Question:
GDPR - Retrait du consentement de l'utilisateur
jvecsei
2018-05-08 01:37:44 UTC
view on stackexchange narkive permalink

J'ai beaucoup lu sur la gestion du consentement des utilisateurs selon le RGPD et un problème que je ne vois pas résolu est la gestion du consentement retiré.

L'utilisateur donne son consentement pour utiliser ses données et enregistrer des données personnelles des informations comme son adresse e-mail, son adresse IP, ...

Si l'utilisateur retire son consentement, je devrais en quelque sorte stocker cette décision dans ma base de données pour m'assurer que j'ai toujours la preuve d'un consentement préalable à quelle date l'utilisateur a retiré son consentement. Mais comment puis-je suivre un consentement retiré si je ne peux plus enregistrer d'informations personnelles pour identifier cette personne. N'est-ce pas une contradiction? Vous avez toujours la possibilité de tout prouver, mais vous êtes obligé de supprimer tous les enregistrements de données enregistrés?

Y a-t-il une partie du RGPD qui me manque, qui résout ce problème spécifique?

Mais si un utilisateur retire son consentement et que vous supprimez toutes ses données, vous n'avez plus aucune raison de stocker des données le concernant. Pourquoi pensez-vous que vous auriez besoin de stocker le fait (et la date) que cet utilisateur a retiré son consentement? Vous devez prouver que vous * avez * votre consentement pour stocker des données, et non que vous * n'avez * pas de consentement (et que vous n'avez donc probablement pas de données stockées). Ou est-ce que je manque quelque chose?
@brhans peut-être que le processeur de données souhaite se protéger contre une allégation ultérieure selon laquelle l'utilisateur n'a jamais donné son consentement, ce qui pourrait être basé sur des preuves que le processeur de données avait précédemment stocké les données de l'utilisateur.
@brhans comme l'a dit Phoog - si des données ont été utilisées lorsque le consentement a été donné et qu'il y a une affirmation ultérieure selon laquelle nous l'avons fait sans le consentement d'un utilisateur donné, nous avons besoin d'une sorte de preuve qu'elles ont été données à une date précise.
Je ne sais rien de la loi, mais d'un point de vue technique, cela semble assez facile à résoudre. Si un utilisateur vous poursuit, il devra probablement s'identifier. Il suffit donc de concaténer leur nom complet et d'autres informations d'identification (nom d'utilisateur? ID utilisateur? Numéro d'identification national? Ce qui fonctionne) et stocker la somme de contrôle SHA256 dans votre base de données, ainsi que la date à laquelle le consentement a été donné ou retiré. Peut-être inclure également l'horodatage dans le hachage (mais l'inclure également à l'extérieur). Et, dans votre accord, exiger de l'utilisateur qu'il accepte de fournir ces pièces d'identité en cas de litige potentiel.
@Mehrdad Je pensais à une approche similaire. Le problème est qu'il s'agirait toujours de "données personnelles" puisque vous êtes en mesure de reconstruire les informations pour identifier un individu. Il ne s'agit que d'une sorte de pseudonymisation qui relève toujours du champ d'application du RGPD.
Eh non, vous ne pouvez pas reconstruire les données. C'est littéralement le but de SHA - vous ne pouvez pas déterminer la chaîne d'origine à partir de la somme de contrôle, mais vous pouvez facilement obtenir la somme de contrôle en utilisant les données - donc si les données ne sont pas disponibles, la somme de contrôle ne signifie absolument rien.
Le problème est qu'il est en quelque sorte reproductible en forçant brutalement, vous pouvez reproduire des données et il est toujours «lié» à un individu. J'ai lu différentes opinions à ce sujet. Bien sûr, ce n'est pas un scénario réaliste, mais il n'y a pas de déclaration officielle spécifiquement pour les données hachées.
N'oubliez pas qu'un hachage signifie une preuve instantanée d'existence, donc lorsque la loi entend empêcher quelqu'un de savoir si vous avez déjà été enregistré sur un site de rencontre, les hachages leur diront si vous l'étiez.
Trois réponses:
phoog
2018-05-08 02:42:41 UTC
view on stackexchange narkive permalink

Cela pourrait être couvert par l'article 6, point 1 c):

  1. Le traitement n'est licite que si et dans la mesure où au moins l'une des conditions suivantes s'applique:

...

(c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

...

Cela pourrait également relever du point 1 (f):

...

(f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont supplantés par les intérêts ou les droits et libertés fondamentaux de la personne concernée qui nécessitent la protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant.

Il est difficile de savoir si un traitement particulier de données relève de l'un ou l'autre de ces points en raison de l'absence de décisions judiciaires pertinentes.

Ce dernier est particulièrement glissant, car si un intérêt est «légitime» est au moins en partie soumis ive, et si un intérêt du processeur de données l'emporte sur les intérêts, les droits ou les libertés de la personne concernée, l'est encore plus.

Je dois également noter que le point 1 (a) est le point qui nécessite le consentement de l'utilisateur , de sorte que les autres points remplacent explicitement le consentement plutôt que d'être requis d'une manière ou d'une autre avec le consentement:

(a) la personne concernée a donné son consentement explicite au traitement de ces données personnelles pour un ou plusieurs des finalités spécifiées, sauf lorsque le droit de l'Union ou d'un État membre prévoit que l'interdiction visée au paragraphe 1 ne peut être levée par la personne concernée;

BenFreke
2018-05-08 08:12:43 UTC
view on stackexchange narkive permalink

Nous avons été aux prises avec un problème similaire. Pour nous, nous devrons stocker l'ID de l'utilisateur, afin que nous puissions les supprimer des sauvegardes si nous devons les restaurer.

Donc, supprimez les données de l'utilisateur (partout) , conservez une référence de l'ID de l'utilisateur supprimé (ou des données supprimées si vous ne faites pas référence via des clés étrangères dans une base de données) pour les futures restaurations afin de pouvoir réexécuter ces suppressions.

Cela concerne, bien sûr, spécifiquement la fonctionnalité "Oubliez-moi" ( article 17), et non la restriction de traitement, etc.

Si vous conservez les données dans des sauvegardes qui nécessitent une nouvelle suppression, vous ne les avez pas réellement supprimées, les données sont toujours stockées et disponibles.
D'accord, mais un grand nombre des «meilleures pratiques» et des conseils indiquent que là où il est impossible de supprimer des sauvegardes, stocker un journal d'audit pour éviter leur création est la meilleure option suivante. Pas parfait mais sur les conseils que nous avons reçus, cela nous rend conforme
Dale M
2018-05-08 05:08:37 UTC
view on stackexchange narkive permalink

Vous n'êtes pas obligé de supprimer les enregistrements, il vous suffit de les anonymiser.

Les utilisateurs sont enregistrés avec un numéro d'identification. Lorsque l'utilisateur 45632 révoque son consentement, supprimez simplement toutes les informations personnelles (nom, e-mail, adresse IP, etc.) qui leur sont associées. Vous pouvez conserver l'utilisateur 45632 dans le système car aucune donnée personnelle ne lui est associée.

Comment cela aiderait-il si quelqu'un allègue que le sous-traitant a traité ses données sans consentement? Le processeur de données ne devrait-il pas être en mesure de montrer que l'utilisateur 45632 est la personne qui fait l'allégation?
oui, je ne vois pas non plus comment cela résout mon problème. Si je ne peux pas prouver que l'utilisateur 45632 est la personne XYZ, cette information n'a aucune valeur ...


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...