L'Air du Bois est une plateforme Open Source de partage collaboratif ouverte à tous les amoureux du travail du bois. (En savoir plus)

Rejoindre l'Air du Bois Se connecter

Boris Beaulant

Conformité RGPD, que nous manques-t-il ?

Bonjour à tous,

Le RGPD (Règlement Général de Protection des Données) est un texte du parlement européen qui va bientôt entrer en application le 25 mai 2018. Et je vais avouer que je n'ai pas réussi à cerner ce que nous devions mettre en place exactement.

Je fais donc appel aux plus calés dans le domaine parmi vous pour me guider dans cette mise en conformité.
Même si d'une part LADB n'a ni l'objectif, ni le besoin d'exploiter les données de ses visiteurs et que d'autre part, il n'est porté par aucune structure administrative (entreprise, asso, ...)

Voici pour l'instant mes lectures :

Mais concrètement, qu'est-ce qu'il y aurait à faire sur L'Air du Bois ?

La sous question étant peut-être de s'interroger sur : Quelles sont les données personnelles sur L'Air du Bois ?

Merci de votre aide !


Données (non visibles publiquement) collectées aujourd'hui :

  • Utilisateurs non connectés :

    • Grâce aux cookies de session (côté serveur), est conservé la liste des publications visitées pour garantir un compteur de vues "intelligent" (qui ne compte pas toutes les fois où on vient sur la page) (code). Cette donnée est conservé le temps de la session.
  • Utilisateurs connectés :

    • l'email à la création du compte (code)
    • l'IP et UserAgent à la création du compte (code, code). Ceci avait été mis en place il y a environ 3 ans pour palier à des robots qui créaient massivement des comptes aléatoires. L'IP permettait d'identifier que tous ces comptes étaient créés par une même machine. Et donc possibilité de bannir cette IP.
    • Chaque première visite sur une publication est stockée dans la base de données (code, code). Ceci afin de permettre d'indiquer à l'utilisateur si le contenu a déjà été vu.
Mis à jour
titie3325
( Modifié )

que veux tu savoir réellement ?

Boris Beaulant
( Modifié )

En gros, je souhaite répondre à cette question : "Quelles sont les actions à faire pour rentre L'Air du Bois conforme au RGPD ?". Avec la certitude que c'est réellement conforme ;)

titie3325

il faut que je re regarde mais il me semble que tu es déjà pas mal !

Boris Beaulant

Barf, je sais pas si ça rentre là dedans, mais je n'ai jamais tranché la question de permettre à un utilisateur de supprimer son compte.

Question restée en suspend du fait qu'en supprimant un compte utilisateur, il ne me parait pas évidant de supprimer ces contenus (qui ont peut-être porteurs de contenus type commentaire, réponses, etc ... d'autres utilisateurs) ...

titie3325
( Modifié )

cnil.fr/fr/pri...rer-en-6-etapes
voici le lien que je cherchais qui peut aider sur comment mettre en place tout ca...
c'est un beau projet!

Boris Beaulant

Oui, c'est le lien que j'ai mis plus haut. Mais j'y vois pas d'action concrètes ... à par la rédaction de la doc ;(

titie3325

autant pour moi je n'avais pas ouvert les liens...
souvent en sécurité, ce n'est que de la doc et de l'information...
dans le cadre d'un forum, les infos diffusées sont de base publique, seules les infos propres à l'utilisateur doivent rester sous la modification de l'utilisateur. et malheureusement, si l'utilisateur souhaite se désinscrire, il peut exiger que ses commentaires/publications le soient aussi même si cela n'est pas forcément logique.
ensuite, il y a toutes les données sauvegardées par le site lors de notre navigation...

hedjour
( Modifié )

zeloko Pour la suppression du compte le plus simple tout devient la création d'un certain anonyme.

Boris Beaulant
( Modifié )

hedjour non, pas si simple. Ceci va en contradiction avec le Creative Common qui oblige LADB à indiquer la paternité.

Dalida
( Modifié )

zeloko : de tête, la paternité est incessible et inaliénable en droit d'auteur. En plus, on met tout en CC donc effectivement, difficile de garder un contenu en supprimant sont auteur.
Mais il reste le domaine public, là, ni le droit d'auteur ni la CC ne doivent s'appliquer.
Ça pourrait être une alternative proposée à un membre supprimant son compte. Lui abandonne tout droit en versant dans le domaine public, l'AdB l'anonymise pour faire lui le laisser être oublié.

Boris Beaulant
( Modifié )

A ce jour les quelques (3) inscrits qui m'ont fait des demandes de suppression étaient des personnes en colère contre le site ou sa communauté. Donc dans un état de discussion rompu. Difficile dans ces conditions de leur demander de tout léguer au domaine public. On ne peut pas donner une liberté d'un côté (partir) pour en retirer une de l'autre (abandonner ses droits) ...

Ce qui m'embête dans tout ça, c'est que c'est l'individuel qui prime sur le collectif. Je comprends bien que le droit à l'oubli est un liberté qui a du sens et ses raisons d'être. Mais dans ce contexte elle peut se trouver faire du tord à un travail collectif.

Bien entendu, un utilisateur qui a rien fait (ou que des publication sans interaction) devrait pouvoir supprimer son compte. Mais comment comprendre que dès qu'on a publié, on ne puisse plus supprimer ... ?

Santé !

La paternité est incessible dans tous les cas en France.

Dalida
( Modifié )

zeloko, je vais te resservir les mêmes arguments que pour les cookies... (désolé)
Je pense sincèrement que tu fais déjà beaucoup.
Par ailleurs et même si on peut souhaiter davantage, l'AdB n'a pas l'audience de FB.
Donc à ta place je continuerai comme tu fais déjà : faire au mieux.
Tu proposes le domaine public, si non, tu anonymises.
Comme ça tu respectes la législation française et si tu violes le droit à la paternité, qui viendra s'en plaindre ?
Deux ou trois rageux qui auront été dûment prévenus et pour des intérêts financiers qui seront sans doute proches de zéro ?
J'ai lu plus bas des conseils encourageant à plus d'information, ajoute des layus à droite ou à gauche et vogue la galère...
Tu es de bonne foi et pourra le prouver facilement, entre autre grâce à cette discussion.

Sinon, dans la FAQ de CC, est fait mention de Flickr.
Ils sont peut être dans un cas semblable. Ça pourrait être une piste.

Dalida
( Modifié )

titimaster argh !
J aurais dû rafraîchir avant de poster... XD

Boris Beaulant
( Modifié )

Pour information, je viens d'ajouter une question dans la FAQ pour lister les différentes données dites personnelles collectées et leur utilisation ici.

Qu'est-il fait des données personnelles sur L'Air du Bois ?

Boris Beaulant

Hmm ... est-ce qu'à partir de demain (25/05/2018), L'Air du Bois à le droit d'envoyer l'email "Des nouveautés de la semaine" sans avoir eu l'accord des utilisateur ?

Santé !
( Modifié )

bonne question,

J'ai reçu quelques messages liés aux nouvelles politiques de confidentialité, entre autre bosch me demandait si je "consentais à rester en contact avec eux".

Selon moi, de base, les nouveautés de la semaine sont des newsletter, il faudrait normalement que ce soit décoché par défaut.
Tous les sites font ça, mais enregistrent coché .. c'est bizarre je trouve, ils ont tous les même développeur pour tous avoir le même bug ? :D

Boris Beaulant
( Modifié )

Lorsque j'ai créé la fonctionnalité d'envoyer cette newsletter, je me suis questionné sur le coché par défaut ou non. Mon raisonnement a été de me dire que si personne ne la voit jamais, personne ne saura que ça existe et donc personne ne la verra jamais ...
Je suis donc parti du principe de l'envoyer automatiquement. En me disant que si ça plait pas, il est aussi facile de se désabonner. Et ensuite on a plus rien.

Mais j'ai bien peur que demain on ait plus le droit de faire ça ...

Santé !

Ben, en fait, on a pas le droit aujourd'hui sauf erreur de ma part. La nouvelle loi concerne surtout le traitement des données personnelles de ce que j'ai pu comprendre.

Maintenant, il faut regarder l'intention du législateur.
Ces lois concernent plus les sites commerciaux qu'aux sites associatifs ou collaboratifs comme l'air du bois.

Santé !
( Modifié )

Bon, vu tout ce que je lis depuis hier sur les différents sites commerciaux dans lesquels j'ai un compte , je dirais qu'il te suffit
d'envoyer par mail un résumé des conditions d'utilisation des données aux utilisateurs et un lien vers l'article complet,
leur proposer de se desinscrire à la newsletter (peut-être en rappelant la fréquence et l'objet).
Et donner ces informations et possibilités aux nouveaux inscrits lors de la création du compte.

Tu devrais être pas mal avec ça. Mais, comme dit avant, pour un site comme le notre, je ne pense pas qu'il faille trop se prendre la tête 😉

Nicoel

À chaque changement de réglementation, il y a toujours des petits malins qui s'attaquent à ceux qui tardent à se mettre en conformité pour les arnaquer ou en tirer des indemnités.

À titre professionnel, je suis régulièrement sollicité pour la mise au norme "handicapé" de mon local pro par des "sociétés" qui mettent la pression et emploient des méthodes limite légales.

Donc attention quand même...

Boris Beaulant

Hmm ... ce qui m'embête, c'est de faire comme les autres font, sans vraiment avoir vu dans un texte officiel un synthèse de ce qu'il serait à faire sur ce point.

Boris Beaulant
( Modifié )

Pour info, il y a 8061 comptes créés et 7467 ont conservé l'option de recevoir la newsletter, soit 92%. Bon, là dedans, il y a les fausses adresses email (pas forcément majoritaires).

En gros, c'est encore du taf à faire et un alourdissement de la procédure d'inscription pour un minorité de râleurs. Sans compter que j'ai régulièrement des message d'utilisateur étant content de recevoir leur petite new du vendredi. Sans inscription d'office ils ne l'auraient peut-être jamais vu. Comme beaucoup de fonctionnalité ici.
Monde de M...

zan

Le texte indique qu'il faut de la transparence (point important de ce texte). Il faut juste que dans la newsletter tu indiques la procédure pour se désabonner.
La case "cochée par défaut" est clairement visible, si je ne l'ai pas vu à l'inscription, dès le premier courrier je peux corriger ça => parfait donc.

Connectez-vous pour ajouter un commentaire.
?

6 réponses

1
zan

Bonjour,

pour moi cette loi demande à ce que le flux et l'utilisation des données personnelles soit documentée et en conformité avec la loi

sur ce site, j'ai indiqué 3 données personnelles :

  • Mon Nom
  • Mon email
  • Mon adresse

Je dois être en mesure de les modifier et les supprimer.
Pour moi, si je supprime mon compte, tu peux conserver les posts (en changeant le nom du compte par autre chose par exemple)

La seule de ces trois données qui est invisible aux autres, c'est mon email => il ne doit pas être utilisées par le site pour autre chose que ce qui est prévu : les alertes

Pour les réalisation, c'est clairement indiqué que je les pose sur le site et que tout le monde peux y accéder => donc ça n'entre pas dans la loi : la frontière est clair
Pour facebook, ce qui n'est pas clair c'est ce qui est privé ou non

En conclusion,

  • il faudrait indiquer l'utilisation qui sera faite de mon email lors de la création du compte : si ce n'est pas déjà le cas
  • Le site est bien fait et indique toujours très bien ce qui est public ou pas, je pense qu'il faut peut-être faire un document qui regroupe les flux des données personnelles (etape 6 de ton lien)
  • Ou tout simplement mettre tout ça dans les conditions générales d'utilisation que je valide lors de la création du compte
Boris Beaulant
( Modifié )

Merci zan pour cette réponse.

Pour moi, si je supprime mon compte, tu peux conserver les posts (en changeant le nom du compte par autre chose par exemple)

C'est une chose discuter dans plusieurs commentaire ici, mais il y a conflit par rapport à la CC là dessus.

Ce qu'il faut voir, c'est que l'utilisateur peut changer son nom, son email (mais pas son pseudo) et que donc s'il le désire, il peut déjà s'anonymiser tout seul, non ?

zan

oui, tu as raison : il ne manquait que "Qu'est-il fait des données personnelles sur L'Air du Bois ?"
Je pense que là c'es au top

Connectez-vous pour ajouter un commentaire.
1
FMJ

Ils nous emmerdent avec leurs lois, leurs décrets, leurs normes, leurs règlements. Plus possible de pisser contre un arbre en pleine campagne sans en enfreindre une ! Et c'est pas un anar qui parle !

Dans ton cas, les données à caractères personnel c'est l'adresse email + l'IP de connexion. Tout le reste est public (login, toutes les infos publiques que l'utilisateur configure sur son profil).

Boris Beaulant
( Modifié )

Arf, je suis de ton avis. Mais c'est comme tout, il n'y a pas besoin de loi si personne n'abuse. Et des abuseurs, là, il y en a beaucoup ... je pense qu'il était normal de légiférer.
Reste qu'une loi ne peut pas résoudre tous les problème et surtout sera inévitablement contournée. Pourtant, je pense qu'il était important de ne pas laisse une telle impunité.

Laikeen
( Modifié )

Je suis entièrement d'accord avec FMJ... marre, on ne vit plus qu'avec des lois, décrets et arrêtés dont ceux qui s'en foute le plus sont ceux qui les écrivent et nous gouvernent car eux ne risquent rien... et je ne suis pas anar non plus!

Nicoel
( Modifié )

Bonjour les poncifs !

Moi, je n'ai pas envie que mes données se baladent sans contrôle de personne et, même si c'est sans doute une usine à gaz Européenne, merci pour cette loi (comme pour celle qui arrivera à faire cracher les GAFA au bassinet fiscal) et bon courage aux Gentils Administrateurs du site...

julpec
( Modifié )

FMJ je trouve que tu réagit un peu rapidement et je doute que tu ais une connaissance éclairé de cette loi. De plus, je vois pas ce que vient faire cette histoire d'anarchisme. Tu vois, je me considère politiquement anarchiste et pourtant je suis très heureux de voir cette loi arriver (enfin) car l'anarchisme est avant tout le combat contre toute forme de pouvoir… après, les moyens d'y arriver, c'est une autre question.
C'est une opportunité énorme pour faire redescendre d'un cran les abus des GAFAM et redonner plus de liberté aux utilisateurs. Tu trouvera peut-être des infos divergentes de ta croyance de départ ici ou ici. Après, je pense qu'il y a d'autres moyens que de faire des lois pour arriver au même résultat, notamment en proposant des alternatives.
Avoir conscience de l'importance des données persos n'est pas uniquement pour emmerder le monde (si je reprend ton langage châtié) mais c'est une préoccupation collective essentielle à l'ère de la prédominance du Web et surtout au vu du peu de maîtrise technique que la majorité de la population peut avoir… et donc notre impuissance individuelle face à tout ça.

skiffr
( Modifié )

Tout à fait d'accord avec julpec, cette loi est une très bonne chose car c'est le far west total sur les données personnelles des utilisateurs, sans régulation ça va dériver sur des choses assez flippantes (creusez un peu le sujet Facebook...)
Et je dis ça alors que cette loi m'impacte au niveau professionnel, dans sa mis en oeuvre.

MOWD
( Modifié )

Vu le nombre de lois qu'on a, si ça empêchait les salopards de mal se comporter, ça se saurait. En tout cas, elle font bien ch... ceux qui se comportent de manière honnête.

Nicoel

En quoi, puisqu'ils sont honnêtes et les respectent ?!?

Santé !
( Modifié )

Nicoel je comprends bien la philosophie de cette remarque, et j'en suis fervent défenseur, mais elle ne s'applique pas dans ce cas précis 😉

Cette loi est casse pied car elle oblige les honnêtes gens et sociétés à faire des actions coûteuses en temps et/ou argent pour se mettre en conformité à cause de gens qui abusent.

Nicoel

C'est pas faux et ta remarque s'applique hélas à bcp de domaines :-(

Connectez-vous pour ajouter un commentaire.
1
Santé !

Hello,

On voit assez facilement que c'est une loi très orientée facebook :)
Mais bon, tu as raison, soyons méfiants avec ce sujet bien complexe.

Alors, un peu de loi :


Art. 2 de la loi "Informatique et libertés"

" Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ".

" La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ".


C'est donc une définition assez large.
Dans un site un minimum communautaire comme ici, cela peut aller vite pour identifier des personnes avec la page perso, les commentaires de la personne et de ses connaissances, les photos surtout celles de groupe s'il y a des activité communes.

Je viens de me créer une compte bidon (testtte que tu peux supprimer) pour revoir la procédure de création de compte.

Je pense qu'il te manque un mail d’accueil expliquant que les données personnelles inscrites sur ce site ne seront pas transmise à des tiers, pourront être modifiables à tout moment par le propriétaire du compte et surtout, seront publiques.
Partant de là, tu dois être tranquille vis à vis de la protection des données personnelles.

Concernant le cas des mineurs, j'ai un peu de mal à comprendre comment on peut demander le consentement du titulaire de l'autorité (même facebook, je suis curieux de voir comment ils vont traiter ça).

Concernant la possibilité d'extraire les données personnelles je ne pense pas que tu sois concerné.

Enfin, il n'y a pas de notion de traitement de données ... donc pas trop de question à se poser puisque la loi est surtout axée sur ce point si on regarde ton 2eme lien.

Boris Beaulant
( Modifié )

Merci titimaster !

Je pense qu'il te manque un mail d’accueil expliquant que les données personnelles inscrites sur ce site ne seront pas transmise à des tiers, pourront être modifiables à tout moment par le propriétaire du compte et surtout, seront publiques.

C'est vrai qu'il serait bon d'ajouter un message sur ce qui sera fait des infos de l'utilisateur. Mais ça serait plus à mettre avant ou après la validation de l'inscription ?

ecto1

a mon avis faire comme il se fait partout, cliquer sur accepter les règles avant l'envoi.

Santé !

Je dirais peut-être les 2.

Un écrit sur la page de création de compte pour informer la personne, puisqu'il est logique de donner les termes du "contrat" avant.
Et éventuellement un mail de rappel comme "preuve" que la personne a été informée.

julpec
( Modifié )

La question n'est pas de savoir si "n'importe qui" peut identifier une personne mais si les administrateurs système ont la possibilité de le faire de manière routinière. Cela revient à voir comment est foutue la base de donnée et quelles infos sont injectées. Par exemple, zeloko , est-ce que tu garde l'adresse IP des usagers qui se connectent ? Normalement il faudrait pas (il me semble).
Je pense que la bonne façon de voir est la suivante : aucune donnée personnelle n'est essentielle au fonctionnement du site. Dès lors, toute donnée autre qu'un pseudo renvoyant vers un ID dans la base de donnée n'a pas à être demandé ou récolté, en tout cas, ce ne doit pas être une obligation. Bref, un ID, ses posts, ses abonnements…. Même l'adresse mail pourrait être optionnelle non ?
Je ne suis qu'en parti d'accord avec titimaster , si les données peuvent techniquement être extraite, alors l'utilisateur ne peut pas avoir confiance dans le site. Pareil pour le traitement et la revente des données. Combien de sites on amassé de plus en plus d'utilisateur en étant très "libres" et ont ensuite fermé les verrous et sont passé au modèle économique classique du Web : la revente de données persos ?

C'est une question complexe qu'il ne faut pas négliger, donc merci zeloko d'avoir partagé le questionnement. Cela me permet d'avoir encore plus confiance en ce superbe site ;)

Boris Beaulant
( Modifié )

zeloko , est-ce que tu garde l'adresse IP des usagers qui se connectent ?

La réponse est donnée dans le corps de ma question. L'IP est à ce jour gardée à la création de compte uniquement. Ceci suite à des créations massives de comptes par des robots, il y a quelques années.

[...] Normalement il faudrait pas (il me semble).

C'est surtout sur la durée qu'on ne peut pas. Là, c'est pas le cas, je l'accorde. Y a pas de volonté de la gardé pour la garder, juste l'envie de concentrer jusqu'ici mon énergie ailleurs ;)

[...] aucune donnée personnelle n'est essentielle au fonctionnement du site

Si la liste de ce qui a été visité est une donnée personnelle, alors c'est une chose nécessaire à un service plus évolué sur le site.
Sauf que l'un dans l'autre, sans attachement à une IP, difficile d'identifier quelqu'un avec ça.

Même l'adresse mail pourrait être optionnelle non ?

Ici l'adresse email peut être fausse. Donc dans un sens elle est presque optionnelle. Ca ne t'empêchera pas de créer un compte. Mais dans ce cas, la publication de contenus (créa, plans, etc ...) n'est pas accessible. Tu vas me dire scandale !
Sauf que l'idée derrière tout ça, c'est le bien de tous par celui de la plateforme. A mes yeux, c'était un moyen de pouvoir avoir une sorte de garde fou. Le fait de pouvoir "bannir" un compte de façon plus concrète. En effet, une adresse email ne peut être utilise ici qu'une seule fois. Donc si un compte existe avec une adresse, un autre avec cette adresse ne peut pas être recréer. Et alors ? Et bien créer une nouvelle adresse (valide) pour valider un nouveau compte rend déjà l'opération plus lente et fastidieuse au rageux niveau 1.
Par ailleurs, seule une adresse email valide est nécessaire, rien ne demande une adresse email qui nous identifie. Ceci peut donc être une donnée aussi impersonnelle qu'un pseudo.

L'anonymat est très bien pour qui ne veut pas divulger ses infos. Mais il ne faut pas oublier que comme partout, s'il y a faille, il y aura exploitation. Et sous le couvert de l'anonymat, beaucoup sont prêt à faire tout péter sous la colère du moment ... et pour moi, c'est aussi dommageable que le reste.
Il ne nous viendrait pas à l'idée d'intégrer un groupe physique d'échange avec une cagoule sur le tête pour rester anonyme ... pourquoi forcément le faire sur internet ?

Santé !

Attention, c'est là qu'on va voir si j'ai compris comment fonctionne la citation !

L'anonymat est très bien pour qui ne veut pas divulger ses infos. Mais il ne faut pas oublier que comme partout, s'il y a faille, il y aura exploitation. Et sous le couvert de l'anonymat, beaucoup sont prêt à faire tout péter sous la colère du moment ... et pour moi, c'est aussi dommageable que le reste.
Il ne nous viendrait pas à l'idée d'intégrer un groupe physique d'échange avec une cagoule sur le tête pour rester anonyme ... pourquoi forcément le faire sur internet ?

Sur le net, si on est pas vigilant, un recoupage des données de différents site permet de créer une excellente vue d'une personne.
Que ce soit sa situation familiale, affective, ce que la personne a fait de puis X temps, ses idées politiques, philosophiques etc .. etc ..

Ce regroupement d'information est impossible avec un groupe physique puisque la vie réel n'est pas une donnée exploitable (sauf si photographiée, filmée ou autre).

Je pense que tu as du entendre parler de droit à l'oubli par exemple qui est une notion liée à internet et qui entre dans ce domaine.

Boris Beaulant
( Modifié )

titimaster tout à fait d'accord, mais ne faisons pas de cette force une faiblesse.
Ce que je veux dire c'est que par la possible (ou presque certaine) action malveillante d'une poignée on est obligé de se pourrir la vie. C'est à dire, ce forcer à se cacher, à fermer notre porte à double tour, de jouer constamment un rôle derrière un pseudo que l'on croit différent de notre vraie personnalité. Mais qui en fait devient notre vraie personnalité ...
Et par ailleurs, sous cet anonymat, on peut à loisir blesser autrui (des petites phrases blessantes, aux insultes) parce qu'on se sent invulnérable derrière un écran. Alors, c'est encore l'affaire d'une poignée de malveillants, mais tout de même.

Je pense que notre rôle d'humain, c'est de répandre la joie, le bonheur et l'altruisme. Pas , la crainte, le malheur et l'individualisme.

Soyons joyeux et une partie du monde le sera déjà ;) Alors, si on est moins individuel ... peut-être que ... ;)

Connectez-vous pour ajouter un commentaire.
0
Aérolithe

J'ai eu ce fichier entre les mains ces derniers temps qui donne des conseils en la matière.
framadrop.org/...0vOLKkoVHN8geE=

Boris Beaulant
( Modifié )

Merci Aérolithe ! C'est pas tout à fait dans le même champ d'action. Mais il y a des informations intéressantes !

Aérolithe

On m'a aussi fait suivre ceci :

C'est fait pour protéger les droits des citoyens européens.
Toute entreprise qui collecte des données sur un ressortissant de l'UE doit respecter le RGPD mais celui-ci repose en fait sur 5 grands principes:

  • Informer les personnes et obtenir leur consentement avant de faire : l'"opt-in". Plus question de lancer des campagnes de promotion intrusives sans que la personne ne se soit au moins abonnée au préalable à votre newsletter par exemple.
    Droit d'accès et de modification aux données, droit à l'oubli mais aussi de pouvoir sortir les données (la "portabilité" des données). Pouvoir sortir des réseaux sociaux par exemple mais aussi pouvoir enfin récupérer vos données d'éditeurs de logiciels peu scrupuleux qui emprisonnent vos propres données dans leurs solutions.
  • Intégration de ces principes dès la conception.
  • Assurer la sécurité des données (chiffrement, réseau, stockage, etc.)
  • la "gouvernance" des données : Savoir comment les données collectées sont traitées. Pourquoi on collecte, en a-t-on le droit, qui, quoi, où, etc.

Chaque entreprise est responsable à son niveau des données qu'elle collecte et traite dans le cadre de son activité.
La portabilité, Google vous permet de sortir vos données de chez eux en les retransformant en un format lisible hors cloud (Office ou autre) mais si vous collectez des données sensibles dans votre Google Sheet ( données raciales, religieuses ou autres,...) alors que vous n'y êtes pas autorisés dans le cadre de votre activité, ni Google ou l'air du bois ne seront déclarées responsables.

Aussi, une TPE, PME ou association n'aura pas les mêmes contraintes qu'un site de rencontre grand public, un hypermarché ou un site e-Commerce, ni qu'un organisme de santé.

Connectez-vous pour ajouter un commentaire.
0
ecto1

de ce que j'ai pu lire (et surtout comprendre), j'ai pensé à 4 risques.

  1. celui d'un commentaire haineux, portant sur le racial, la diffamation, l'apologie du crime (terrorisme etc...) où tout autres atteinte discriminatoire etc... En fait as tu vraiment un contrôle sur les commentaires mis en ligne ?
  2. la violation d'une création non libre de reproduction qui pourrait être mis en ligne. (mais pas évident de gérer cela)
  3. la sécurisation des données de carte bancaire lors de la transmission de dons (même si je sais que tu passe par un organisme qui doit normalement gérer cela (tu le paye au final))
  4. est ce que toutes les sécurités possibles sont en place lorsque l'on surfe sur ton site ? (Perso je suis sûr que oui)
    Je suis sûr que tous ces risques tu les à déjà pris en compte, mais c'est à ça que je pense.

Sinon n'a tu pas une protection juridique dans tes assurances (maison, voiture, pro, ou autre) qui pourrait t'aider dans cette recherche ? Je t'en parle car parfois on y pense pas.
Désolé si je ne peux pas aider d'avantage.

Boris Beaulant
( Modifié )

En fait as tu vraiment un contrôle sur les commentaires mis en ligne ?

La suppression de tous les contenus est accessible aux administrateurs, oui. C'est déjà arrivé d'y avoir recours (1 ou 2 fois)

la violation d'une création non libre de reproduction qui pourrait être mis en ligne.

C'est déjà arrivé aussi, soit c'est l'ayant droit qui demande la suppression, soit c'est le contributeur qui s'en rend compte plus tard.

la sécurisation des données de carte bancaire

Je le redis ici, les informations de carte bancaire ne transitent pas par le serveur de L'Air du Bois. Tout est traité par Stripe. Le prestataire qui traite les paiements des dons.
La question est donc de savoir s'ils traitent bien la sécurité de leur service ?

est ce que toutes les sécurités possibles sont en place lorsque l'on surfe sur ton site ?

C'est notre site, pas mon site ;) ... sinon, qu'entendons-nous par sécurités ? C'est assez vaste comme sujet.
Les choses sont faites au mieux et au niveau de ce que je connais. C'est flipant de dire ça, mais la science infuse ne me semble pas exister dans ce domaine. Dans la mesure du possible j'évite au maximum l'utilisation de services tiers embarqués. Mais il y en a quand même :

  • Google analytics (même si j'aimerai m'en débarrasser)
  • Les players vidéos (YouTube, Vimeo, Daylimotion, Facebook)
  • La cartographie via OpenStreetMap
  • Le paiement des dons via Stripe
  • Le player 3D de Trimble dans les plans
Connectez-vous pour ajouter un commentaire.
0
sgaunet

Je crois qu'il te faut donner aussi la possibilité de supprimer un compte (soit via un formulaire de contact soit de manière automatique).

Boris Beaulant
( Modifié )

Oui, mais ça soulève des questions :

  • Si un compte est supprimé, les publications de ce compte sont supprimés aussi ?
  • Si les publications créés par le compte sont supprimées, qu'en est-il des contributions à ces publications faites par d'autres utilisateurs ? Faut-il les supprimer aussi ? Contributions qui peuvent offrir une vraie richesse et qui ont demandé un travail à être fournies. Je pense par exemple aux réponses à des questions.
  • Pour les contributions à des contenus collaboratifs comme xylo, fournisseurs, etc ... est-il sensé de supprimer les contributions d'un utilisateur supprimé ?

N'ayant jamais trouvé de réponse miracle à ces questions, il a été rendu impossible de supprimer un compte. Mais qu'est-ce qui est le plus logique ?

sgaunet
( Modifié )

Faut indiquer dans les conditions générales que la suppression d'un compte n'entraine pas la suppression des contributions. Tu changes le nom du compte supprimé en "Compte supprimé" et t'es en règle.
En fait, faut être transparent dans les conditions générales, à partir ud moment où c'est accepté, c'est good.

Boris Beaulant
( Modifié )

Tu changes le nom du compte supprimé en "Compte supprimé" et t'es en règle.

Arf, oui et non. Les contenus ayant été publiés sous Creative Common, il faut indiquer au minima la parternité. Et donc garder le pseudo du contributeur.

Bref, ce qui reviendrait à ce que la suppression d'un compte ne fasse rien d'autre que de le rendre inutilisable. Je doute que ça soit ce que veuille un utilisateur qui cherche à supprimer son compte ...

En fait, faut être transparent dans les conditions générales, à partir du moment où c'est accepté, c'est good.

Arf, ça veut dire qu'il va falloir rédiger des CDU que personne de lira ;) ?

niconathy

En lieu et place de la scie, du pro, du « prof, de l’asso, écrire cpt supr, mettre les commentaires en gris ou tout autre couleur, et les creas une façon de les identifier. Comme ça, tu gardes la continuité, et on sait qu’il ne sert à rien d’ecrire car l’interesse n’est plus inscrit.

ecto1

comment cela se passe sur (par exemple face de book) ? lorsque tu supprime ton compte, seul tes partages sont supprimés, mais pas tes commentaires sur les autres partages. Car au final si on supprime notre compte sur l'air du bois et que nos créations n’apparaissent plus, les commentaires qui vont avec n'ont plus de raisons d'êtres! Mais par contre les commentaires sur les créations des autres ne t’appartiennent plus car elles font partis du débat. et seraient donc toujours visible.

Boris Beaulant
( Modifié )

niconathy ce qui se passe pour l'instant : les comptes ne peuvent pas être supprimés. Ils sont juste désactivés. Et leur contributions sont affichées un nom barré.
Reste que ceci n'a pour l'instant jamais été utilisé, parce que les 3 compte qui ont été supprimés (sur demande de leur propriétaire), n'avaient plus de contributions.

ecto1, sur FB, je pense que si tu supprimes une publication, tu supprimes tous ses commentaires et si tu supprimes un compte, tout ce qu'il a pu faire disparait. Il y a tout de même un chose à indiquer. C'est que la comparaison avec des réseaux comme FB est délicate. LADB ne nourri pas le même objectif. A aucun moment sur FB, ce qu'un utilisateur partage n'a vocation à être du bien commun. Sur LADB, si. Et cette différence compte dans la réflexion sur le droit de suppression.

niconathy
( Modifié )

zeloko , si je comprends bien, sur FB on supprime, sur LDB on desactive. Et la question serait comment supprimer si cela est demandé.
Dans « la vraie vie », une fois la discussion terminée avec une personne, difficile de la supprimer dans son esprit...
seulement sur le net, tout reste... désolé, mais comme je suis plutôt optimiste, je dirai laisse comme ça, mais bon je me doute que c’est trop léger. Je laisse le débat continuer, et je suis de près pour apprendre.

sgaunet
( Modifié )

Je crois que l'approche par les risques est la meilleure comme le signale ecto1.

Ceci dit : Conformément à l’approche par les risques préconisée par le RGPD, il n’est pas obligatoire d’effectuer une AIPD pour chaque opération de traitement. Une AIPD n’est requise que lorsque le traitement est
«
susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques
»

Je n'ai pas testé mais la cnil a fait un logiciel pour aider : cnil.fr/fr/out...ciel-de-la-cnil

Boris Beaulant

AIPD ?

sgaunet

analyse d’impact relative à la protection des données

Boris Beaulant

Ok, merci ;) Mais donc, c'est une analyse qui serait à faire ici ?

sgaunet
( Modifié )

Je pense oui. J'utiliserai le logiciel de la cnil pour voir. Quelques infos supp : kanjian.fr/7-p...s-internet.html

Pour ce qui concerne la suppression d'un compte, faut se poser la question de ce qui est à caractère personnel ? Avis perso :

  • un commentaire : surement (prevoir de supprimer)
  • un plan sous CC : non (pas de suppression)
  • une création : je ne sais pas
    ...
Connectez-vous pour ajouter un commentaire.
547 vues
6 réponses

Publications associées

Licence

Licence Creative Commons
Navigation