​Le Règlement Général sur la Protection des Données (RGPD) entre en vigueur aujourd’hui

[Hebus]

Evidemment grosse affaire dans les entreprises, car pour être en conformité c'est un sacré sac de noeuds.

Nous avons eu une formation sur le sujet, très courte et très succincte : en plus de la question des données personnelle, l'entreprise est aussi responsable de la sécurité des données et doit signifier toute fuite d'informations... Une clef USB perdue contenant des informations sur nos clients... un ordi perdu... non encrypté. Donc tous le personnel de l'entreprise est impliqué dans le respect de ce nouveau texte de loi.

Et vu les amendes possibles, ça fait peur à toute entreprise.

Quand on voit les dépenses pour une banque afin de se mettre en conformité par rapport au régulateur dans le domaine des rapports financier et des sanctions... Et tout le business que cela génère afin de s'assurer de la chose et d'éviter les amendes...

On peut se dire que cela représente une opportunité, ça va donner du boulot aux avocats un peu plus et aux sociétés informatique.

[yponomeute]

Je ne vois qu'une seule interprétation au terme personne physique, sa définition officielle :

Au sens du droit français, une personne physique est un être humain doté, en tant que tel, de la personnalité juridique.

A opposer à la personne morale.

S'il y a plusieurs personnes, et pas de structure juridique officielle (association par exemple), on peut parler d'association de fait. Mais la cour de cassation a précisé qu'une association non déclarée ne pouvait être assignée en justice. Donc si on considère qu'on a une "association de fait", la règlementation devrait s'appliquer, sauf que personne ne peut être poursuivi si cette réglementation n'est pas appliquée

[iAPX]

Le débat est clos et c'est logique [...]

Ben non. Cela réclame une précision que je n'ai pas.

«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Cette définition décrit les informations en qualité de moyens (d'identification) mais pas en leur qualité de résultat.

Ainsi, je suis d'accord pour dire qu'une IP est un moyen d'identification. Mais si tu ne disposes pas de la compétence (juridique) pour l'utiliser à cette fin, peut-on dire que cette info a la même portée et que, du même coup, il s'agit d'une donnée personnelle ?

Ce que ne semble pas dire la loi, c'est si elle considère le potentiel intrinsèque du moyen d'identification ou sa réalité effective.

Quoi qu'il en soit, sur ce point, le débat n'est pas clos pour moi. Car cette précision est la définition-même du "plaidable" (ou pas) en cas de litige.

La réponse tient peut-être à la précision > donnée à caractère personnel. Ce qui tendrait à vouloir ne considérer que son potentiel, pas sa réalité objective (d'exploitation).
J'aimerais bien avoir une réponse définitive.

C'est la mienne

Article 4.1:
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Et là:
If the processor has the legal option to oblige the provider to publish additional information which can identify the user who is behind the IP address, this is also personal data.

L'intéressant étant qu'à partir du moment où on a la possibilité légale de croiser d'autres informations avec l'adresse IP (identifiant quelconque, adresse email, etc.) ce qui est fait tout le temps (allez essayer MailChimp ), celle-ci devient une donnée personnelle permettant d'identifier une personne.
Il y a des exception évidemment, notamment pour les logs des serveurs (et heureusement).

[yponomeute]

La fête a commencé http://fortune.com/2018/05/25/google-faceb...forced-consent/

[g4hd]

Concernant MB, il y a par exemple une donnée personnelle qui est "inutile au bon fonctionnement" selon les critères RGPD : la date de naissance.
Cela dit, c'est aussi un moyen de cohésion amicale entre les membres…

[Lionel]

Concernant MB, il y a par exemple une donnée personnelle qui est "inutile au bon fonctionnement" selon les critères RGPD : la date de naissance.
Cela dit, c'est aussi un moyen de cohésion amicale entre les membres…

On ne l'utilise que pour une seule et unique chose, afficher les anniversaires. Tu parles d'une donnée critique.

[nicogala]

Cela dit, c'est aussi un moyen de cohésion amicale entre les membres…

Surtout une assurance préliminaire à tout relation avec une personne mineure contactée par MP

[yponomeute]

Concernant MB, il y a par exemple une donnée personnelle qui est "inutile au bon fonctionnement" selon les critères RGPD : la date de naissance.
Cela dit, c'est aussi un moyen de cohésion amicale entre les membres…

Euh non, elle est nécessaire au bon fonctionnement de l'affichage des anniversaires. Elle ne peut pas être qualifiée d'inutile selon les critères du RGPD puisqu'elle a un but bien précis et identifié.

[iAPX]

La fête a commencé http://fortune.com/2018/05/25/google-faceb...forced-consent/

Oui, ils attaquent les plus gros, pour les amener devant la Justice Européenne, pour que celle-ci donne une lecture plus ou moins définitive du texte de loi, ce qui va alors indiquer clairement les limites ou les bonnes méthodes, car j'ai vu des analyses extrêmement différente de ces textes, donnant lieu à des applications par-dessus la jambe (exemple fabric.io de Google/Alphabet) et d'autres très responsables.

Mais la finalité de ce texte n'est pas qu'on doivent afficher plein de cases à cocher pour des consentement, mais bien qu'on arrête de collecter tout et n'importe quoi dans le dos des gens pour croiser les données et les revendre, comme bien expliqué dans l'article, amenant alors à la disparition des demandes de consentement, inutiles par le fait.

Il semble qu'en Amérique du Nord beaucoup n'aient absolument pas compris cette idée, ainsi que la forme des consentements (et des informations à fournir avec), ainsi que la possibilité de refuser à consentir pour des données qui ne sont pas indispensables à l'usage d'un service et continuer à utiliser ce service!

[Lionel]

Concernant MB, il y a par exemple une donnée personnelle qui est "inutile au bon fonctionnement" selon les critères RGPD : la date de naissance.
Cela dit, c'est aussi un moyen de cohésion amicale entre les membres…

Euh non, elle est nécessaire au bon fonctionnement de l'affichage des anniversaires. Elle ne peut pas être qualifiée d'inutile selon les critères du RGPD puisqu'elle a un but bien précis et identifié.

Alors on va les effacer. Mais je me demande si l'on nous condamnera à une grosse amende pour cela.

[iAPX]

Un point pour ceux qui se compliquaient pour savoir si une Association Loi de 1901 ou une personne physique étaient concernés par la loi si ils opèrent un site Web:

Article 4.7:
‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;

Donc toute entité juridique, personne physique ou morale, aucune exception!

[hellomorld]

Concernant MB, il y a par exemple une donnée personnelle qui est "inutile au bon fonctionnement" selon les critères RGPD : la date de naissance.
Cela dit, c'est aussi un moyen de cohésion amicale entre les membres…

Euh non, elle est nécessaire au bon fonctionnement de l'affichage des anniversaires. Elle ne peut pas être qualifiée d'inutile selon les critères du RGPD puisqu'elle a un but bien précis et identifié.

Alors on va les effacer. Mais je me demande si l'on nous condamnera à une grosse amende pour cela.

Mais ce n'est pas une info obligatoire lors de l'inscription ? De toute façon, si la donnée a une finalité (ici les anniversaires), que l'utilisateur consent à vous la donner, et qu'elle est sécurisée et pas redistribuer à qui, il n'y a pas de problème pour la cnil.

[SartMatt]

Un point pour ceux qui se compliquaient pour savoir si une Association Loi de 1901 ou une personne physique étaient concernés par la loi si ils opèrent un site Web:

Article 4.7:
‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;

Donc toute entité juridique, personne physique ou morale, aucune exception!

Comme ça a été dit plus haut, inutile de s'emmerder avec les versions anglaises du texte, la version française a la même valeur légale : https://www.cnil.fr/fr/reglement-europeen-p...pitre1#Article4 (je ne contredis pas ton interprétation du texte, je dis juste que tant qu'à faire, autant citer la VF).

[yponomeute]

Un point pour ceux qui se compliquaient pour savoir si une Association Loi de 1901 ou une personne physique étaient concernés par la loi si ils opèrent un site Web:

Article 4.7:
‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;

Donc toute entité juridique, personne physique ou morale, aucune exception!

Euh l'article 4 c'est les définitions des termes utilisés, et là tu cites la définition du terme "controller".

Lis le premier alinéa 18 du texte : https://eur-lex.europa.eu/legal-content/EN/...679&from=EN

This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity

[SartMatt]

Concernant MB, il y a par exemple une donnée personnelle qui est "inutile au bon fonctionnement" selon les critères RGPD : la date de naissance.
Cela dit, c'est aussi un moyen de cohésion amicale entre les membres…

Euh non, elle est nécessaire au bon fonctionnement de l'affichage des anniversaires. Elle ne peut pas être qualifiée d'inutile selon les critères du RGPD puisqu'elle a un but bien précis et identifié.

Alors on va les effacer. Mais je me demande si l'on nous condamnera à une grosse amende pour cela.

Mais ce n'est pas une info obligatoire lors de l'inscription ?

Non. Ce n'est même pas demandé dans le formulaire d'inscription, c'est à l'utilisateur d'aller la renseigner ou non dans son profil à posteriori.

De toute façon, si la donnée a une finalité (ici les anniversaires), que l'utilisateur consent à vous la donner, et qu'elle est sécurisée et pas redistribuer à qui, il n'y a pas de problème pour la cnil.

Tout a fait.

[iAPX]

Un point pour ceux qui se compliquaient pour savoir si une Association Loi de 1901 ou une personne physique étaient concernés par la loi si ils opèrent un site Web:

Article 4.7:
‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;

Donc toute entité juridique, personne physique ou morale, aucune exception!

Comme ça a été dit plus haut, inutile de s'emmerder avec les versions anglaises du texte, la version française a la même valeur légale : https://www.cnil.fr/fr/reglement-europeen-p...pitre1#Article4 (je ne contredis pas ton interprétation du texte, je dis juste que tant qu'à faire, autant citer la VF).

Ouaip mais je travaille au quotidien avec la version anglaise, notamment pour échanger avec nos partenaires en Amérique du Nord et en Europe, mais ici j'utiliserais la version Française.

Au passage je pense que je ne pourrais répondre qu'épisodiquement sur cette thread vu la tournure des choses, certains sauront pourquoi.

PS: le site de la cnil est exemplaire sur l'usage des cookies, n'en posant un qu'anonyme pour indiquer ce qu'on a autorisé ou interdit et si on a passé cette étape de consentement.

Ce message a été modifié par iAPX - 25 May 2018, 15:36.

[yponomeute]

Pour les intéressés, le texte officiel est disponible ici dans toutes les langues : https://eur-lex.europa.eu/legal-content/FR/...EX%3A32016R0679

[johnstone]

De toute façon, si la donnée a une finalité (ici les anniversaires), que l'utilisateur consent à vous la donner, et qu'elle est sécurisée et pas redistribuer à qui, il n'y a pas de problème pour la cnil.

Tout a fait.

Il faut encore le prouver...

[SartMatt]

PS: le site de la cnil est exemplaire sur l'usage des cookies, n'en posant un qu'anonyme pour indiquer ce qu'on a autorisé ou interdit et si on a passé cette étape de consentement.

C'est la moindre des choses

Et ils ont aussi le bon goût de n'intégrer aucun outil d'analyse d'audience externe, ils ont leur propre instance Matomo/Piwik, dont on peut supposer qu'elle est configurée conformément à leur guide : https://www.cnil.fr/sites/default/files/typ...ation_piwik.pdf

[hellomorld]

Prouver quoi ?
Si jamais la Cnil débarque chez Lionel, ils verront bien le forum, le formulaire d'inscription…

Par contre dans le cadre de la RGPD, il faut tenir un registre pour chaque liste de données que l'on gère, "la preuve de la bonne foi" est là : on y déclare ce que l'on reçoit comme données, pourquoi, comment. Si des données personnelles se retrouvent dans la nature, les conséquences judiciaires seront alors bien moins importantes que si l'on avait rien déclaré.
Un peu comme avant, mais il fallait faire la déclaration directement à la Cnil, là il suffit de tenir un registre à la disposition de la cnil si besoin.

[yponomeute]

PS: le site de la cnil est exemplaire sur l'usage des cookies, n'en posant un qu'anonyme pour indiquer ce qu'on a autorisé ou interdit et si on a passé cette étape de consentement.

C'est la moindre des choses

Et ils ont aussi le bon goût de n'intégrer aucun outil d'analyse d'audience externe, ils ont leur propre instance Matomo/Piwik, dont on peut supposer qu'elle est configurée conformément à leur guide : https://www.cnil.fr/sites/default/files/typ...ation_piwik.pdf

Je trouve dommage qu'ils préconisent l'utilisation de matomo avec un cookie, alors qu'on peut très bien utiliser matomo avec les logs apache, sans déposer aucun cookie et faire de l'analyse d'audience anonyme.

Par contre dans le cadre de la RGPD, il faut tenir un registre pour chaque liste de données que l'on gère

Obligatoire uniquement pour les structures qui emploient plus de 250 employés.

[johnstone]

Prouver quoi ?
Si jamais la Cnil débarque chez Lionel, ils verront bien le forum, le formulaire d'inscription…

Par contre dans le cadre de la RGPD, il faut tenir un registre pour chaque liste de données que l'on gère, "la preuve de la bonne foi" est là : on y déclare ce que l'on reçoit comme données, pourquoi, comment. Si des données personnelles se retrouvent dans la nature, les conséquences judiciaires seront alors bien moins importantes que si l'on avait rien déclaré.
Un peu comme avant, mais il fallait faire la déclaration directement à la Cnil, là il suffit de tenir un registre à la disposition de la cnil si besoin.

Prouver que ce n'est utilisé que pour cet objet, que la donnée est sécurisée, qu'elle fait l'objet d'audits réguliers, que l'utilisateur a donné son consentement formel pour cela... Regarde un peu ce qui est mis en place sur d'autres sites concurrents (par ex MacG), tu verras que ce n'est pas si évident que tu laisses croire.

[iAPX]

PS: le site de la cnil est exemplaire sur l'usage des cookies, n'en posant un qu'anonyme pour indiquer ce qu'on a autorisé ou interdit et si on a passé cette étape de consentement.

C'est la moindre des choses

Et ils ont aussi le bon goût de n'intégrer aucun outil d'analyse d'audience externe, ils ont leur propre instance Matomo/Piwik, dont on peut supposer qu'elle est configurée conformément à leur guide : https://www.cnil.fr/sites/default/files/typ...ation_piwik.pdf

Je trouve dommage qu'ils préconisent l'utilisation de matomo avec un cookie, alors qu'on peut très bien utiliser matomo avec les logs apache, sans déposer aucun cookie et faire de l'analyse d'audience anonyme.
...

Dans ce cas il faut pseudonymiser les adresses IP (par chiffrement sans les clés coté outils d'analyse) ou un simple sha2(sel-long + adresse IP) ce qui est fonctionnellement équivalent, la force de chiffrement étant celle du sel (avec une limite évidente de 256bits amplement suffisante).

[SartMatt]

PS: le site de la cnil est exemplaire sur l'usage des cookies, n'en posant un qu'anonyme pour indiquer ce qu'on a autorisé ou interdit et si on a passé cette étape de consentement.

C'est la moindre des choses

Et ils ont aussi le bon goût de n'intégrer aucun outil d'analyse d'audience externe, ils ont leur propre instance Matomo/Piwik, dont on peut supposer qu'elle est configurée conformément à leur guide : https://www.cnil.fr/sites/default/files/typ...ation_piwik.pdf

Je trouve dommage qu'ils préconisent l'utilisation de matomo avec un cookie, alors qu'on peut très bien utiliser matomo avec les logs apache, sans déposer aucun cookie et faire de l'analyse d'audience anonyme.

Les stats basées sur les logs Apache sont beaucoup moins précises.

* tu vas mélanger plein de visiteurs, parce que les accès mobiles sont quasiment tous NATés, donc des milliers d'utilisateurs partagent la même IP,
* à l'inverse, tu as plein de visiteurs réguliers qui vont être comptés comme plusieurs visiteurs au lieu de plusieurs visites, parce que les IP changent régulièrement, beaucoup n'ont pas une IP fixe.

Et surtout, en s'appuyant sur un cookie, totalement anonyme, on peut anonymiser les IP qu'on enregistre (la Cnil préconise de tronquer la moitié de l'IP). Et donc n'enregistrer strictement aucune donnée personnelle. Alors que si on veut faire des stats basées exclusivement sur les IP, on est plus ou moins obligées de les garder entières, sinon ça devient vraiment très peu fiable.

Bref, ça permet de faire des stats plus fiables ET en stockant moins de données.

[yponomeute]

Sur le sujet, les collectivités locales brassent des tonnes de données personnelles https://www.lemonde.fr/economie/article/201...03376_3234.html

[marc_os]

Concernant MB, il y a par exemple une donnée personnelle qui est "inutile au bon fonctionnement" selon les critères RGPD : la date de naissance.
Cela dit, c'est aussi un moyen de cohésion amicale entre les membres…

On ne l'utilise que pour une seule et unique chose, afficher les anniversaires. Tu parles d'une donnée critique.

J'en déduis donc que MacBidouille est bien concerné.

Vu de l'extérieur, MacBidouille et MacGeneration font la même chose :
En gros, rédaction de news et d'articles, tests, forum, publicité, annonces perso. (Les deux sites sont donc bien des éditeurs.)
Mais l'un communique clairement sur son engagement à respecter la loi alors que l'autre refuse de le faire quand pourtant on pose la question clairement dans le forum...
J'imagine qu'une question si elle provient de la mauvaise personne est alors considérée comme une attaque personnelle. Pourtant, comme on dit, « il n'y a pas de question idiote, seules les réponses peuvent l'être ». Quant à l'absence de réponse... Comment l'interpréter ?

Ce message a été modifié par marc_os - 25 May 2018, 16:13.

[yponomeute]

J'en déduis donc que MacBidouille est bien concerné.

Alors pourquoi le dire ouvertement et clairement...

C'est plus fort que toi, tu ne peux pas t'empêcher de déverser des critiques Tu es tellement prévisible avec ton "je ne fait que poser des questions".

[SartMatt]

Vu de l'extérieur, MacBidouille et MacGeneration font la même chose

L'un est une entreprise, avec des employés qui travaillent à temps plein pour lui.
L'autre non.

[baron]

Pour le reste, l'équipe est bien consciente de la question et les administrateurs planchent dessus.
(Et ça prendra sans doute un peu de temps, puisqu'à la différence d'autres sites, tout le monde ici est bénévole et participe sur son temps libre.)

Cela dit, vu les pratiques existantes — déjà prudentes et respectueuses des droits des membres —, il ne devrait rien y avoir qui changera à l'usage… Juste du backoffice et une communication explicite sur la politique de confidentialité appliquée.

[raoulito]

Pas d'accord @Sartmatt

"Nous avons 176 679 membres inscrits"
Déja c pas anodin, ensuite chacun des membres a laissé au moins un email, un loggin, un mot de passe et une date d'anniversaire.
@iApx t'expliquerait que c'est vraiment pas anodin du tout, et donc, association, forum neutre ou multinaitonale, nos données persos sont concernées au même titre. Est-il écrit dans la charte que jamais nos données persos ne seront données/vendues à un tiers et qu'elles sont très bien protégées et, bien sur, qu'on peut y avoir accès au moins sur demande?

@baron ben voilà, merci pour la réponse

Ce message a été modifié par raoulito - 25 May 2018, 16:53.