Modèle de lettres "RGPD". A voir si ça marche en pratique ? github.com/aeris/gdpr/tr…
Vendredi 12 juillet 2019 à 08:35
/ - Vous regardez trop haut, c'est en dessous qu'il faut lire - /
—
PM
Discussions
Billet - Modèle de lettres "RGPD". A voir si ça ...
Cette discussion est en relation avec le billet suivant :
Cher Guybrush bonjour,
Les données à caractère personnel me concernant telle que mon adresse mail sont protégées par les lois relatives aux données personnelles. Depuis mai 2018, le Règlement européen sur la protection des données (RGPD) s'applique au traitement de mon adresse mail et toute autre information me concernant. www.privacy-regulation.e…
En vertu de l’article 3 du RGPD, les règles prévues par ce texte s'applique à votre entreprise car le traitement de données personnelles est effectué sur le territoire de l'Union européenne, y compris si votre société se situe en dehors de l'Union Européenne. www.privacy-regulation.e…
Dès lors, en tant que responsable de traitement, vous êtes soumis à certaines obligations. En vertu des articles 13 et 15 du RGPD vous devez me fournir certaines informations lors de la collecte de mes données personnelles. Dès lors, en vertu de l’article 15 du RGPD, je vous prie de bien vouloir me fournir toutes les données personnelles me concernant que vous avez, le but du traitement, sur quel fondement et pour quels finalités vous traitez ces données, si vous partagez mes données avec des tiers ou des entreprises situés dans des pays tiers à l'Union européenne, ainsi que l’ensemble des informations mentionnées dans l'article 15. www.privacy-regulation.e…
Par ailleurs, je voudrais connaître le fondement sur lequel vous traitez mes données personnelles (article 6 du RGPD). Si votre traitement est fondé sur mon consentement, pouvez-vous me fournir les preuves de mon consentement explicite et libre telles que prévues à l'article 7 du RGPD. www.privacy-regulation.e…
Selon l'article 12 (3), vous devez répondre à ma demande dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de cette demande. Passé ce délai, je porterai plainte auprès de l'autorité compétente. www.privacy-regulation.e…
Sur le fondement de l’article 17, je souhaite également que toutes mes données personnelles soient détruites de votre base de données (sauvegarde comprise). Mais uniquement après m'avoir communiqué les informations demandées ci-dessus. www.privacy-regulation.e…
Enfin, et au titre de l’article 19 du RGPD, je vous saurai gré de faire procéder à cette suppression auprès de TOUT AUTRE prestataire à qui vous auriez communiqué mes données personnelles, et de me fournir les documents attestant de ces suppressions. www.privacy-regulation.e…
Merci pour toutes ces années sur La Lexpage, mais la RGPD est là donc voilà
Les données à caractère personnel me concernant telle que mon adresse mail sont protégées par les lois relatives aux données personnelles. Depuis mai 2018, le Règlement européen sur la protection des données (RGPD) s'applique au traitement de mon adresse mail et toute autre information me concernant. www.privacy-regulation.e…
En vertu de l’article 3 du RGPD, les règles prévues par ce texte s'applique à votre entreprise car le traitement de données personnelles est effectué sur le territoire de l'Union européenne, y compris si votre société se situe en dehors de l'Union Européenne. www.privacy-regulation.e…
Dès lors, en tant que responsable de traitement, vous êtes soumis à certaines obligations. En vertu des articles 13 et 15 du RGPD vous devez me fournir certaines informations lors de la collecte de mes données personnelles. Dès lors, en vertu de l’article 15 du RGPD, je vous prie de bien vouloir me fournir toutes les données personnelles me concernant que vous avez, le but du traitement, sur quel fondement et pour quels finalités vous traitez ces données, si vous partagez mes données avec des tiers ou des entreprises situés dans des pays tiers à l'Union européenne, ainsi que l’ensemble des informations mentionnées dans l'article 15. www.privacy-regulation.e…
Par ailleurs, je voudrais connaître le fondement sur lequel vous traitez mes données personnelles (article 6 du RGPD). Si votre traitement est fondé sur mon consentement, pouvez-vous me fournir les preuves de mon consentement explicite et libre telles que prévues à l'article 7 du RGPD. www.privacy-regulation.e…
Selon l'article 12 (3), vous devez répondre à ma demande dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de cette demande. Passé ce délai, je porterai plainte auprès de l'autorité compétente. www.privacy-regulation.e…
Sur le fondement de l’article 17, je souhaite également que toutes mes données personnelles soient détruites de votre base de données (sauvegarde comprise). Mais uniquement après m'avoir communiqué les informations demandées ci-dessus. www.privacy-regulation.e…
Enfin, et au titre de l’article 19 du RGPD, je vous saurai gré de faire procéder à cette suppression auprès de TOUT AUTRE prestataire à qui vous auriez communiqué mes données personnelles, et de me fournir les documents attestant de ces suppressions. www.privacy-regulation.e…
Merci pour toutes ces années sur La Lexpage, mais la RGPD est là donc voilà
Dans l'absolu, tu as adressé ta demande à "La Lexpage", donc nous ne sommes pas concernés 
Il n'est pas clair qu'on soit concerné ou non par le RGPD, n'ayant aucune activité professionnelle liée au Lexpage.
Ce n'est pas très clair en réalité : www.notuxedo.com/rgpd-bl…
Cela dit, ça ne dispense pas d'avoir à fournir la liste des données demandées ainsi qu'à garantir l'accès et la modification de ces informations
Je me demande par contre quelles sont les mesures concrètes qu'il faudrait que je prenne pour le RGPD.
Quoiqu'il en soit, au niveau du Lexpage, je stocke :
- Toutes les informations visibles et modifiables dans le profil utilisateur. A l'exception du pseudo, de la date de création du compte et de la date de dernière visite/identification, tout est modifiable/supprimable (y compris l'e-mail, si je dis pas de bêtises). L'utilisateur a donc un accès complet à ces informations (en lecture et en écriture).
- Je ne stocke pas l'adresse IP ou d'autres informations liées au navigateur qui permettraient une identification ou une collecte de données.
- Des cookies sont par contre bien installés sur votre navigateur. Il y en a deux pour Lexpage : le premier concerne l'authentification automatique (si active), et le second concerne la session (contient essentiellement un token attestant de l'authentification une fois que vous êtes loggués, pour la session en cours). Il y a potentiellement un cookie supplémentaire, pour le CSRF, s'assurant qu'un formulaire envoyé à Lexpage provient bien du Lexpage. Il contient une clé à usage unique, non-identifiable.
- En parallèle de ces cookies, il y en a un autre encore, qui sert pour les statistiques de visite. C'est lié à Matomo (l'outil de statistiques). Matomo a été configuré dans son mode "protection de la vie privée", et il est possible de désactiver le cookie (une visite sur la page "A propos" permet de le désactiver "manuellement", mais Matomo respecte aussi le paramètre DoNotTrack du navigateur). La seule "entorse" à la vie privée est sans doute l'injection, dans chaque page du site, d'un identifiant (votre login) transmis à Matomo. Cela permet essentiellement de faire la distinction entre les lexpagiens et les visiteurs "anonymes". Je vais très certainement supprimer cette info un de ces jours, car je peux connaître ce status (loggué/pas loggué) autrement, sans avoir à injecter un login dans la page.
Il n'est pas clair qu'on soit concerné ou non par le RGPD, n'ayant aucune activité professionnelle liée au Lexpage.
Ce n'est pas très clair en réalité : www.notuxedo.com/rgpd-bl…
Cela dit, ça ne dispense pas d'avoir à fournir la liste des données demandées ainsi qu'à garantir l'accès et la modification de ces informations
Je me demande par contre quelles sont les mesures concrètes qu'il faudrait que je prenne pour le RGPD. Quoiqu'il en soit, au niveau du Lexpage, je stocke :
- Toutes les informations visibles et modifiables dans le profil utilisateur. A l'exception du pseudo, de la date de création du compte et de la date de dernière visite/identification, tout est modifiable/supprimable (y compris l'e-mail, si je dis pas de bêtises
). L'utilisateur a donc un accès complet à ces informations (en lecture et en écriture).- Je ne stocke pas l'adresse IP ou d'autres informations liées au navigateur qui permettraient une identification ou une collecte de données.
- Des cookies sont par contre bien installés sur votre navigateur. Il y en a deux pour Lexpage : le premier concerne l'authentification automatique (si active), et le second concerne la session (contient essentiellement un token attestant de l'authentification une fois que vous êtes loggués, pour la session en cours). Il y a potentiellement un cookie supplémentaire, pour le CSRF, s'assurant qu'un formulaire envoyé à Lexpage provient bien du Lexpage. Il contient une clé à usage unique, non-identifiable.
- En parallèle de ces cookies, il y en a un autre encore, qui sert pour les statistiques de visite. C'est lié à Matomo (l'outil de statistiques). Matomo a été configuré dans son mode "protection de la vie privée", et il est possible de désactiver le cookie (une visite sur la page "A propos" permet de le désactiver "manuellement", mais Matomo respecte aussi le paramètre DoNotTrack du navigateur). La seule "entorse" à la vie privée est sans doute l'injection, dans chaque page du site, d'un identifiant (votre login) transmis à Matomo. Cela permet essentiellement de faire la distinction entre les lexpagiens et les visiteurs "anonymes". Je vais très certainement supprimer cette info un de ces jours, car je peux connaître ce status (loggué/pas loggué) autrement, sans avoir à injecter un login dans la page.
PetitCalgonEt les données stockées dans Dropbox (enfin celles jusqu'au septembre 2018)?Les backups ont tous été supprimés (vu qu'ils dataient de septembre 2018
Tu transmets donc à Dropbox la demande de Sysson de supprimer ses données utilisateurs?
), et les nouveaux backups sont stockés chez moi. Vu qu'ils ne vont que jusque J-14, cela signifie que les données ne sont conservées que 14 jours. Donc si je supprime les données de la base "courante", ils ne mettront que 14 jours à disparaitre définitivement Quant à Dropbox, je suppose qu'ils disposent d'un "historique" des fichiers transférés. Je ne sais pas dans quelle mesure "je" suis responsable de ces archives dès lors où je n'y ai plus accès moi-même. Aucune idée de ce que le RGPD dit à ce niveau ^^
SyssonUne question intéressante c'est quid des logs apache/nginx whatever, eux contiennent des adresses IP? Si quelqu'un sait ça m'intéresse^^Excellente question, mais je pense que ça n'est pas couvert par le RGPD, car l'IP n'est pas associable à un utilisateur en particulier (il n'y a pas "d'identification" possible), et ces logs ont une finalité technique uniquement (et une durée de vie limitée). C'est donc une excellente question à poser à un expert RGPD
SyssonUn vrai casse tête cette rgpd, mais je suis bien content que ça force les boites à se poser les bonnes questions et ce quelle que soit leur taille. On a tous à y gagner.Je pense qu'il est en effet illusoire d'espérer que les entreprises se conforment parfaitement au RGPD, tant les implications et difficultés techniques sont nombreuses. Par contre, ça "fixe la philosophie", et ça, c'est une bonne chose. Ca permet aussi d'attaquer assez "librement" n'importe quelle société qui ferait un usage "frauduleux" de ces données personnelles. J'imagine que si on attaque un site web/entreprise pour stockage des IP dans ses logs Apache/nginx, un juge sera vite saisi et tranchera en faveur de l'entreprise, à moins qu'on ne mette en évidence le fait que ces données sont exploitées, partagées ou revendues.