Mise à jour des mentions légales, privacy, cgu

[Florto]

Je dépose les .md dans slack. Il reste quelques éléments (des liens) à mettre à jour. Je récupérerai les versions à jour avec les liens pour les archiver.

Pré-requis

• [x] #434 Mise à jour de la politique de mots de passes
• [x] Correction des liens des documents .md
• [x] #482 Mise en place du bandeau de bas de pages sur toutes les pages

Actions

• [x] Modification de la page Mentions légales -> @rchampourlier https://github.com/hostolab/covidliste/pull/501
• [x] Ajout de la page CGU Volontaires -> @rchampourlier https://github.com/hostolab/covidliste/pull/501
• [x] Ajout de la page CGU Professionnels de santé -> @rchampourlier https://github.com/hostolab/covidliste/pull/501
• [x] Suppression de la page privacy actuelle -> @rchampourlier https://github.com/hostolab/covidliste/pull/501
• [x] Ajout de la page Privacy Volontaires -> @rchampourlier https://github.com/hostolab/covidliste/pull/501
• [x] Ajout de la page Privacy Professionnels de santé -> @rchampourlier https://github.com/hostolab/covidliste/pull/501
• [x] Ajout de la page Cookies -> @rchampourlier https://github.com/hostolab/covidliste/pull/501
• [x] Modification du formulaire d’inscription volontaires -> #505
• [x] Modification du formulaire d’inscription des pro -> #505
• [x] Modification de la page bénévoles -> #505

Modification de la page Mentions légales

• url :  https://www.covidliste.com/mentions_legales
• Mise à disposition dans le bandeau de bas de page nommée « Mentions légales »

Ajout de la page CGU Volontaires

• url : https://www.covidliste.com/cgu_volontaires
• Mise à disposition dans le bandeau de bas de page nommée « CGU - Volontaires non vaccinés »

Ajout de la page CGU Professionnels de santé

• url : https://www.covidliste.com/cgu_pro
• Mise à disposition dans le bandeau de bas de page nommée « CGU - Professionnels de santé »

Suppression de la page privacy actuelle

Ajout de la page Privacy Volontaires

• url : https://www.covidliste.com/privacy_volontaires
• Mise à disposition dans le bandeau de bas de page nommée « Politique de protection des données personnelles - Volontaires non vaccinés »

Ajout de la page Privacy Professionnels de santé

• url :  https://www.covidliste.com/privacy_pro
• Mise à disposition dans le bandeau de bas de page nommée « Politique de protection des données personnelles - Professionnels de santé »

Ajout de la page Cookies

• url : https://www.covidliste.com/cookies
• Mise à disposition dans le bandeau de bas de page nommé « Politique cookies »

Modification du formulaire d’inscription volontaires

La mention suivante est à ajouter avant les cases à cocher (attention au lien) :

Toutes les informations demandées sont nécessaires à Hostolab, en tant que responsable de traitement, pour que vous puissiez bénéficier du service proposé. A défaut de les fournir, vous ne pourrez pas en bénéficier. 

Conformément à la réglementation applicable, vous disposez d’un droit d’accès, de rectification, de suppression et, le cas échéant, de portabilité de vos données personnelles. Vous pouvez également vous opposer au traitement de vos données et, le cas échéant, en demander la limitation. Vous pouvez, à tout moment, retirer votre consentement lorsque celui-ci vous a été demandé. Vous pouvez enfin définir des directives relatives au sort de vos données en cas de décès. Ces droits peuvent être exercés directement auprès de Hostolab par email à l’adresse suivante : [privacy@covidliste.com](mailto:privacy@covidliste.com). Au besoin, vous bénéficiez du droit d’introduire une réclamation auprès de la CNIL.

Pour en savoir plus sur l’utilisation de vos données personnelles, veuillez consulter la [politique de protection des données personnelles](https://www.covidliste.com/privacy_volontaires)

La première coche, le texte doit devenir (attention au lien) : 

J’accepte sans réserve les CGU [insérer un lien hypertexte vers les [CGU](https://www.covidliste.com/cgu_volontaires) – Volontaires non sélectionnés »]  et, notamment, certifie sur l’honneur que les informations communiquées ci-dessus sont exactes. 

La seconde coche, le texte doit devenir :

J’accepte que mes données soient traitées aux fins de la mise en relation avec les établissements de vaccination Covid-19 participant à l’initiative Covidliste.

Le modèle de données des utilisateurs doit ajouter un champ pour stocker la date de signature des cgu, qui sera à remplir au moment du traitement du formulaire

Modification du formulaire d’inscription des pro

La mention suivante est à ajouter avant les cases à cocher (attention au lien) :

Toutes les informations demandées sont nécessaires à Hostolab, en tant que responsable de traitement, pour que vous puissiez bénéficier du service proposé. A défaut de les fournir, vous ne pourrez pas en bénéficier. 

Conformément à la réglementation applicable, vous disposez d’un droit d’accès, de rectification, de suppression et, le cas échéant, de portabilité de vos données personnelles. Vous pouvez également vous opposer au traitement de vos données et, le cas échéant, en demander la limitation. Vous pouvez, à tout moment, retirer votre consentement lorsque celui-ci vous a été demandé. Vous pouvez enfin définir des directives relatives au sort de vos données en cas de décès. Ces droits peuvent être exercés directement auprès de Hostolab par email à l’adresse suivante : [privacy@covidliste.com](mailto:privacy@covidliste.com). Au besoin, vous bénéficiez du droit d’introduire une réclamation auprès de la CNIL.

Pour en savoir plus sur l’utilisation de vos données personnelles, veuillez consulter la [politique de protection des données personnelles](https://www.covidliste.com/privacy_pro)

Ajout d’une case à cocher avec pour texte (attention au lien) :

J’accepte sans réserve les [CGU](https://www.covidliste.com/cgu_pro) et, notamment, certifie sur l’honneur que les informations communiquées ci-dessus sont exactes 

Le modèle de données des pro doit ajouter un champ pour stocker la date de signature des cgu, qui sera à remplir au moment du traitement du formulaire

Modification de la page bénévoles

Ajout avant le bouton de la mention (attention au lien) :  

Tous les champs du formulaire comportant un astérisque (*) sont obligatoires car nécessaires à Hostolab, en tant que responsable de traitement, pour l’examen de votre candidature. A défaut de les remplir, nous ne pourrons pas traiter votre candidature. 

Conformément à la réglementation applicable, vous disposez d’un droit d’accès, de rectification, de suppression et, le cas échéant, de portabilité de vos données personnelles. Vous pouvez également vous opposer au traitement de vos données et, le cas échéant, en demander la limitation. Vous pouvez, à tout moment, retirer votre consentement lorsque celui-ci vous a été demandé. Vous pouvez enfin définir des directives relatives au sort de vos données en cas de décès. Ces droits peuvent être exercés directement auprès de Hostolab par email à l’adresse suivante : [privacy@covidliste.com](mailto:privacy@covidliste.com). Au besoin, vous bénéficiez du droit d’introduire une réclamation auprès de la CNIL.

Pour en savoir plus sur l’utilisation de vos données personnelles, veuillez consulter la [politique de protection des données personnelles](https://www.covidliste.com/privacy_volontaires)

[mininao]

C'est trooop cool 🤩 Quel boulot 👏 La seule chose sur laquelle je m'interroge, c'est la nécéssité de mettre les mentions Conformément à la réglementation applicable [...] etc... dans les formulaires directement ? J'ai peur que ça alourdisse significativement ceux-ci, sans que ça soit particulièrement rassurant. Est-ce qu'on peut les mettre dans le footer ou juste dans les CGU ? J'ai l'impression qu'aucune app n'a ce genre de mentions dans un formulaire d'inscription.

[martindaniel4]

Incroyable!!! Quel travail !

[Florto]

C'est trooop cool 🤩 Quel boulot 👏 La seule chose sur laquelle je m'interroge, c'est la nécéssité de mettre les mentions Conformément à la réglementation applicable [...] etc... dans les formulaires directement ? J'ai peur que ça alourdisse significativement ceux-ci, sans que ça soit particulièrement rassurant. Est-ce qu'on peut les mettre dans le footer ou juste dans les CGU ? J'ai l'impression qu'aucune app n'a ce genre de mentions dans un formulaire d'inscription.

Je comprends @mininao ton soucis. Malheureusement, je pense que si on nous conseille de faire ça, il vaut mieux qu’on y aille :) Mais je poserai néanmoins la question pour une version ultérieure.

[colinemarie]

J'ai updaté mention légales et créé les pages cgu volontaires / privacy volontaires pour l'instant. Si jamais quelqu'un veut continuer sur la partie pro.

[Florto]

@colinemarie je ne vois pas la branche sur laquelle tu as travaillé ?

[colinemarie]

@colinemarie je ne vois pas la branche sur laquelle tu as travaillé ?

Oui j'ai pas eu le temps de la téléversé, je fais ca ce soir (et peut être d'autres pages héhé)

[colinemarie]

Update, j'avais bêtement commencé à mettre les docs markdown en erb à la main... Je viens de créer une task rake pour tous les convertir. Je continue la dessus.

[adrienpoly]

@colinemarie une alternative est d'utiliser frozen_record qui est déja installé pour la gestion des FAQ. Cela permet de stocker les pages directement en markdown dans un fichier .yml et donc de simplifier tout ce process de conversion.

[rchampourlier]

J'ai commencé l'implémentation via frozen_record comme suggéré par @adrienpoly

-> https://github.com/hostolab/covidliste/pull/501

[mininao]

Sur la question d'ajouter plus de mentions légales dans les formulaires d'inscription :

Malheureusement, je pense que si on nous conseille de faire ça, il vaut mieux qu’on y aille

• Je comprends que le rôle du cabinet d'avocat soit de nous couvrir au maximum, mais je ne sais pas s'ils intègrent des questions d'UX à leurs réfléxions. Je pense que ça vaut le coup de creuser un peu pour comprendre pourquoi/si c'est vraiment important (et pourquoi nous serions les seuls à le faire alors que virtuellement toutes les boîtes 🇪🇺 ont les mêmes obligations)
• A mon avis, il faut vraiment qu'on fasse attention à préserver la simplicité de l'UX, pour moi c'est essentiel dans l'accomplissement de notre mission auprès
  • Des volontaires: L'inscription doit être simple et accessible à tous (Personnes handicapées, agées, qui parlent mal français)
  • Des partenaires: Le but c'est de leur faire gagner du temps
• Notre succès dépend directement de la simplicité des formulaires d'inscriptions. Si ils sont compliquées, ça veut dire moins de volontaires et moins de partenaires. Je ne voudrais pas par exemple qu'un partenaire trouve toutes ces mentions légales flippantes : Les petites lignes sur un contrat ça fait peur. Je pense qu'il faut être ultra-transparent sur la privacy, mais qu'on peut le faire sans sacrifier l'UX.
• J'ai l'impression que trop d'information ne va pas dans le sens de la transparence, le pavé sera juste ignoré sans être lu. Est-ce que c'est important, par exemple, de dire "Vous pouvez enfin définir des directives relatives au sort de vos données en cas de décès" lors de l'inscription ?

Proposition

Original

Proposition

Toutes les informations demandées sont nécessaires à Hostolab, en tant que responsable de traitement, pour que vous puissiez bénéficier du service proposé. A défaut de les fournir, vous ne pourrez pas en bénéficier. Conformément à la réglementation applicable, vous disposez d’un droit d’accès, de rectification, de suppression et, le cas échéant, de portabilité de vos données personnelles. Vous pouvez également vous opposer au traitement de vos données et, le cas échéant, en demander la limitation. Vous pouvez, à tout moment, retirer votre consentement lorsque celui-ci vous a été demandé. Vous pouvez enfin définir des directives relatives au sort de vos données en cas de décès. Ces droits peuvent être exercés directement auprès de Hostolab par email à l’adresse suivante : privacy@covidliste.com. Au besoin, vous bénéficiez du droit d’introduire une réclamation auprès de la CNIL. Pour en savoir plus sur l’utilisation de vos données personnelles, veuillez consulter la politique de protection des données personnelles ☑ J’accepte sans réserve les CGU et, notamment, certifie sur l’honneur que les informations communiquées ci-dessus sont exactes. ☑️ J’accepte que mes données soient traitées aux fins de la mise en relation avec les établissements de vaccination Covid-19 participant à l’initiative Covidliste.

☑ J’accepte les conditions d'utilisation et je certifie sur l’honneur que les informations communiquées ci-dessus sont exactes. ☑ J'accepte que mes données soient utilisées pour me mettre en relation avec un lieu de vaccination. Pour en savoir plus sur comment nous utilisons vos données, vous pouvez consulter notre politique de protection des données personnelles

Désolé d'être relou avec ça, mais je pense que c'est important, et c'est aussi un angle sur lequel on a des progrès à faire 🙂

Bien sûr, on peut shipper comme proposé initialement pour l'instant et faire une seconde passe pour améliorer 👍

[Florto]

Rien n’empêche de réduire un petit peu la taille du texte.

Mais obtenir l’avis complémentaire va mettre du temps, donc pour le moment go comme ça et je vois avec qui de droit..

[rchampourlier]

• Pour confirmation @Florto : du coup on ne fait rien de plus par rapport au commentaire de @mininao ?
• @Florto est-ce que tu peux me préciser ce que veut dire "Correction des liens des documents .md" dans les pré-requis ? -> c'est bon j'ai vu 👁️

[rchampourlier]

@Florto Quelques remarques / questions vàv de l'implémentation réalisée dans la #505 pour validation 🙏

Je me suis permis quelques ajustements par rapport aux specs (qui étaient d'ailleurs super précises et prévoyantes, merci pour les alertes sur les liens à insérer ou modifier 👍) :

• Modification du label de la checkbox d'inscription volontaire, j'ai mis en label du lien "CGU" a l'instar de ce qui est mis pour les pros, ce qui rend le label plus digeste.
• J'ai ajouté 2 enregistrements au modèle User au lieu d'un pour conserver les dates d'acceptation des CGU et d'acceptation du traitement des données personnelles (je pense que dans ce cas "qui fait le plus fait le moins" et de mon expérience c'était l'approche retenue).
• J'ai également modifié la checkbox sur la page d'édition du profil volontaire pour utiliser le même libellé que sur le signup.

Quelques questions :

• Est-ce normal qu'il n'y ait pas de checkbox pour accepter le traitement des données personnelles pour les pros sachant qu'ils ont tout de même une page privacy très proche de celle des volontaires ?
• Est-ce que les nouvelles mentions ajoutées au-dessus des checkboxes au signup ne doivent pas se retrouver sur l'édition du profil également ?

Je t'ai mis également quelques questions sur des règles de gestion spécifique dans https://github.com/hostolab/covidliste/pull/505.

Merci d'avance et bien sûr selon tes retours je ferai les corrections nécessaires !

[Florto]

Merci pour tout. Tout bon pour tes remarques / ajustements.

Pour les questions, je vais les transmettre en plus, mais je donne une première réponse pour qu’on merge avant : 

• On pourrait ajouter la checkbox pour les pro
• oui les mentions doivent être sur le formulaire chaque fois qu’il est présent.

Merci :)

[Florto]

Et si on doit merger avant les mots de passe on en reparle.

[rchampourlier]

@Florto merci pour tes réponses, je vais avancer avec ça. J'ai d'autres questions relou dans la #505 , je te les remets là 👍

Que doit-on faire pour le formulaire d'édition du volontaire qui a une checkbox pour statement ?

Faudrait-il ajouter la checkbox pour toc...
    si toc == false ?
    si toc == true && toc_accepted_at == nil ?

Si statement == true && statement_accepted_at == nil, ne faut-il pas :
        décocher statement
        accepter uniquement si statement a été coché (même si déjà true en DB) et à ce moment là enregistrer le timestamp dans statement_accepted_at ?

En gros, si l'user n'a pas encore accepté toc (est-ce que qqun peut me dire ce que ça veut dire "toc" ? "tos" j'aurais compris, pour Terms of Service) ou statement, est-ce qu'on peut profiter de la page d'édition de profil pour lui faire accepter et enregistrer l'acceptation ?

[Florto]

terms of contract je pense.

si toc == true, je pense que accepted at devrait être settée par un batch de correction one shot à la date de création de covidliste (2 avril ?) Pareil pour statement et la date.

Si toc == false, il faudra re-opt-in l’utilisateur à son match, ou lors des futures campagnes de recontact.

[rchampourlier]

terms of contract je pense.

merci, je me sens mieux 😅

Ok pour toc == true -> batch (plutôt à la date de création du user du coup je dirais), je pense qu'on peut mettre tout ça dans une issue future alors. Je me le note.