RGPD et forums

[c-buck]

Bonjour à toutes et à tous !

Ah... le fameux RGPD... ! Voilà un moment que je potasse dessus et que je parcours le net à la recherche de réponses à mes questions... pas facile me direz-vous, car je n'ai même pas réussi à entrer en contact avec la CNIL malgré mes essais Les discussions à son sujet se font rares alors je me permets de venir solliciter de vos avis sur un "léger" détail à son sujet... Voici ce dont il est question :

Dans un cadre professionnel, je suis chargée d'animer une plateforme numérique sur laquelle des utilisateurs viennent déposer des informations. Ils sont entièrement libres de fournir ce qu'ils souhaitent (du moment que cela entre dans le cadre de l'objectif de la plateforme) car à la base, ces informations (éventuellement personnelles) sont censées être "banales" et ne servir qu'à mieux comprendre le contexte de leurs messages.

Mais force est de constater que certains utilisateurs sont plus bavards que d'autres (ou qu'ils viennent dans des objectifs différents), et que certaines données publiées peuvent être considérées comme "sensibles" car elles peuvent, selon les gens, toucher à des domaines permettant d'en déduire leur religion, leur orientation sexuelle, leurs opinions politiques, et j'en passe.

Après réflexion, j'en suis arrivée au constat que, dans notre cas, la mise en conformité avec le RGPD est équivalente à celle que pourrait potentiellement prendre celle des forums, comme celui sur lequel nous nous trouvons actuellement.

Or personne ne semble se soucier des forums... je me demande donc ce qu'il en va des données publiées dans ce genre de cadre ? D'un point de vue administration, doit-on se mettre en conformité avec cette réglementation ? Doit-on faire un PIA lorsque des jeunes mineurs sont utilisateurs, et que des données sensibles sont susceptibles de circuler dessus... ? Etc. etc.

Si vous avez une idée ou un avis là-dessus, je suis preneuse, alors n'hésitez pas

Merci d'avance pour vos contributions et à bientôt,
Alice.

 

[EasyExpat]

Salut,
La RGPD (ou GDPR ... super de ne pas mettre les mêmes acronymes ou pas dans le même ordre ) vise essentiellement les entreprises qui font de l'argent avec les données des utilisateurs (au moins dans l'esprit du législateur). A mon sens le but essentiel est le "droit à l'oubli" longtemps ignoré par Google ou autre Facebook.
Quelques mesures simples permettant à l'utilisateur de supprimer ses données et la mention explicite dans les CGU de comment le faire et surtout ce qui est fait des données devrait suffire (au moins à court terme).
A mon avis la jurisprudence devrait rapidement fixer un cadre à ces règles qui semblent actuellement s'appliquer de manière quasi identique à Google ou aux petits sites de quelques dizaines de vues par jour.

 

[c-buck]

Bonjour EasyExpat, et merci pour cette réponse !
Ce point de vue est intéressant, et j'espère qu'il en sera ainsi !
J'ai fini par trouver un formulaire de contact pour la CNIL après les avoir sollicités par l'intermédiaire de Twitter. Je suis curieuse d'avoir leur positionnement au sujet de notre plateforme ! J'essaierai de vous tenir informés le cas échéant

 

[céline bonardot]

Bonjour C-Buck,

As-tu eu des retours de la CNIL ? J'ai également un forum sur 2 de mes sites et le même problème avec des personnes un peu trop bavardes !

 

[c-buck]

Bonjour Céline !

Non, je n'ai malheureusement pas (encore?) eu de réponse de la CNIL.
En revanche j'ai depuis (re)lu l'intégralité du texte en me penchant point par point aux différentes obligations et je suis tombée sur ce paragraphe intéressant. Le point e) me semble particulièrement en adéquation avec le cas des forums :

1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.

2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie:
[...]
a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;
[...]
d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;
e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;
[...]

Qu'en penses-tu ?


J'ai d'ailleurs vu sur un site (http://www.cil.cnrs.fr/CIL/spip.php?rubrique421) des exemples de mentions à ajouter, dont l'une concerne un "champ de saisie de texte libre". Pourquoi ne pas ajouter cela quelque part afin de rappeler aux utilisateurs que la publication d'informations sensibles est à leurs risques et périls et que, surtout, nous ne les demandions pas à la base... ? :

Information à faire apparaître à l’ouverture d’une zone de saisie permettant à un tiers d’enregistrer des appréciations et commentaires sur d’autres personnes que lui-même.

"Les personnes disposent d’un droit d’accès aux informations contenues dans cette zone de texte. Les informations que vous y inscrivez doivent être PERTINENTES au regard du contexte. Elles ne doivent pas comporter d’appréciation subjective, ni faire apparaître, directement ou indirectement des données de santé, les origines raciales, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales ou les mœurs de la personne concernée."

 

[céline bonardot]

Hello,

Effectivement le paragraphe correspond à peu près à nos "besoins'.
Pour le message informatif, si je mets ça sur le forum Bricoleur du Dimanche, je pense que ça va être un peu lourdingue.
Je vais plutôt rajouter le blabla CiL dans la charte du forum que les users sont l'obligation théorique de lire avant de s'inscrire. Si tu as besoin de t'en inspirer, elle est là https://www.bricoleurdudimanche.com/forums/faq/la-charte-des-forums.html
Je la complète cet après-midi en bidouillant l'info fort pertinente que tu as trouvée.
Et on va se dire que la CNIL n'a pas que ça à faire de surveiller des sites non GAFA !

 

[c-buck]

Super, j'y jetterai un œil alors, merci !
Bon de toute façon j'actualiserai ce topic si jamais la CNIL me répond prochainement. Mais effectivement, vu ce qu'ils ont déjà à traiter actuellement, je pense qu'on a un peu de marge pour ce qui est de nos cas particuliers et de nos relatifs "petits" sites & forums

 

[unionfm]

Bonjour,
Est ce qu'une entreprise de sécurité et de gardiennage est concernée par le RGPD ? C'est une entreprise
Merci à vous.

 

[EasyExpat]

Bonjour,
Est ce qu'une entreprise de sécurité et de gardiennage est concernée par le RGPD ?

Oui, si elle a des données sur ses clients.

 

[unionfm]

Ok très bien, merci. Quelle est la démarche à suivre dans ce cas ?
Merci d’avance pour votre retour.

 

[EasyExpat]

Le mieux est d'avoir des conditions générales visibles et consultables, (et les faire signer par les clients) leur indiquant l'usage qui est fait de leurs infos perso, et leur possibilité de les modifier/supprimer.

 

[unionfm]

Ok super!
Merci beaucoup pour votre retour.
Excellente journée.

 

[dudo]

Bonjour

quand est-il d'un blog s'il vous plait ? car si l'on sans tient à cette réglementation, on se doit d'avertir explicitement les visiteurs d'un site internet du devenir de la récolte de données.


à partir du moment où il y a un simple formulaire de contact sur un site avec des données récoltées (email, nom...) même de manière très temporaire ou pas du tout.

il faudrait (me semble t-il) indiquer quelques mentions qui servent à avertir les internautes qui l'utilisent, non ?

Par exemple :
les données fournies (email et nom ...) utilisées par l'intermédiaire de ce formulaire « Contact »
servent uniquement à vous répondre et aucune des données ne sont conservées.


Qu'en pensez-vous ? Merci de vos avis

 

[EasyExpat]

Qu'en pensez-vous ? Merci de vos avis

Globalement j'en pense qu'on a fait énormément de bruit pour pas grand chose. La GDPR a été faite en priorité pour lutter contre les GAFA. Au final on voit que ceux ci se sont rapidement adapté (notamment Facebook qui vous indique que si vous ne voulez pas qu'on collecte vos données, vous n'avez qu'a partir... ou WhatsApp qui collecte tout de même vos coordonnées via vos amis).
Par contre j'ai reçu de nombreux emails de tout petits site, qui parfois on seulement une cinquantaine d'utilisateurs...