Truc pas rigolo : RGPD

[stan3554]

Dites, j'ai une question concernant nos obligations relatives au RGPD.

Le RGPD s'applique non seulement aux organisations qui traitent des données au sein de l'Union européenne, mais aussi aux organisations qui proposent des biens et des services aux résidents de l'Union européenne, ou qui observent leur comportement. Le RGPD s'applique même si le traitement de ces données a lieu en dehors de l'Union européenne.

Le RGPD s'applique aux données qui permettraient d'identifier directement ou indirectement un individu. Cela inclut des informations telles que les noms, adresses, numéros de téléphone, date de naissance, ainsi que les adresses IP, cookies, informations relatives aux appareils, identifiants publicitaires, informations bancaires, informations de géolocalisation, informations des médias sociaux, préférences des consommateurs, etc.

Je me dis que nous sommes concernés. Ma question : je me trompe ou va falloir faire quelque chose ?

[GFantasio]

Oui,
En gros :
1 - il faut obtenir le consentement express de chaque membre pour stocker ses données d'identification et personnelles.
2 - il faut pouvoir garantir que ces mêmes données sont protégées correctement.

Pour le point 1 :
Je suggère de vider toutes les infos des profils des gens et de modifier le formulaire qui permet de l'enregistrer pour y inclure une case à cocher d'autorisation de stockage de ces données personnelles.

Sinon il faut envoyer un mp , un email demandant à chaque membre d'autoriser ou non le stockage de ses données. En cas de refus = suppression du compte ou vidage du profil.

Pour le point 2 : documenter la sécurité de l'hébergement et des procédures d'accès aux données personnelles réservées aux seuls administrateurs.
AMHA avec ça la couverture devrait être suffisante.

[neroptic]

A ce sujet : http://forums.phpbb-fr.com/discussions- ... 11194.html

[filip63]

Je ne sais rien de ce RG..et de ce qu'il implique vraiment . Mais le problème mérite effectivement d'être soulevé.

A l'inscription les seuls éléments recueillis clairement car fournis par l'impétrant sont le pseudo, l'adresse mail, la date d'inscription.
Ensuite, et ça tout le monde n'en a pas forcement conscience, on peut voir l'adresse IP de la machine sur laquelle est demandée l'inscription. Il suffit peut-être d'en informer le demandeur via le mail systématiquement envoyé pour confirmer la réception de la demande.Il y est précisé que le mot de passe reste inconnu de l'administration.
Tout le reste du profil est ensuite volontairement fourni et/ou accessible par le membre (date de dernière connexion, nombre de messages, contenu des messages etc ...). Il faut peut-être préciser que l'adresse IP pour chaque message est visible de l'administration.

Bref, la solution est peut-être simplement de mieux informer dans le premier mail (systématique puisque automatique) de validation de demande d'inscription que :
- Pseudo, adresse mail, adresses IP d'inscription et des messages sont dans la base de données (et inaccessibles en dehors de l'administration)
- que le forum est un espace public
- que tout ce qui figure dans les messages, notamment ce qui se rapporte à la vie privée du posteur, ne relève que de sa propre responsabilité puisque c'est bien lui qui l'y a mis.

Est ce que ça pourrait répondre à la question ?

Mais peut-être ne sommes nous pas concernés puisque : "Le RGPD crée un cadre juridique unifié de protection des données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants fournissant des biens et services aux personnes résidant sur le territoire de l’Union européenne.", et que nous ne sommes pas une entreprise fournissant des biens ou services


(A noter qu'il arrive que l'adresse mail fournie lors de l'inscription soit mauvaise (je le sais puisque ça génère un message de non remise sur le mail admin). J'ai décidé depuis quelques temps de ne plus valider les demandes d'inscription dans ce cas, d'une part parce que ça continue ensuite à générer des mails de non remise lors des avertissement de réponse ou de mp en attente, et d'autre part parce que ça me prive de tout moyen de contacter le membre.)

[melomane]

Attention la RGPD concerne les données personnelles, qu'elles soient traités à usage professionnel ou pas !
Travaillant actuellement sur un site de vente j'ai du me renseigner sur la chose. En gros comme le dis Fantas' il faut que l'utilisateur accepte le stockage et le traitement des ses données, puisse y avoir accès, qu'il accepte les cookies, il faut mettre en place des procédures, des "registres", en cas de "fuite des données" prévenir l'utilisateur, etc etc, il y des tas de choses à respecter, c'est une horreur... Il semble que ce ne soit pas une chose à prendre par dessus la jambe par contre. Les sanctions peuvent être extrêmement lourdes. "Et en même temps" c'est tellement complexe et dur à appliquer que seul les GAFA semblent avoir les capacités juridiques et financières d'être aux normes actuellement. Il ne faut pas non plus s'affoler, les premiers qui doivent s'en soucier sont les gros sites marchands, qui font de la collecte et du traitement de données massivement.
Cependant comme expliqué sur un site spécialisé :
"pour dire les choses simplement, la règlementation s'applique à toute organisation qui traite des données de personnes sur l'informatique (clients, prospects, usagers, employés etc...) Son champ est donc extrêmement large. En cela la notion de données personnelles est trompeuse. Le règlement régit largement le traitement de données de toute personne identifiable (les données personnelles entendu comme des données de personnes) et pas des données "privées" (ex : un carnet d'adresse intime). En d'autres termes, si vous traitez un nom, un prénom, un email, une photo, un n° de secu, une adresse IP... le règlement s'applique, et vous devez mettre votre traitement en conformité"
Voir ce texte et des video sur ce site (explication à orientation professionnelle )
Voir aussi le dossier de la CNIL qui est déjà assez complet mais peu "boring" à lire.

[FDESVAUX]

Le RGPD s’applique aux entreprises qui font du traitement des données personnelles. Nous ne sommes pas une entreprise, et nous ne faisons aucun traitement. En consequence le RGPD ne s’applique pas a nous. Par contre il peut s’appliquer a notre hébergeur. Je suis en vacances en ce moment a La Reunion. Je rentre fin mai. Je m’occupperai de vérifer ça avec eux.

[GVTahiti]

Profite bien de ton séjour, Francis ... tu y as sûrement plein de choses à y faire sans t'occuper là-bas de tout ce cirque ... mais des autres !!

Te casse pas une jambe, quand même ... t'imagines le cirque ... après, pour en ressortir ... si tu évites la cuisson ... brutale ... bien sûr !

[melomane]

En consequence le RGPD ne s’applique pas a nous.

"pour dire les choses simplement, la règlementation s'applique à toute organisation qui traite des données de personnes sur l'informatique (clients, prospects, usagers, employés etc...) Son champ est donc extrêmement large. En cela la notion de données personnelles est trompeuse.

[FDESVAUX]

Merci Gerald. Sejour idyllique jusqu’a hier : claquage du muscle ischio jambier droit. Forcement c’est moins pratique pour les randos

[rico]

Mince, pas cool
il te reste encore la baignade avec les requins

[FDESVAUX]

Pas cool non, bien raccord avec le titre de ce post

[RV]

Désolé d’apprendre cette mésaventure.
Je te souhaite un bon rétablissement

[rougerie2006]

Bon rétablissement Francis ..

[la feuille]

claquage du muscle ischio jambier droit.

C'est à la mode, en ce moment. ..j'en suis à ma 4eme semaine de convalescence après un claquage du mollet ....profites des cocktails, ça servira d'anesthesiant

[RV]

Oh! Alors bon rétablissement à toi également