En réponse à David.
Hello David, je vais te répondre comme si j’étais dans ta situation et ce que je ferai à ta place. Ceci n’est évidemment pas un conseil juridique, il est recommandé d’en parler avec une ressource juridique afin de valider la bonne démarche à suivre.
Selon ce que je comprends de la loi et ce que j’en ai lu, le but de la loi n’est pas d’interdire l’usage d’un renseignement personnel (comme une adresse IP), mais de la cadrer. C’est-à-dire : savoir que nous la collectons, sa durée de collecte, l’événement qui permet sa suppression (automatique ou manuelle), avec qui cette données est partagée et dans quel but cette donnée est collectée.
Donc que tu collectes des IPs sembles correct, du moment où tu documentes dans ta ou tes politiques de confidentialité le cadre de cette collecte, comme indiqué précédemment.
Pour ta question sur la portabilité des renseignements personnels ou le droit à l’oubli, je mettrai à ta place un formulaire à disposition des clients leur permettant de demander la portabilité ou la suppression.
Après attention, il y a sûrement d’autres lois qui amènent des exceptions. Par exemple, je ne vais pas supprimer tes données Stripe parce que tu me le demandes. Car le gouvernement et mon bureau comptable en a besoin pendant au moins 8 ans. Par contre, les informations collectées par courriel, dans un cloud, dans ton formulaire web3forms, on supprime ou exporte.
Tu n’est pas obligé de faire comme Meta et offrir ce droit instantanément. Tu peux y répondre dans un délai fixé lui aussi dans ta politique (en règle générale c’est 7 jours environ) et faire le tout manuellement, dans la forme qui te convient (fichier csv, Excel, archive zip, etc…).
Petit NB : concernant les cookies, même si tu n’utilises pas Google Analytics, le site web peut comporter des cookies tout de même, notamment par l’usage d’apps externes comme YouTube, ReCAPTCHA, Cloudflare, etc…
En espérant que cela t’aide 🙂