1

Discussione: RGPD

Bon, le jour approche où nous allons avoir quasiment les mêmes obligations légales en Europe en matière de données personnelles, nous allons donc pouvoir réfléchir ensemble à l'application dans adHoc du RGPD. (c'est quoi, le nom, en Italien ?)

Alors j'ai bien cherché, lu et relu, puis digéré les commentaires. Et la somme de tout cela, c'est RIEN. Du moins pour les sites web de particuliers.

Tout ce règlement européen ne s'applique, selon moi, qu'aux professionnels et aux grosses associations.

La seule chose qui resterait à faire pour se mettre en conformité avec la législation (mais ça ne concerne pas le RGPD), c'est la gestion des cookies. Et encore, si ces cookies ne servent qu'à assurer le bon fonctionnement du service fourni par le site, il n'y a pas de consentement à obtenir, juste une information que des cookies sont installés sur l'appareil de l'internaute et qu'il peut les détruire comme indiqué dans le mode d'emploi de son navigateur.

Pour le site de généalogie, j'ai ajouté aussi dans le footer que si une personne trouve son nom sur le site, elle peut demander à ce qu'il soit effacé par le formulaire de contact.

Mais la discussion reste ouverte.

2

Re: RGPD

Pour les cookies il y a déjà quelque chose qui marche avec l'adHoc. Il faudra trouver le temps de le réviser un peu et de le rendre disponible.

Pour le reste je vais regarder mieux dans les prochains jours.

Merci à toi pour l'avoir signalé

A++

3

Re: RGPD

J'ai lu, j'ai cherché et pas tout compris... en bref ça comporte quoi à ton avis pour la gestion d'un site web?

4

Re: RGPD

Presque rien !

Question cookies, la réglementation existait avant le RGPD. Il suffit d'informer (dans des conditions d'utilisation, par exemple) que des cookies sont placés sur l'ordinateur du visiteur et qu'il peut les gérer selon le mode d'emploi de son navigateur. Le RGPD prévoit qu'il n'y a pas de consentement/acceptation exprès à obtenir quand les cookies servent à assurer le fonctionnement du site et du service fourni ou à des statistiques anonymisées. Le consentement exprès, c'est pour des cookies servant à un profilage du visiteur pour lui fournir des services adaptés, qu'ils soient gratuits ou payants.

L'enregistrement des logs est autorisé expressément par le RGPD sans consentement dès lors qu'ils sont stockés pour identifier rétrospectivement le responsable d'un comportement illégal. Il faut seulement informer le visiteur de cette collecte de logs pour raison de sécurité.

Ce qui s'applique à tous et là sont concernés en premier les codeurs de solutions internet, c'est la protection des données personnelles dès la conception des produits, services et systèmes et la sécurisation par défaut du système d’information.

Notamment, il faut veiller à ce que les logs ne soient pas publiquement accessibles et que les mots de passe des utilisateurs avec privilège ne soient pas stockés en clair dans la base de données.

5

Re: RGPD

L'enregistrement des logs est autorisé expressément par le RGPD sans consentement dès lors qu'ils sont stockés pour identifier rétrospectivement le responsable d'un comportement illégal. Il faut seulement informer le visiteur de cette collecte de logs pour raison de sécurité.

Peux tu confirmer ça? C'est écrit où?

6

Re: RGPD

Je ne retrouve pas dans le texte sur la RGPD.
Un blogueur a téléphoné à la CNIL, notre autorité française en matière de protection des données personnelles. Il demandait des détails sur l'interprétation de certains textes du RGPD. https://www.kanjian.fr/7-points-declair … ernet.html
Question : doit-on demander un consentement exprès de l'internaute au sujet de l'enregistrement des logs ?
Réponse : OUI si les logs sont conservés à des fins statistiques
                NON si les logs sont conservés pour des raisons de sécurité, pour les étudier en cas d'attaque informatique.

Cette réponse orale sur l'interprétation du RGPD peut avoir été motivée par l'article 23 https://www.cnil.fr/fr/reglement-europe … 3#Section5 qui permet aux États de l'Union européenne de limiter la portée du règlement sur certains points et notamment quand l'objet du traitement concerne :  la prévention et la détection d'infractions pénales.

Voir aussi ces questions-réponses sur le site de la CNIL qui liste les cas où le consentement n'est pas requis, même si l'information reste obligatoire : https://www.cnil.fr/cnil-direct/question/1308

Note : en voulant cliquer sur le dernier lien dans l'aperçu de visualisation, ma page a été remplacée (target="_self") par celle du lien et j'aurais perdu toute ma saisie si je n'avais pas pu compter sur l'extension Lazarus, qui conserve toutes mes frappes). C'est ainsi sur le volet de visualisation, je ne sais pas s'il en est de même sur le post final.

7

Re: RGPD

Bonjour a tous
le RGPD en Italie appelé GDPR (de General Data Protection Regulation)
J'ai lu beaucoup de choses mais il ne se comprend pas bien comme fonction, certains disent qui:

1) Le réglemente il ne s'applique pas à "une personne physique" qui recueille données exclusivement "dans le cadre
d'activité au caracter personnel ou domestique et ensuite sans une connexion avec un activité commercial ou 
professionnel."

2) Autres disent si vous avez un ou plusieurs blogs amateurs auxquels vous consacrez votre temps libre et si vous voulez savoir si la nouvelle réglementation s'applique uniquement aux sites commerciaux ou même à votre site, vous devez savoir que les obligations définies par le GDPR sont déclenchées pour tous sites Web qui recueillent des données personnelles de leurs utilisateurs.

Alors adHoc il me semble que seulement des cookies tecniques, évidemment pas de cookies de profilage. Mais maintenant nous traitons les données (nom et email de l'utilisateur qui qu'il s'inscrit au site ou nous contacte).
La solution je pense,afin d'être en conformité avec RGPD/GDPR, soit de mettre une case non cochée (donc désactivée, en Contactez-nous ou en Connexion/Inscription sur le site ainsi que l'utilisateur devra vérifier en cliquant sur cette case) qui il aura par exemple un message comme celui-ci: "J'ai lu la politique de confidentialité et j'autorise le traitement de mes données personnelles aux fins qui y sont indiquées. Les données personnelles demandées (nom et adresse email) ne seront utilisées que pour répondre à votre message. Ils ne seront pas divulgués ou communiqués à des tiers. Rappelez-vous de ne pas envoyer de données sensibles dans le message. »Évidemment, la« politique de confidentialité »sera l'ancre qui sera liée à la page complète de la politique de confidentialité.

Que pensez-vous?

8

Re: RGPD

Merci Wald

On ne comprend pas encore du tout et en Italie il manque encore un règlement d'application.

Il semblerait qu'il faut donner l'information dans une page dédiée à la politique de confidentialité et enregistrer le consens de l'utilisateur.

Je vais donner une solution dans quelques jours.

A presto

9

Re: RGPD

Bonjour à tous !
Pour le CMS de généalogie TNG, j'ai participé à la mise en place de l'information sur les cookies et la politique de protection des données pour être en adéquation avec le RGPD.

- Un popup sur les cookies.
- Un lien dans le footer et dans le popup vers un texte multilingue sur la politique de confidentialité du site.
- Un texte détaillé sur la politique de confidentialité, qui comporte un lien vers un formulaire de contact pour tout sujet sur la confidentialité.

Le popup des cookies comme l'affichage de la politique de confidentialité, sont optionnels, au choix de l'administrateur.

Dites-moi ce que vous en pensez : http://genealogie.revestou.fr/

10

Re: RGPD

wink Coucou

et si je ne veux pas 'comprendre' est il possible de mettre un bouton pour ne plus voir se popup.


Amicalement
Alain

11

Re: RGPD

Coucou Alain ! Tu n'as pas tout à fait complètement tort. je vais remonter cette demande.
Il existe une extension pour plusieurs navigateurs : "I don't care about cookies" qui te cache n'importe quelle fichu popup de cookie.
https://www.i-dont-care-about-cookies.eu/

Le RGPD, c'était fait pour protéger l'individu, mais au final, tout ce qu'on a pour le moment, c'est une palanquée de popup et des mails par dizaines, sur le sujet, pire que le spam grande largeur.

12

Re: RGPD

Allo Kat.. as tu une solution à adopter pour l'adHoc?

13

Re: RGPD

Je viens de rendre disponible le module Policy (bêta en atteinte de traduction).

Il permet d'afficher le message pour l'utilisation des cookies et de rédiger la page (dans chaque langue activée) pour la politique de confidentialité.

Pour l'utiliser il faut encore placer une boite dans l’entête du site, mais je suppose que dans l'avenir on trouvera de mieux.

Le fonctionnement de certaines options du module est encore à perfectionner mais en générale on avance un peu.

J'ajoute quelques considérations personnelles sur le RGPD (en Italie RGDP).

  • Toutes les sites qui recueillent des données personnelles sont obligés à déclarer le but du traitement

  • Toutes les sites qui recueillent des données personnelles sont obligés à acquérir le consentement du sujet titulaire avant toutes utilisations

L'on considère données personnelles aussi:

1. l'adresse IP
2. l'adresse mail
3. le cookie s'il permet l'identification du visiteur.

Donc pas besoin de acquérir le consentement si on utilise un adHoc à défaut sans modules ou extensions car au moment il ne collecte pas ces informations.

Au contraire on aura besoin du consentement pour permettre l'utilisation des modules:

  • Contact

  • Users

ou de l'extension

  • PunBB.

Au même temps il faudra aussi enregistrer le consentement comme sa révocation.
Tout ça va demander des petites mises à jour aussi pour ces modules là en relation avec le module Policy.

Pour le reste, à ce que je peux constater, la plupart (voir presque la généralité) des sites n'est pas encore à jour avec le cadre du règlement européen, et là l'on parle aussi des sites des institutions publiques, ce qui nous donne encore du temps pour vérifier l'évolution dans l'application de cette loi.   

Il faudra aussi se dédier avec attention à la rédaction de la politique de confidentialité.

Donc testez calmement et amusez vous bien.

14

Re: RGPD

J'ai déjà commencé à traduire. Je te raconterai.

15

Re: RGPD

J'ai installé Policy sur Bambou http://katrynou.fr/ , un adHoc 0.51.2b avec PHP: 7.2.8 chez 1&1.
A propos de php 7, il faut entourer de simple quotes USER_LEVEL ligne 18 de policy.php.
Pour tester, avant de travailler en détail le texte de Politique de confidentialité (que chaque webmestre devrait adapter à son site, à ses idées et à la législation nationale pertinente), j'ai simplement repris celui qui a été rédigé pour le logiciel de généalogie TNG.

L'option de paramètre "Bloquant" marche très bien : on est obligé d'accepter ou de refuser  les cookies, sinon, rien d'autre ne s'ouvre, on reste donc "bloqué" sur le popup. Ce qui est un peu bête, c'est que à ce stade, je ne vois pas la possibilité d'afficher au préalable la page de politique de confidentialité. Cliquer sur le lien de Politique etc nous ramène sur le popup où l'on reste bloqué, alors que la lecture de cette page devrait nous aider à décider, si oui ou non ... Ensuite, que j'accepte ou je refuse les cookies, je n'ai aucun lien pour accéder à cette page de politique etc

Je n'ai pas compris non plus cette histoire de "faire défiler la page". De quelle page s'agit-il ?

Le lien qui marche bien est celui de l'instance nationale qui traite du RGPD et de ses applications. C'est merveilleux que ce soit différencié en fonction de la langue. Mais je crois qu'il manque peut-être une spécification en fonction du pays. Pour un locuteur de langue Française, que va-t-il s'afficher : la redirection vers les instances françaises ou les belges ? C'est peut-être là que la géolocalisation par IP est pertinente.

4 petites remarques encore pour ce premier test pas encore complet (je n'ai pas tout essayé) :
- quand on change les paramètres de couleur du popup, la nouvelle config met un peu de temps à se mettre en place, même en vidant bien le cache et en rechargeant plusieurs fois la page.
- pourra-t-on envisager d'ajouter les icônes et les liens d'autres navigateurs (partie infos sur les cookies) ?
- je pense qu'il faudra traduire "localStorage" dans les fichiers de langue du script (je ne parle pas de ceux du module proprement dit)
- les liens vers les instances nationales ne sont pas en _blank. Si on clique dessus alors que l'on est en pleine "négociation" d'acceptation des cookies, on perd la page et c'est la panique.

16

Re: RGPD

Allô Kat

merci pour tes remarques.

Pour la gestion du message sur le cookie et le traitement de données ce module utilise le script CookieBAR https://cookie-bar.eu/.
Sur la page du projet sont aussi disponibles des explications sur son utilisation et configuration.
Il s'agit d'un projet open-source, et le code source est déjà disponible sur GitHub.
L'auteur propose aussi un plugin pour Wordpress dérivé par son code, qui est bien maintenu et en cours d'évolution.

Aucune de tes remarques ne concernent pas mon code, mais viennent de ce script là.
Il est possible d'apporter des modifications dans les fichiers langues (ils contiennent uniquement du HTML), mais au moment je le déconseille car ce code semblerait en cours de modifications et ça nous obligerait de le refaire à chaque monte de version.

je ne vois pas la possibilité d'afficher au préalable la page de politique de confidentialité

Là tu as raison... il s'agit d'une suggestion opportune qui demandera du code à ajouter.

Pour un locuteur de langue Française, que va-t-il s'afficher : la redirection vers les instances françaises ou les belges ?

Eh bien oui, mais à mon avis c'est pas grave. Je viens de retrouver un lien de téléchargement vers le site de la CNIL sur le site de l’autorité italienne. C'est là https://www.garanteprivacy.it/home/docw … eb/8581268.

Je suppose que les autorités travaillent ensemble pour donner une solution (voir pour arriver à comprendre ??? big_smile), je crois qu'on va arriver à une interprétation partagée du règlement.

Je n'ai pas compris non plus cette histoire de "faire défiler la page". De quelle page s'agit-il ?

Il s'agit d'un option pour accepter le cookie tout simplement avec le défilement de la page (consentement implicite). Si l'utilisateur ne clique pas le bouton "j'accepte" mais il fais défiler la page, il accepte la réception des cookies.

à mon avis cette fonctionnalité serait à utiliser uniquement dans le cas des cookies qui ne demandent aucune acceptation (cookies techniques etc ) car le consentement doit toujours être explicite.

17

Re: RGPD

Je commence à maîtriser. Cela me semble très efficace.
Noter qu'il ne faut pas oublier de positionner la CookieBar dans le header.
Une fois que les cookies sont acceptés ou refusés, on n'a plus accès à la politique de confidentialité ni aux explications sur les cookies. Et je suppose pendant le nombre de jours spécifiés en admin (30 à 365).
Je souhaiterais que ce soit toujours disponible. J'ai donc ajouté dans le pied de page un lien vers policy.php. Mais j'aimerais aussi un lien vers le popup d'infos : quelle est son adresse ?

Par ailleurs, il manquerait peut-être pour le webmestre des commentaires détaillés sur chacune des options.

Ale, je t'ai envoyé par mail les traductions en Français et Anglais du module. l'Allemand va venir.
Si la page de policy.php que j'ai mise sur mes sites te convient, (elle n'est pas copyrightée), je l'ai aussi disponible en Anglais et en Allemand.

18

Re: RGPD

wink Coucou Kat,

peux tu m'envoyer la traduction stp

Amicalement
Alain

19

Re: RGPD

Merci Kat
Allô Alain

je viens de rendre disponible la version 0.50 qui apporte des petites modifications et 4 nouvelles chaînes dans le fichier de langues
(elles sont déjà traduites).

Par ailleurs, il manquerait peut-être pour le webmestre des commentaires détaillés sur chacune des options.

Oui, je suis d'accord mais au moment le panneau admin de la version 0.51.2 ne permet pas d'afficher des popup pour simplifier les explications.
Il y a encore des complications autant que vous disposez de cette version et moi j'ai développé ce module sur la 0.59.5.
Donc on code au minimum, en sûreté, il faudra attendre la version 0.59.5 hmm roll pour améliorer la fonctionnalité du panneau et des modules.

J'ai donc ajouté dans le pied de page un lien vers policy.php

C'est bien fait... moi aussi je vais l'ajouter

Mais j'aimerais aussi un lien vers le popup d'infos : quelle est son adresse ?

ça me fait souvenir le 1000 questions au sujet de l'adresse de la boite du poisson big_smile big_smile big_smile
C'est une popup... elle n'a pas d'adresse!

Au sujet de ton site je propose ces remarques:

1.  pas besoin du bouton pour accepter les cookies sur ton site...
normalement pour le visiteurs adHoc n'utilise que 1 cookie avec des données anonymes.
Donc on n'a pas besoin du consentement du visiteur.
Si on installe le PunBB je ne sais pas... en fait il faudrait comprendre si le forum collecte des informations sensibles, mais je ne rien trouvé sur le site de distribution même si je m'en doute.

Si on a installé le module Contact et Users il faudra bien demander le consentement de l'utilisateur ou du membre déjà inscrit pour la connexion et l'utilisation des services du site (messages et posts dans le forum), car on va connaître ses identifiants (mail, IP etc).
De toute façon le consentement sera à demander dans une page, ce qui n'a rien à voir avec l'acceptation du cookie.

Le module Users enregistre l'IP des visiteurs qui essayent de se connecter ou de créer de comptes faux, mais il n'y pas besoin de demander le consentement (aux hackers ??? aux robots???) pour ça.

L'acceptation des cookies sera plutôt à demander si l'on utilise des services des tiers (voir Google Analitycs etc), mais dans ce cas il faudra ajouter du code pour interdire la génération si l'utilisateur n'accepte pas (voir ici https://cookie-bar.eu/#preventive-block

2. Carte de confidentialité et Formulaire de contact
Ce module demande une mise à jour pour demander le consentement. à mon avis il faudrait préciser que les données (nom et adresse mail) seront maintenu uniquement pour le temps nécessaire à solutionner la question proposée par le formulaire.
Il faudrait aussi préciser le responsable du traitement (c'est à dire... toi!!)

3. Carte de confidentialité et Forum
C'est plus compliqué... avec le Forum on collecte des infos sensibles des membres (généralités, adresse courriel, adresse IP)... il faut préciser le données qu'on collecte et le but de l'utilisation. Il faudrait aussi préciser le responsable du traitement (c'est à dire... toujours toi!!)

Enfin on a encore pas mal de questions à voir.

Autre question.. tu fais comment pour charger des pièces joints dans le forum?

A++

20

Re: RGPD

Pour autoriser le téléversement de fichiers sur le forum, c'est dans la gestion des utilisateurs, onglet Groupe. Et pour chaque groupe (invités, membres, modérateur, admin ...) tout en bas de la page tu choisis si oui ou non il est possible de proposer des fichiers. Si tu veux être le seul à le faire, tu n'actives l'autorisation que pour le webmestre ou l'admin.

21

Re: RGPD

Pour les modérateurs c'était déjà possible Kat, mais il faut utiliser l’éditeur complet (lien "Repondre" en bas de la page du forum).

Du reste je me souviens que tu avais déjà proposé des fichiers en téléchargement dans ce forum

A++

22

Re: RGPD

J'ai essayé la version 40 en locale, ça marche super bien Merci Ale de ton travail

23

Re: RGPD

Ok Waldo

Grazie a te

24

Re: RGPD

Je viens de voir avec Alain. Et on n'arrive pas à ne PAS afficher de lien vers la Charte de confidentialité. Même en décochant la case dans la config, on a toujours le lien dans le popup. Et quand on ne veut pas publier cete "Politique" et qu'on n'a pas complété cette page, on arrivesur une page blanche. Comment supprimer ce lien dans le popup quand on n'en veut pas ?

25

Re: RGPD

Waldo, toi qui as traduit en Italien la Charte de confidentialité, peux-tu me faire parvenir ton texte ou le poster  ici sur le forum ? Merci.