Politique, par exemple :

• Enregistrement de compte (point 5.1).
• Communications marketing (point 5.4).
• Rétroaction et support (points 5.5, 5.7).
• Organisation de promotions et de programmes de fidélité (point 5.6).
• Amélioration des services, analyse, sécurité (points 5.9, 5.10, 5.11).

Étape 3 : Méthodes de traitement

Choisissez dans les onglets : “Automatisé”, “Avec transmission par le réseau interne de la personne morale”, “Avec transmission par Internet”.

Étape 4 : Mesures de protection des données personnelles (art. 18.1 et 19 de la loi 152-FZ)

Décrivez les mesures organisationnelles et techniques spécifiques. Vous pouvez vous baser sur la section 7 de votre Politique.

Exemple de remplissage :

1. Des responsables de l'organisation du traitement et de la sécurité des données personnelles ont été désignés.

2. Une Politique de traitement des données personnelles a été élaborée et approuvée.

3. Les employés effectuant le traitement sont informés des dispositions de la législation de la Fédération de Russie sur les données personnelles et des actes locaux.

4. La gestion de l'accès aux systèmes d'information est assurée (comptes, mots de passe).

5. Des moyens techniques de protection sont appliqués : pare-feu, logiciels antivirus, systèmes de détection d'intrusion.

6. La sauvegarde des informations est assurée.

7. La journalisation et le suivi des actions des utilisateurs dans les systèmes d'information sont effectués.

8. Lors de la transmission de données par Internet, une connexion sécurisée est utilisée (protocole HTTPS/TLS).

Étape 5 : Utilisation de moyens de cryptage (cryptographiques)

Indiquer s'ils sont utilisés / non utilisés.

Si utilisés, indiquer la classe de SZI et le nom, les fabricants, les numéros de série des moyens de cryptage.

Par exemple :

• Classe de SZI : KS2 ; KS3.
• Nom, fabricants, numéros de série des moyens de cryptage : SZI CryptoPro CSP, PAK “AK-server”, VipNet CSP.

Étape 6 : Dates et conditions

• Date de début du traitement : Indiquez la date à laquelle vous avez effectivement commencé à travailler avec les données personnelles des clients (peut coïncider avec la date d'enregistrement de l'entreprise).
• Durée ou condition de cessation du traitement : Choisissez dans l'onglet : “Condition de fin”. Ensuite, indiquez : “Liquidation ou réorganisation de la personne morale”.

Étape 7 : Transfert transfrontalier

Si vous ne transférez pas de données en dehors de la Russie, indiquez “Non effectué”.

Étape 8 : Informations sur l'emplacement de la base de données

C'est un point crucial pour les clients de FoodSoul. LLC “FoodSoul” héberge l'infrastructure technologique de la plateforme (équipement serveur) sur le territoire de la Fédération de Russie dans un centre de traitement de données (CTD) externalisé. De plus, si vous utilisez également votre propre CTD, ajoutez les informations et remplissez la Base de données n°2 avec les informations sur votre propre CTD.

Exemple de remplissage des informations sur le lieu de stockage des données :

• Pays : Russie
• Adresse du CTD : 123060, Moscou, rue Berzarina, bâtiment 36, bâtiment 3
• CTD propre : non

Informations sur l'organisation responsable du stockage des données :

• Type d'organisation : personne morale

• Forme juridique : SA

• Nom de l'organisation : Société par actions "Selectel"

• OGRN : 1247800067790

• INN : 7810962785

• Pays de localisation : Russie

• Adresse de localisation : 196006, Saint-Pétersbourg, rue Tsvetochnaya, bâtiment 21, lit. A (conformément à l'EGRUL)

* Si vous utilisez également votre propre CTD, ajoutez la Base n°2 et entrez les informations de votre organisation conformément à l'EGRUL.

Étape 9 : Informations sur les personnes ayant accès et/ou effectuant le traitement des données personnelles contenues dans les systèmes d'information étatiques et municipaux sur la base d'un contrat.

Indiquez ici les tiers auxquels l'opérateur transmet des données, ayant accès aux systèmes d'information, ou qui traitent des données sur la base d'un contrat (art. 6 de la loi 152-FZ). Il est nécessaire de lister les noms/nom, INN, adresse et objectif du traitement. Cela inclut les entreprises informatiques, les opérateurs de télécommunications, les contractants engagés, les fournisseurs de cloud auxquels les données personnelles sont transmises.

Si vous n'avez pas de tels systèmes, vous devez supprimer l'ensemble des champs à l'aide du bouton “Supprimer” sous la liste des champs avec les coordonnées de contact.

Étape 10 : Informations sur la sécurité des données personnelles

Indiquez ici la liste des mesures mises en œuvre par vous pour respecter les exigences établies par le décret du gouvernement de la Fédération de Russie du 01.11.2012 n° 1119 “Sur l'approbation des exigences de protection des données personnelles lors de leur traitement dans les systèmes d'information des données personnelles”. Dans cette section, vous pouvez indiquer :

L'opérateur assure le respect des exigences de protection des données en utilisant la plateforme cloud fournie par LLC “FoodSoul” (INN 4345369685), qui répond aux exigences suivantes :

1. Mesures organisationnelles :

• Un contrat a été conclu avec le propriétaire de la plateforme (LLC “FoodSoul”), définissant ses obligations en tant qu'opérateur effectuant le traitement sur mandat.
• La séparation des droits d'accès des employés de l'opérateur aux fonctionnalités de la plateforme est assurée sur la base du principe des privilèges minimaux (modèle d'accès basé sur les rôles).
• Les comptes des employés sont protégés par des mots de passe uniques.

2. Mesures techniques :

• L'accès à la plateforme et la transmission de données entre l'utilisateur et le système se font exclusivement par des canaux de communication sécurisés utilisant les protocoles HTTPS/TLS (cryptage).
• L'authentification et l'autorisation des utilisateurs sont assurées par les moyens de la plateforme elle-même.
• La protection contre le code malveillant (protection antivirus) et les pare-feu (Firewall) sont mis en œuvre du côté de l'infrastructure du propriétaire de la plateforme.
• Le propriétaire de la plateforme assure la sauvegarde régulière des données et la protection physique de l'équipement serveur dans les centres de données sur le territoire de la Russie.
• La journalisation des événements de sécurité est assurée dans le cadre des fonctionnalités fournies par la plateforme (journaux d'actions).

3. Contrôle de l'exécution des mesures :

• L'opérateur contrôle le respect par le propriétaire de la plateforme des conditions du contrat en matière de sécurité des données personnelles.

Étape 11 : Informations sur la personne ayant formé la notification

Indiquez le nom, le poste et les coordonnées de la personne qui envoie cette notification au Roskomnadzor.

Étape 12 : Signature et envoi de la notification

Option 1. En version papier

Le formulaire imprimé de la notification doit être signé par le responsable de l'organisation ou la personne ayant le droit de signer des documents, la date et le cachet (si disponible) doivent être apposés, et il doit être envoyé à la Direction territoriale du Roskomnadzor par courrier ou livré en personne.

Option 2. En version électronique avec signature électronique qualifiée renforcée

Vous pouvez remplir le formulaire et le signer électroniquement. Dans ce cas, l'envoi en version papier ne sera pas nécessaire. Vous devez avoir installé le plugin CryptoPro EDS Browser plug-in et configuré son fonctionnement.

Option 3. En version électronique avec authentification ESIA

Authentifiez-vous sur le portail des services publics, remplissez le formulaire et envoyez-le électroniquement. Vous devez avoir un compte confirmé. L'envoi d'une copie papier ne sera pas nécessaire dans ce cas. Si vous soumettez la notification pour une organisation, votre compte doit être lié à cette organisation sur le portail des services publics.

PRÊT ! Après un envoi réussi, vous serez inscrit au registre des opérateurs. Conservez le numéro et la clé de notification.

Après l'envoi réussi de la notification au Roskomnadzor et l'inscription au registre des opérateurs, il est nécessaire d'assurer un travail quotidien correct avec les données personnelles. Les aspects pratiques clés de ce travail incluent l'utilisation de cookies et d'analyses, ainsi que le traitement des demandes des utilisateurs eux-mêmes.

Mécanisme d'obtention du consentement lors de l'utilisation de formulaires externes de collecte de données

De nombreux clients de FoodSoul utilisent des formulaires externes de collecte de données (widgets) sur leurs sites pour attirer des clients, par exemple, des formulaires de demande de rappel ou de contact avec le support technique. Il est important de comprendre que ces intégrations sur le site sont installées par les clients eux-mêmes.

Pour que la collecte de données via ces formulaires soit légale, deux conditions doivent être remplies :

1. Consentement textuel. Directement sous le formulaire (widget) de collecte de données, il est nécessaire d'afficher une formulation compréhensible pour l'utilisateur indiquant qu'en appuyant sur le bouton d'envoi, il donne son consentement au traitement de ses données personnelles.

2. Liens hypertextes vers les documents. Cette formulation doit contenir des liens actifs (cliquables) vers deux documents :

   • Les conditions d'utilisation (ou le contrat d'offre), où les conditions de prestation de services sont décrites.

   • La politique de confidentialité, où il est détaillé quelles données sont collectées, pourquoi et comment elles sont traitées.

Formulation recommandée à placer sous le formulaire :

“En appuyant sur “Envoyer”, vous acceptez les conditions d'utilisation et donnez votre consentement au traitement des données personnelles conformément à la Politique de confidentialité”.

Cette simple mesure vous protégera des réclamations des autorités de contrôle et prouvera que l'utilisateur a agi de manière consciente et volontaire.

Comment travailler avec les cookies, l'analyse et les demandes des utilisateurs

Cookies et analyse

Le logiciel FoodSoul utilise des cookies et des compteurs (le cas échéant) pour :

• assurer le bon fonctionnement des services ;
• personnaliser les fonctionnalités ;
• analyser et établir des statistiques ;
• améliorer la qualité du logiciel ;
• personnaliser la publicité.

Ces données sont également personnelles, et leur traitement doit être reflété dans la notification, comme décrit ci-dessus. Il est important de se rappeler que l'utilisateur peut interdire l'utilisation des cookies dans les paramètres du navigateur, mais certaines fonctionnalités du service peuvent ne pas être disponibles.

Demandes des utilisateurs

Une des obligations directes de l'opérateur est de répondre en temps opportun aux demandes des sujets des données personnelles. L'utilisateur a le droit de :

• demander des informations sur le traitement de ses données ;
• modifier ses données personnelles ;
• supprimer ses données en envoyant une demande à info@fs.me.

Pour exercer ses droits, l'utilisateur peut contacter l'opérateur (client de FoodSoul) ou utiliser les fonctionnalités du compte personnel (le cas échéant). La suppression du compte ou le retrait du consentement peut entraîner l'impossibilité d'utiliser les services correspondants.

Cependant, la législation peut obliger l'opérateur à conserver certaines données pendant une période déterminée ou à les transmettre aux autorités publiques.

Conclusion

En utilisant le logiciel FoodSoul, une entreprise obtient un outil pratique et sécurisé, mais elle assume également le statut d'opérateur de données personnelles. Comprendre ses obligations, travailler correctement avec les données et établir des règles claires d'interaction avec les utilisateurs ne sont pas une formalité, mais un moyen réel de réduire les risques juridiques et d'accroître la confiance des clients.

Vous n'êtes toujours pas inscrit au registre ? Soumettez une notification avec notre guide — c'est plus simple qu'il n'y paraît !
FoodSoul est avec vous à chaque étape.

Cordialement,

L'équipe FoodSoul