Réglementation RGPD et phpBB

[silenus]

Bonjour.

Je déborde sur un sujet juridique et ne suis pas juriste.

Une nouvelle réglementation va rentrer en vigueur en mai prochain, dite RGPD,
prévoyant entre autres des obligations de mettre en place des "portabilités personnelles des données collectées" et divers dispositions quant aux données personnelles, qui ne semble pas être uniquement applicables aux exploitants qui sont des sociétés commerciales mais aussi aux associations...

Article de vulgarisation
http://www.dossierfamilial.com/consomma ... nger-85793

Texte réglementaire
http://eur-lex.europa.eu/legal-content/ ... 32016R0679

"18-"Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques."


Les utilisateurs phpBB n'étant pas forcément que des personnes physiques, qu'en est-il d'un point de vue de la prise en charge de cette réglementation par le logiciel ? (est-ce prévu ? Certaines fonctionnalités telles supprimer les données sont effectives, ensuite faire une "portabilité" de données, au pire en cas de demande faire un script qui va extraire les données dans la base, tel pour un droit d'accès aux données.)

Merci.

[cosmo14]

très bonne question ! Voilà un sujet d'actualité vraiment préoccupant

[galixte]

Salut,

le RGPD ne sera en pratique pas appliqué avant plusieurs années, c’est un projet colossal que le législateur européen a mis en place, l’interopérabilité ne serait-ce qu’entre les poids lourds du marché (GAFAM, Spootify, Deezer, etc.) va nécessiter quantité d’heures de développement, bref… de longs mois d’attente avec que cela soit effectif. À ce propos Google est très en avance sur le sujet, il suffit de voir ce qui est récupérable depuis sa console « Google Dashboard » et ce depuis au moins 2013 de souvenir.

La ligne que tu mets en gras me laisse à penser qu’il s’agit de l’hébergeur de ton forum non à toi qui en est l’administrateur, mais je ne suis pas juriste aussi je peux me tromper.

Aperçus des outils disponibles pour se conformer au RGPD (GDPR) tous traduits par la Communauté EzCom :

• pour personnaliser les « Conditions d’utilisations » (Terms of use) il y a l’extension « Custom Registration Agreement ». Aussi, l’extension « Privacy policy » permet de venir compléter celles par défaut de phpBB mais pas de les modifier ;
• pour personnaliser la « Politique de vie privée » (Privacy policy) il y a les extensions « Privacy policy » (permettant de modifier le texte), « Privacy protection » (permettant de modifier le texte ou de rediriger les utilisateurs vers une page personnalisée, type sujet ou de son choix) & « JV Privacy Policy and data management tool » ;
• pour ajouter et personnaliser la « Politique des cookies » (Cookie policy) il y a les extensions « JV Privacy Policy and data management tool » & « Privacy policy » ;
• pour autoriser les membres à supprimer leur compte directement depuis le « Panneau de l’utilisateur » (avec ou sans suppression de leurs messages), voir les extensions « Delete my registration », « Delete My Account » & « JV Privacy Policy and data management tool ».

[silenus]

Bonjour.

Salut,
le RGPD ne sera en pratique pas appliqué

Aux dernières évolution, la date de conformité exigée pour le RGPD est toujours fixées au 25 mai prochain https://www.nextinpact.com/news/106294- ... -senat.htm

Il y a un débat sur le site officiel phpbb, New GDPR (General Data Protection Regulation) and phpBB (quelles extensions peuvent pallier, suggestion de développement d'extension, comment d'autres applications web l'ont l'intégré (extensions Drupal...) ... ).

[Zoddo]

La ligne que tu mets en gras me laisse à penser qu’il s’agit de l’hébergeur de ton forum non à toi qui en est l’administrateur, mais je ne suis pas juriste aussi je peux me tromper.

Le responsable du traitement des données, est bien l'administrateur du forum, dans la majorité des cas.

[galixte]

Bonjour.

Salut,
le RGPD ne sera en pratique pas appliqué

Aux dernières évolution, la date de conformité exigée pour le RGPD est toujours fixées au 25 mai prochain https://www.nextinpact.com/news/106294- ... -senat.htm

Il y a un débat sur le site officiel phpbb, New GDPR (General Data Protection Regulation) and phpBB (quelles extensions peuvent pallier, suggestion de développement d'extension, comment d'autres applications web l'ont l'intégré (extensions Drupal...) ... ).

Merci, j'irai lire ce sujet.

La ligne que tu mets en gras me laisse à penser qu’il s’agit de l’hébergeur de ton forum non à toi qui en est l’administrateur, mais je ne suis pas juriste aussi je peux me tromper.

Le responsable du traitement des données, est bien l'administrateur du forum, dans la majorité des cas.

En voilà une mauvaise nouvelle Tu t'appuies sur une affaire précise pour dire cela ?

[Zoddo]

La ligne que tu mets en gras me laisse à penser qu’il s’agit de l’hébergeur de ton forum non à toi qui en est l’administrateur, mais je ne suis pas juriste aussi je peux me tromper.

Le responsable du traitement des données, est bien l'administrateur du forum, dans la majorité des cas.

En voilà une mauvaise nouvelle Tu t'appuies sur une affaire précise pour dire cela ?

Je n'ai pas d'affaire précise en tête, mais par définition, les responsables de traitement des données sont toutes les personnes qui déterminent les finalités des données collectées (à quoi elles vont servir) et les modalités (= les moyens mis en oeuvre pour la collecte + le traitement des données).

Sauf cas de sous-traitance, forum clé en main, etc., le responsable du traitement des données sera donc le webmestre (donc l'administrateur du forum, de manière générale) puisque c'est lui seul qui a accès à la base de données et qui détermine quels données y seront stockés et comment elles seront utilisés.

Disclaimer : Bien sur, c'est juste une information de ma part, sans aucune valeur juridique. Pour avoir une information sûre, il faut se rapprocher d'un expert juridique.

[Manard]

Bonjour,

Je découvre l'arrivée de cette nouvelle réglementation. A l'inscription et lors des posts de messages, l'adresse IP des membres est effectivement collectée, tout comme l'adresse mail qui est le moyen d'informer le membre de l'activation de son compte et par la suite lui permettre de recevoir des avis de MP, suivis de messages.

En réfléchissant il y a d'autres données personnelles qui sont celles publiées par les membres, telles des photos de leur véhicule avec la plaque d'immatriculation visible, certains publient même des photos où on les voit personnellement.

Je sens que nous allons être confrontés à des problèmes difficiles à résoudre. Je ne me vois pas balayer des milliers de posts à la recherche de photos.

Merci pour cette alerte et bonne journée

Bernard

[sylver35]

Je ne me vois pas balayer des milliers de posts à la recherche de photos.

le droit à l'oubli ne peut être total que si le membre recense lui-même tout ce qui le concerne en plus des informations standard.
On ne peut pas incriminer un site pour une omission si on fait soi-même des omissions de nos données.

Ainsi, pour bien se protéger, créer une extension bien adaptée devra conserver le message de demande de suppression des données, mais aussi en amont avertir le membre des obligations et droits pour un oubli total.

[silenus]

RGPD : Un guide pratique pour les développeurs
https://bohzo.developpez.com/rgpd-guide ... eloppeurs/
peut être utile afin de cerner ce qu'il peut manquer à phpbb en terme de fonctionnalités

[F R]

En réfléchissant il y a d'autres données personnelles qui sont celles publiées par les membres, telles des photos de leur véhicule avec la plaque d'immatriculation visible, certains publient même des photos où on les voit personnellement.

Je ne sais pas en quelle mesure des données dites personnelles le sont toujours si c'est le propriétaire qui les publient lui-même.

[Tlem]

Bonsoir.
Je souhaiterais savoir si phpbb-fr à l'intention de mettre en place quelque chose concernant cette nouvelle réglementation, car les jours passent et je reçois régulièrement (je suppose comme tout le monde ici) des mails de différent sites/services indiquant une mise à jour de leur politique afin de correspondre au RGPD.

J'ai lu le sujet sur le forum US, mais il est dit de tout et son contraire et en essayant de lire les différents sujets qui fleurissent un peu partout, il est de plus en plus difficile de faire le tri !

Personnellement, je gère deux forums techniques similaire à celui-ci (l'un est publique, l'autre est privé) et a première vue, ce qui est appelé "collecte de données" se limite à un pseudo, à l'adresse IP et à l'adresse Email de l'utilisateur. Je met totalement de coté les informations "personnelles" écrites dans le profil ou un message puisque l'utilisateur l'aura fait de sa propre volonté et en toute connaissance de l’accès publique à celles-ci (ce qui ne s'apparente pas à de la collecte, mais du partage). Du coup, pour être en accord avec le RGPD, il suffirait de fournir à l'utilisateur un accès aux données le concernant (genre exportation des éléments du profil, de toutes ses IP collectées et de tous ses messages (publiques et privés) et de lui fournir la possibilité de supprimer ou de faire supprimer une partie ou la totalité de ces données s'il considère cela nécessaire.
Maintenant, pour la bonne marche d'un forum technique tel qu'ici et afin de le garder cohérent, il me parait nécessaire de conserver les échanges et donc de rendre anonyme l'auteur des messages. Malheureusement cela peut ne pas suffire si le membre à utilisé un pseudo en rapport avec son identité et que d'autres membres du forum ont écrit celui-ci dans leurs propres messages !!!

Depuis fort longtemps, j'ai installé sur mon forum publique l’extension "Delete My Account", mais à première vue elle n'est pas suffisante puisqu'elle conserve la totalité des messages du forum (a moins que l'on considère ces messages comme des données publique), pour le coup, si phpbb-fr met en place quelque chose, cela pourrait fort probablement correspondre a ce que je devrait mettre en place (tout comme la plupart des membres de ce forum). ^^

Concernant le forum privé, celui-ci n'est utilisé que dans le cadre de l'activité professionnelle de l'entreprise dans laquelle je travail et la seule "collecte d'information" réalisée a l'insu de l'utilisateur est son adresse IP. Mais comme ce forum technique est totalement privé et que le règlement stipule que toutes les données écrites sont la propriété de l'entreprise, est-ce que ce forum est aussi soumis au RGPD ?

[Zoddo]

Bonjour,

Honnêtement, il n'est pas vraiment nécessaire de se prendre à tête avec la RGPD, sauf si vous êtes un très gros forum.

En France, avec la loi informatique et libertés, très peu de sites étaient déjà en règles. Combien de petit sites disposent de mentions légales dans les règles, avec un responsable éditorial/technique/etc. clairement identifié avec un moyen de contact facile d'accès permettant de répondre au droit d'accès/rectification/suppression de données ?

Par expérience, sur les forums de discussion (y compris phpbb-fr), les demandes liées à la loi informatique et libertés concernent seulement des suppressions de messages/comptes (demandes qui ne sont même pas légalement valables dans la plupart des cas, car pas de données personnelles, sans parler de la forme de la demande...).

Si vous n'étiez pas plus que ça inquiété pour la loi informatique et libertés, vous n'avez pas à vous inquiéter pour la RGPD. Les gros sites (de la part desquels vous recevez actuellement des emails) sont obligés de ses mettre en conformité, ne serait-ce parce qu'il y aura toujours quelqu'un (y compris des organismes gouvernementaux, pour les plus gros) qui cherchera à leur foutre la me**e.

Concernant les pseudos dans les citations des messages, il y a eu une discussion à ce sujet sur phpBB.com qui démontrait que ce n'était pas un problème vis-à-vis de la RGPD (je suis pas en mesure de retrouver le lien actuellement).

Concernant l'adresse IP des messages, elle peut (si je me trompe pas) être conserver en invoquant le droit à l'archive prévu dans le RGPD (c'est ce qui permet de conserver les informations nécessaires au fonctionnement du service; par ex. les adresses IP bannies, nécessaire au fonctionnement du système de bannissement pourront être conservées malgrés une demande de suppression de l'utilisateur. De même, si on prend l'exemple d'un site de e-commerce, la liste commandes effectuées par un client seront soumis au droit à l'archive, car elle sont nécessaires au fonctionnement de la société de e-commerce (facturation, gestion des stocks, des garanties, etc.). Une demande de suppression du client ne provoquera donc pas la suppression de ces données qui resteront archivées).

Concernant votre deuxième forum, vu qu'il s'agit d'un forum exclusivement à but professionnel utilisé uniquement par les employés de la société, je ne pense pas que la RGPD s'applique (comme vous le dite, il s'agit d'informations professionnelles appartenant à l'entreprise et traités par elle-même, et non d'informations personnelles). Néanmoins, si vous avez un service juridique, vous pouvez leur demander conseil afin d'être sûr.

[galixte]

Salut,

phpBB.com ne semble pas disposer à modifier son outil pour le RGPD d’après ce que l’on peut en lire dans le message de DavidIQ : https://area51.phpbb.com/phpBB/viewtopi ... 51#p311351. Tout au plus conseille t-il l’utilisation de l’extension de David63 disponible depuis son dépôt de fichiers sur GitHub. Néanmoins, il serait disposé à ajouter une clé de langue pour les traducteurs pour d’adapter le texte affiché afin de se conformer aux lois concernées par la langue de la traduction.

Aussi, lorsque tu dis :

Maintenant, pour la bonne marche d'un forum technique tel qu'ici et afin de le garder cohérent, il me parait nécessaire de conserver les échanges et donc de rendre anonyme l'auteur des messages. Malheureusement cela peut ne pas suffire si le membre à utilisé un pseudo en rapport avec son identité et que d'autres membres du forum ont écrit celui-ci dans leurs propres messages !!!

Il suffit de modifier son nom d’utilisateur avant de supprimer son compte.

Je vais à présent traduire l’extension « Privacy policy », je vous tiendrai au courant lorsque ce sera terminé.

Pour information j’ai trouvé cette page très utile : https://wpmarmite.com/rgpd-wordpress, on peut aisément adapter les recommandations à toute forme de site Web.

[silenus]

Bonjour.

Du coup, pour être en accord avec le RGPD, il suffirait de fournir à l'utilisateur un accès aux données le concernant (genre exportation des éléments du profil, de toutes ses IP collectées et de tous ses messages (publiques et privés) et de lui fournir la possibilité de supprimer ou de faire supprimer une partie ou la totalité de ces données s'il considère cela nécessaire.

Il y a aussi un formalisme de validation de formulaire distinct des CGU concernant l'acceptation du recueil des données personnelles. (expliqué très simplement : je collecte telle ou telle donnée dans tel ou tel but )
Il y aurait aussi un formalisme au niveau de chaque page relevant les données personnelles.
Il peut se poser la question du chiffrement de certaines données, suggérées par la loi (dans un logiciel que j'ai développé, je suis passé en chiffrement AES de bien des données..) le but étant si une personne malveillante entre dans la base par injection SQL par exemple, lui limiter l'accès aux données visées ; mais la loi n'est pas stricte à ce sujet, elle relève de l'appréciation quant à la sensibilité du contenu susceptible d'être enregistré.
Etc.

Je n'adhère pas au raisonnement indiquant que beaucoup de sites ne respectent pas les lois alors il n'y a pas raison de s'en faire. Pour ma part, j'ai informé mes usagers de la fermeture de mon forum au 25 mai jusqu'à ce qu'il soit compatible RGPD.

En France, avec la loi informatique et libertés, très peu de sites étaient déjà en règles. Combien de petit sites disposent de mentions légales dans les règles, avec un responsable éditorial/technique/etc. clairement identifié avec un moyen de contact facile d'accès permettant de répondre au droit d'accès/rectification/suppression de données ?

A mon sens, phpBB répond aux exigences actuelles de la loi informatique et libertés. Pas celles du RGPD.

Par expérience, sur les forums de discussion (y compris phpbb-fr), les demandes liées à la loi informatique et libertés concernent seulement des suppressions de messages/comptes (demandes qui ne sont même pas légalement valables dans la plupart des cas, car pas de données personnelles, sans parler de la forme de la demande...)..

Il y a souvent confusion entre données personnelle (qui permet d'identifier directement ou indirectement une personne : adresse IP, pseudo, email..), et les données rédactionnelles publiées (un texte ou une image publiée en public dans un message du forum) qui relèvent du droit d'auteur.
La légitimité des demandes de tout supprimer relève ensuite des dispositions prises dans les CGU quant à ce qu'il advient du contenu publié, pour peu que le webmaster ait pensé à contractualiser cela.