Bonjour à tous,
Le RGPD (Règlement Général de Protection des Données) est un texte du parlement européen qui va bientôt entrer en application le 25 mai 2018. Et je vais avouer que je n'ai pas réussi à cerner ce que nous devions mettre en place exactement.
Je fais donc appel aux plus calés dans le domaine parmi vous pour me guider dans cette mise en conformité.
Même si d'une part LADB n'a ni l'objectif, ni le besoin d'exploiter les données de ses visiteurs et que d'autre part, il n'est porté par aucune structure administrative (entreprise, asso, ...)
Voici pour l'instant mes lectures :
Mais concrètement, qu'est-ce qu'il y aurait à faire sur L'Air du Bois ?
La sous question étant peut-être de s'interroger sur : Quelles sont les données personnelles sur L'Air du Bois ?
Merci de votre aide !
Données (non visibles publiquement) collectées aujourd'hui :
Utilisateurs non connectés :
- Grâce aux cookies de session (côté serveur), est conservé la liste des publications visitées pour garantir un compteur de vues "intelligent" (qui ne compte pas toutes les fois où on vient sur la page) (code). Cette donnée est conservé le temps de la session.
Utilisateurs connectés :
- l'email à la création du compte (code)
- l'IP et UserAgent à la création du compte (code, code). Ceci avait été mis en place il y a environ 3 ans pour palier à des robots qui créaient massivement des comptes aléatoires. L'IP permettait d'identifier que tous ces comptes étaient créés par une même machine. Et donc possibilité de bannir cette IP.
- Chaque première visite sur une publication est stockée dans la base de données (code, code). Ceci afin de permettre d'indiquer à l'utilisateur si le contenu a déjà été vu.
6 réponses
Bonjour,
pour moi cette loi demande à ce que le flux et l'utilisation des données personnelles soit documentée et en conformité avec la loi
sur ce site, j'ai indiqué 3 données personnelles :
- Mon Nom
- Mon email
- Mon adresse
Je dois être en mesure de les modifier et les supprimer.
Pour moi, si je supprime mon compte, tu peux conserver les posts (en changeant le nom du compte par autre chose par exemple)
La seule de ces trois données qui est invisible aux autres, c'est mon email => il ne doit pas être utilisées par le site pour autre chose que ce qui est prévu : les alertes
Pour les réalisation, c'est clairement indiqué que je les pose sur le site et que tout le monde peux y accéder => donc ça n'entre pas dans la loi : la frontière est clair
Pour facebook, ce qui n'est pas clair c'est ce qui est privé ou non
En conclusion,
- il faudrait indiquer l'utilisation qui sera faite de mon email lors de la création du compte : si ce n'est pas déjà le cas
- Le site est bien fait et indique toujours très bien ce qui est public ou pas, je pense qu'il faut peut-être faire un document qui regroupe les flux des données personnelles (etape 6 de ton lien)
- Ou tout simplement mettre tout ça dans les conditions générales d'utilisation que je valide lors de la création du compte
Ils nous emmerdent avec leurs lois, leurs décrets, leurs normes, leurs règlements. Plus possible de pisser contre un arbre en pleine campagne sans en enfreindre une ! Et c'est pas un anar qui parle !
Dans ton cas, les données à caractères personnel c'est l'adresse email + l'IP de connexion. Tout le reste est public (login, toutes les infos publiques que l'utilisateur configure sur son profil).
Hello,
On voit assez facilement que c'est une loi très orientée facebook :)
Mais bon, tu as raison, soyons méfiants avec ce sujet bien complexe.
Alors, un peu de loi :
Art. 2 de la loi "Informatique et libertés"
" Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ".
" La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ".
C'est donc une définition assez large.
Dans un site un minimum communautaire comme ici, cela peut aller vite pour identifier des personnes avec la page perso, les commentaires de la personne et de ses connaissances, les photos surtout celles de groupe s'il y a des activité communes.
Je viens de me créer une compte bidon (testtte que tu peux supprimer) pour revoir la procédure de création de compte.
Je pense qu'il te manque un mail d’accueil expliquant que les données personnelles inscrites sur ce site ne seront pas transmise à des tiers, pourront être modifiables à tout moment par le propriétaire du compte et surtout, seront publiques.
Partant de là, tu dois être tranquille vis à vis de la protection des données personnelles.
Concernant le cas des mineurs, j'ai un peu de mal à comprendre comment on peut demander le consentement du titulaire de l'autorité (même facebook, je suis curieux de voir comment ils vont traiter ça).
Concernant la possibilité d'extraire les données personnelles je ne pense pas que tu sois concerné.
Enfin, il n'y a pas de notion de traitement de données ... donc pas trop de question à se poser puisque la loi est surtout axée sur ce point si on regarde ton 2eme lien.
J'ai eu ce fichier entre les mains ces derniers temps qui donne des conseils en la matière.
framadrop.org/...0vOLKkoVHN8geE=
de ce que j'ai pu lire (et surtout comprendre), j'ai pensé à 4 risques.
- celui d'un commentaire haineux, portant sur le racial, la diffamation, l'apologie du crime (terrorisme etc...) où tout autres atteinte discriminatoire etc... En fait as tu vraiment un contrôle sur les commentaires mis en ligne ?
- la violation d'une création non libre de reproduction qui pourrait être mis en ligne. (mais pas évident de gérer cela)
- la sécurisation des données de carte bancaire lors de la transmission de dons (même si je sais que tu passe par un organisme qui doit normalement gérer cela (tu le paye au final))
- est ce que toutes les sécurités possibles sont en place lorsque l'on surfe sur ton site ? (Perso je suis sûr que oui)
Je suis sûr que tous ces risques tu les à déjà pris en compte, mais c'est à ça que je pense.
Sinon n'a tu pas une protection juridique dans tes assurances (maison, voiture, pro, ou autre) qui pourrait t'aider dans cette recherche ? Je t'en parle car parfois on y pense pas.
Désolé si je ne peux pas aider d'avantage.
que veux tu savoir réellement ?
En gros, je souhaite répondre à cette question : "Quelles sont les actions à faire pour rentre L'Air du Bois conforme au RGPD ?". Avec la certitude que c'est réellement conforme ;)
il faut que je re regarde mais il me semble que tu es déjà pas mal !
Barf, je sais pas si ça rentre là dedans, mais je n'ai jamais tranché la question de permettre à un utilisateur de supprimer son compte.
Question restée en suspend du fait qu'en supprimant un compte utilisateur, il ne me parait pas évidant de supprimer ces contenus (qui ont peut-être porteurs de contenus type commentaire, réponses, etc ... d'autres utilisateurs) ...
cnil.fr/fr/pri...rer-en-6-etapes
voici le lien que je cherchais qui peut aider sur comment mettre en place tout ca...
c'est un beau projet!
Oui, c'est le lien que j'ai mis plus haut. Mais j'y vois pas d'action concrètes ... à par la rédaction de la doc ;(
autant pour moi je n'avais pas ouvert les liens...
souvent en sécurité, ce n'est que de la doc et de l'information...
dans le cadre d'un forum, les infos diffusées sont de base publique, seules les infos propres à l'utilisateur doivent rester sous la modification de l'utilisateur. et malheureusement, si l'utilisateur souhaite se désinscrire, il peut exiger que ses commentaires/publications le soient aussi même si cela n'est pas forcément logique.
ensuite, il y a toutes les données sauvegardées par le site lors de notre navigation...
zeloko Pour la suppression du compte le plus simple tout devient la création d'un certain anonyme.
hedjour non, pas si simple. Ceci va en contradiction avec le Creative Common qui oblige LADB à indiquer la paternité.
zeloko : de tête, la paternité est incessible et inaliénable en droit d'auteur. En plus, on met tout en CC donc effectivement, difficile de garder un contenu en supprimant sont auteur.
Mais il reste le domaine public, là, ni le droit d'auteur ni la CC ne doivent s'appliquer.
Ça pourrait être une alternative proposée à un membre supprimant son compte. Lui abandonne tout droit en versant dans le domaine public, l'AdB l'anonymise pour faire lui le laisser être oublié.
A ce jour les quelques (3) inscrits qui m'ont fait des demandes de suppression étaient des personnes en colère contre le site ou sa communauté. Donc dans un état de discussion rompu. Difficile dans ces conditions de leur demander de tout léguer au domaine public. On ne peut pas donner une liberté d'un côté (partir) pour en retirer une de l'autre (abandonner ses droits) ...
Ce qui m'embête dans tout ça, c'est que c'est l'individuel qui prime sur le collectif. Je comprends bien que le droit à l'oubli est un liberté qui a du sens et ses raisons d'être. Mais dans ce contexte elle peut se trouver faire du tord à un travail collectif.
Bien entendu, un utilisateur qui a rien fait (ou que des publication sans interaction) devrait pouvoir supprimer son compte. Mais comment comprendre que dès qu'on a publié, on ne puisse plus supprimer ... ?
La paternité est incessible dans tous les cas en France.
zeloko, je vais te resservir les mêmes arguments que pour les cookies... (désolé)
Je pense sincèrement que tu fais déjà beaucoup.
Par ailleurs et même si on peut souhaiter davantage, l'AdB n'a pas l'audience de FB.
Donc à ta place je continuerai comme tu fais déjà : faire au mieux.
Tu proposes le domaine public, si non, tu anonymises.
Comme ça tu respectes la législation française et si tu violes le droit à la paternité, qui viendra s'en plaindre ?
Deux ou trois rageux qui auront été dûment prévenus et pour des intérêts financiers qui seront sans doute proches de zéro ?
J'ai lu plus bas des conseils encourageant à plus d'information, ajoute des layus à droite ou à gauche et vogue la galère...
Tu es de bonne foi et pourra le prouver facilement, entre autre grâce à cette discussion.
Sinon, dans la FAQ de CC, est fait mention de Flickr.
Ils sont peut être dans un cas semblable. Ça pourrait être une piste.
titimaster argh !
J aurais dû rafraîchir avant de poster... XD
Pour information, je viens d'ajouter une question dans la FAQ pour lister les différentes données dites personnelles collectées et leur utilisation ici.
Qu'est-il fait des données personnelles sur L'Air du Bois ?
Hmm ... est-ce qu'à partir de demain (25/05/2018), L'Air du Bois à le droit d'envoyer l'email "Des nouveautés de la semaine" sans avoir eu l'accord des utilisateur ?
bonne question,
J'ai reçu quelques messages liés aux nouvelles politiques de confidentialité, entre autre bosch me demandait si je "consentais à rester en contact avec eux".
Selon moi, de base, les nouveautés de la semaine sont des newsletter, il faudrait normalement que ce soit décoché par défaut.
Tous les sites font ça, mais enregistrent coché .. c'est bizarre je trouve, ils ont tous les même développeur pour tous avoir le même bug ? :D
Lorsque j'ai créé la fonctionnalité d'envoyer cette newsletter, je me suis questionné sur le coché par défaut ou non. Mon raisonnement a été de me dire que si personne ne la voit jamais, personne ne saura que ça existe et donc personne ne la verra jamais ...
Je suis donc parti du principe de l'envoyer automatiquement. En me disant que si ça plait pas, il est aussi facile de se désabonner. Et ensuite on a plus rien.
Mais j'ai bien peur que demain on ait plus le droit de faire ça ...
Ben, en fait, on a pas le droit aujourd'hui sauf erreur de ma part. La nouvelle loi concerne surtout le traitement des données personnelles de ce que j'ai pu comprendre.
Maintenant, il faut regarder l'intention du législateur.
Ces lois concernent plus les sites commerciaux qu'aux sites associatifs ou collaboratifs comme l'air du bois.
Bon, vu tout ce que je lis depuis hier sur les différents sites commerciaux dans lesquels j'ai un compte , je dirais qu'il te suffit
d'envoyer par mail un résumé des conditions d'utilisation des données aux utilisateurs et un lien vers l'article complet,
leur proposer de se desinscrire à la newsletter (peut-être en rappelant la fréquence et l'objet).
Et donner ces informations et possibilités aux nouveaux inscrits lors de la création du compte.
Tu devrais être pas mal avec ça. Mais, comme dit avant, pour un site comme le notre, je ne pense pas qu'il faille trop se prendre la tête
À chaque changement de réglementation, il y a toujours des petits malins qui s'attaquent à ceux qui tardent à se mettre en conformité pour les arnaquer ou en tirer des indemnités.
À titre professionnel, je suis régulièrement sollicité pour la mise au norme "handicapé" de mon local pro par des "sociétés" qui mettent la pression et emploient des méthodes limite légales.
Donc attention quand même...
Hmm ... ce qui m'embête, c'est de faire comme les autres font, sans vraiment avoir vu dans un texte officiel un synthèse de ce qu'il serait à faire sur ce point.
Pour info, il y a 8061 comptes créés et 7467 ont conservé l'option de recevoir la newsletter, soit 92%. Bon, là dedans, il y a les fausses adresses email (pas forcément majoritaires).
En gros, c'est encore du taf à faire et un alourdissement de la procédure d'inscription pour un minorité de râleurs. Sans compter que j'ai régulièrement des message d'utilisateur étant content de recevoir leur petite new du vendredi. Sans inscription d'office ils ne l'auraient peut-être jamais vu. Comme beaucoup de fonctionnalité ici.
Monde de M...
Le texte indique qu'il faut de la transparence (point important de ce texte). Il faut juste que dans la newsletter tu indiques la procédure pour se désabonner.
La case "cochée par défaut" est clairement visible, si je ne l'ai pas vu à l'inscription, dès le premier courrier je peux corriger ça => parfait donc.