Suppression de compte

[Ancien]

Bonjour,

Je souhaite simplement supprimer mon compte ainsi que les données lui étant associées.

Bonne journée

[Martin26]

Je souhaite également supprimer mon compte.

btw, pas sûr que l'obligation de poster sur le forum pour cela soit très rgpd.

[Wulfstan]

Aucun rapport avec le RGPD étant donné qu'aucune information liée à vos comptes ne permet de les rattacher à une personne physique identifiée ou identifiable.

[Jeckhyl]

Non mais si tu leur réponds ils vont devoir recréer un compte pour te répondre, c'est ballot .

[Wulfstan]

Quand je leur ai répondu, leurs comptes étaient encore actifs.

[ursule15]

Aucun rapport avec le RGPD étant donné qu'aucune information liée à vos comptes ne permet de les rattacher à une personne physique identifiée ou identifiable.

Benh si, l'adresse IP etant consideree comme une donnee personnelle, et ca c'est certainement present dans les logs.
Et demander la suppression des logs, c'est mission impossible, techniquement deja, puis aussi parce que les logs doivent souvent etre gardees pour d'autres raisons (legales, securite, regulations, et aussi simplement pour le benefice du user).
Du coup, demander la suppression de toutes les infos liees au, ca me parait justifie par GDPR. Et c'est valable sur tous les forums. Et je pense qu'aucun ne s'en soucie vraiment.

[Wulfstan]

Benh si, l'adresse IP etant consideree comme une donnee personnelle, et ca c'est certainement present dans les logs.

Une adresse IP n'identifie en aucun cas une personne physique. Il faut arrêter de tout vouloir mettre sous la bannière RGPD.

[ursule15]

Benh si.
C'en est meme une definition.
Que tu trouves qu'avec une addrese IP on ne peut pas identifier quelqu'un, c'est une chose, et ca peut se discuter.
Mais tu ne peux pas dire que une adresse IP n'est pas une donnee personnelle au sens de GDPR, puisque justement GDPR dit que c'en est une.
C'est dans le point 30 de la regulation:
https://eur-lex.europa.eu/legal-cont...6R0679&from=EN

Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

Tu vas le trouver de maniere plus digeste ici:
https://gdpr.eu/eu-gdpr-personal-data/

Looking back at the GDPR’s definition, we have a list of different types of identifiers: “a name, an identification number, location data, an online identifier.” A special mention should be made for biometric data as well, such as fingerprints, which can also work as identifiers. While most of these are straightforward, online identifiers are a bit trickier. Fortunately, the GDPR provides several examples in Recital 30 that include:

Internet protocol (IP) addresses;
cookie identifiers; and
other identifiers such as radio frequency identification (RFID) tags.
These identifiers refer to information that is related to an individual’s tools, applications, or devices, like their computer or smartphone. The above is by no means an exhaustive list. Any information that could identify a specific device, like its digital fingerprint, are identifiers.

[Bah]

Après, personne les a obligé à poster ici pour effacer leurs comptes. Il auraient pu passer par un mail.

[ursule15]

C'est en partie le probleme aussi. Il n'y a pas de process decrit pour demander a supprimer les infos perso (je viens de m'apercevoir qu'il n'y a meme pas de bouton pour supprimer son compte).
Mais c'est ce que je disais des forums precedemment, rares sont ceux qui vont suivre GDPR correctement. C'est sans doute du au fait que le risque de probleme est assez faible (les infos perso sont mail et IP address uniquement je pense). Donc implementer les droits de l'utilisateur, version GDPR, ce n'est pas fait correctement ici a ma connaissance, mais... evaluation des risques... mouais, ca passe

Les infos donnees par le user (dans les messages) ne sont pas requises par le forum, mais donnees volontairement. Et les admins du forum les enlevent sur demande (enfin ca demande du boulot, j'imagine que c'est fait plutot en best effort, pour rendre service, si l'admin connait le user, circonstances particulieres...).

[Wobak]

C'est en partie le probleme aussi. Il n'y a pas de process decrit pour demander a supprimer les infos perso (je viens de m'apercevoir qu'il n'y a meme pas de bouton pour supprimer son compte).
Mais c'est ce que je disais des forums precedemment, rares sont ceux qui vont suivre GDPR correctement. C'est sans doute du au fait que le risque de probleme est assez faible (les infos perso sont mail et IP address uniquement je pense). Donc implementer les droits de l'utilisateur, version GDPR, ce n'est pas fait correctement ici a ma connaissance, mais... evaluation des risques... mouais, ca passe

Les infos donnees par le user (dans les messages) ne sont pas requises par le forum, mais donnees volontairement. Et les admins du forum les enlevent sur demande (enfin ca demande du boulot, j'imagine que c'est fait plutot en best effort, pour rendre service, si l'admin connait le user, circonstances particulieres...).

Il y a un autre aspect : si quelqu'un se fait hack son compte, il ne peut pas le perdre grâce à cette absence de bouton et de process côté utilisateur.

[ursule15]

Objection, argument fallacieux ! (attention, je sors quand meme du contexte de ce forum, c'est pure theorie ici, je ne pretends pas que ca devrait etre arrange en fonction des arguments que j'avance, parce que tout ca devrait d'abord etre regarde d'un point de vue evaluation de risques, on est quand meme plus dans le cadre du forum CPC).
On ne peut pas ignorer une feature (suppression de compte) qui va au benefice de l'utilisateur sous un pretexte (securite) qui incombe justement a la charge du fournisseur de service.

Ici dans l'exemple:
si quelqu'un se fait hack son compte
CPC doit veiller a ce que cela n'arrive pas ou n'est pas d'impact. Evidemment CPC doit assurer la protection du site et des comptes, mais la personne peut se faire hack son compte en devoir du cadre CPC (sur son PC), et j'imagine que c'est a cela que pense Wobak. Mais des fonctions comme MFA pourrait grandement diminuer ce risque ou forcer des mos de passe robustes (c'est peut-etre le cas deja).

Il faut donc reconsiderer l'argument de depart, peut-etre pas si fallacieux que ca : la securite du compte est faible -> semble overkill pour CPC (MFA) -> du coup pas de suppression de compte automatique.
Par contre, un process doit etre decrit pour une suppression manuelle (ca l'est peut-etre pour CPC, j'ai pas verifie).

[Wobak]

Objection, argument fallacieux ! (attention, je sors quand meme du contexte de ce forum, c'est pure theorie ici, je ne pretends pas que ca devrait etre arrange en fonction des arguments que j'avance, parce que tout ca devrait d'abord etre regarde d'un point de vue evaluation de risques, on est quand meme plus dans le cadre du forum CPC).
On ne peut pas ignorer une feature (suppression de compte) qui va au benefice de l'utilisateur sous un pretexte (securite) qui incombe justement a la charge du fournisseur de service.

Ici dans l'exemple:
si quelqu'un se fait hack son compte
CPC doit veiller a ce que cela n'arrive pas ou n'est pas d'impact. Evidemment CPC doit assurer la protection du site et des comptes, mais la personne peut se faire hack son compte en devoir du cadre CPC (sur son PC), et j'imagine que c'est a cela que pense Wobak. Mais des fonctions comme MFA pourrait grandement diminuer ce risque ou forcer des mos de passe robustes (c'est peut-etre le cas deja).

Il faut donc reconsiderer l'argument de depart, peut-etre pas si fallacieux que ca : la securite du compte est faible -> semble overkill pour CPC (MFA) -> du coup pas de suppression de compte automatique.
Par contre, un process doit etre decrit pour une suppression manuelle (ca l'est peut-etre pour CPC, j'ai pas verifie).

On n'ignore pas la feature, tu peux l'avoir sur demande à un administrateur du forum / site. Si quelqu'un perd se fait pirater son PC / compte du forum, on veut juste éviter de faire disparaître 10 ans d'ancienneté pour une mauvaise blague ou un piratage volontaire.

On en avait déjà parlé, mais y'a plein de choses qui devraient être ajustées sur le forum

[wushu_calimero]

Aucun rapport avec le RGPD étant donné qu'aucune information liée à vos comptes ne permet de les rattacher à une personne physique identifiée ou identifiable.

Édit, j’avais pas vu la réponse d’Ursule, qui a raison (en plus il y a aussi d’autres données: mail, googleID avec les cookies GA…)


Pour info, le fait que CPC ne soit pas,lui même directement destinataire de toutes les données n’empêche pas que d’un point de vue technique il soit possible, « raisonnablement » de les lier à une personne physique (par ricochet via adresses ip, Mac, session id, Google id et autres….)