Question:
Comment satisfaire l'exigence de consentement du RGPD pour la journalisation IP?
Pistos
2018-05-17 23:44:20 UTC
view on stackexchange narkive permalink

D'innombrables sites Web sont servis par un logiciel de serveur Web (Apache, nginx, etc.) qui enregistre l'adresse IP source de chaque visite de page Web. Le RGPD considère une adresse IP comme des «données personnelles» soumises au RGPD. Le RGPD nécessite le consentement du sujet pour la collecte ou le stockage des données personnelles (dans ce cas, les adresses IP dans un fichier journal). Comment un propriétaire de site Web est-il censé obtenir le consentement par le biais du site Web si l'acte même de visiter la page du site Web pour obtenir le consentement enregistre les "données personnelles" sur lesquelles le consentement est accordé?

De toute évidence, l'option est à la disposition des propriétaires de sites Web pour configurer leurs serveurs Web pour ne pas enregistrer les adresses IP, mais cela a des implications en matière de sécurité. Ces problèmes de sécurité suffisent-ils à dispenser un propriétaire de site Web d'exiger le consentement pour enregistrer les adresses IP? Un avis visible (sur chaque page, jusqu'à ce qu'il soit rejeté) est-il suffisant?

Comment le RGPD est-il censé être interprété par rapport à la pratique extrêmement courante et répandue de la journalisation d'adresses IP?

(J'ai lu Le RGPD affecterait-il mon propre site Web personnel? et les réponses au moment de la rédaction de cet article ne sont pas suffisamment satisfaisantes. L'article 6, paragraphe 1, ne rend pas la question de l'enregistrement automatique des adresses IP sans consentement clairement acceptable ou non. http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN)

Copie possible de [Le RGPD affecterait-il mon propre site Web personnel?] (Https://law.stackexchange.com/questions/28070/would-gdpr-affect-my-own-personal-website)
Je poserais une question encore plus forte: le simple fait d'avoir un site Web nécessite-t-il de demander le consentement des visiteurs de l'UE? D'après le RGPD: `` traitement '' désigne toute opération ou ensemble d'opérations qui est effectué sur des données personnelles ou sur des ensembles de données personnelles, que ce soit par des moyens automatisés, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération , consultation, utilisation, divulgation par transmission, diffusion ou mise à disposition, alignement ou combinaison, restriction, effacement ou destruction; "Et vous devez utiliser l'IP pour renvoyer la réponse!
Je ne pense pas qu'il s'agisse d'un duplicata de [Le RGPD affecterait-il mon propre site Web personnel?] (Https://law.stackexchange.com/q/28070/957) Cette question concerne la connexion d'adresse IP sur un site Web * personnel *, et l'une des réponses positives est basée sur le fait que le site est * personnel *. Cette question porte sur la journalisation IP pour tout site Web, qu'il soit personnel ou non.
@kozyr. Votre "question plus forte est basée sur le même malentendu que le PO - que le RGPD fait du consentement une exigence obligatoire pour tout traitement de données personnelles. Ce n'est tout simplement pas une compréhension correcte du RGPD.
Deux réponses:
Free Radical
2018-05-18 05:56:45 UTC
view on stackexchange narkive permalink

Dans la question, vous écrivez:

Le RGPD nécessite le consentement du sujet pour la collecte ou le stockage des données personnelles (dans ce cas, les adresses IP dans un fichier journal).

Non, ce n'est pas le cas.

Pour citer Miss Infogeek:
GDPR NE FAIT PAS DE CONSENTEMENT UNE EXIGENCE OBLIGATOIRE POUR TOUT TRAITEMENT DES DONNÉES PERSONNELLES .

Le consentement ( l'article 6 (1) a) est en effet l'une des conditions que peut être utilisée pour se conformer l'exigence du RGPD selon laquelle le traitement doit être licite , mais ce n'est pas la seule condition dont dispose le responsable du traitement pour garantir un traitement licite - il existe des alternatives (avant la liste des conditions "au moins l'une des conditions suivantes" doit être remplie).

Toutes les conditions de licéité du traitement sont énoncées à l ' article 6 du RGPD.

L'une des alternatives est l'article 6 (1) f. Il dit qu'il est légal de traiter des données personnelles si

le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont supplantés par les intérêts ou les droits et libertés fondamentaux de la personne concernée qui nécessitent la protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant. (je souligne)

Comme indiqué dans la question, la journalisation des adresses IP à des fins de sécurité est une pratique extrêmement répandue. Il est légitime de se conformer aux pratiques de sécurité standard. C'est la valeur par défaut, et la plupart (tous?) Des sites Web le font.

I.e. il est légal de faire cela sans consentement (si ce n’est pas le cas, je suis presque sûr que le tollé a été entendu partout sur Internet à ce jour).

Merci pour cette réponse. Cela dépend du fait que la journalisation des adresses IP est "dans le but d'un intérêt légitime", mais je pense que je suis à l'aise de le supposer.
Je le ferai, mais je lui donnerai le temps de voir si quelqu'un d'autre a autre chose à ajouter.
"Il est extrêmement difficile, si vous n'êtes pas des forces de l'ordre, de connecter une adresse IP à une personne physique", peu importe qu'il soit difficile ou facile de connecter IP à une personne physique. Tant que vous pouvez le faire, ce sont des données personnelles. Si vous stockez vraiment IP pour des pratiques de sécurité, cela est conforme au RGPD; mais si vous stockez l'IP pour par exemple suivi de géolocalisation ou diffusion d'annonces géolocalisées alors (sans consentement) ce n'est pas le cas.
"C'est la valeur par défaut, et la plupart (tous?) Sites Web le font." en fait non, si j'ai une page Web de blog privé (page statique e.gg hébergée sur des pages github) et que j'utilise GA pour vérifier qui la lit, alors GA peut collecter l'IP mais certainement pas pour des raisons de sécurité (mais pour des raisons de suivi qui sont non conforme au RGPD sans le consentement de l'utilisateur). Je crois que c'est la raison pour laquelle l'anonimisation IP a été introduite https://support.google.com/analytics/answer/2763052?hl=en
@MarianPaździoch. Je ne comprends pas cette dernière objection. Où puis-je dire que * laisser Google Analytics profiler mes utilisateurs * "est la valeur par défaut, et la plupart (tous?) Sites Web le font". Je pense qu'il devrait être clair à partir de ce paragraphe que j'écris spécifiquement sur "* la journalisation des adresses IP à des fins de sécurité *" et non sur la journalisation des adresses IP à des * autres * fins, y compris le suivi, le profilage et l'analyse.
Je voulais dire que ce n'est ni par défaut ni courant - vous devez explicitement faire quelque chose pour le rendre "pour des raisons de sécurité" (mon exemple est une page Web de blog privé aléatoire qui utilise GA pour vérifier qui la lit)
@MarianPaździoch. Non, vous n'avez pas à faire quelque chose de manière explicite pour activer la journalisation de la sécurité. Lorsque vous configurez Apache pour la première fois, il enregistre les adresses IP * par défaut *. Et il le fait pour des raisons de sécurité (c'est ce qu'il dit dans le manuel). En fait, vous devez avoir des connaissances sur Apache pour désactiver cette journalisation * off *. Lorsque vous configurez un site Web pour la première fois, il n'envoie * pas * d'adresses IP à Google (ou à tout autre site Web externe * par défaut *). Google vous permet d'ajouter très facilement le JavaScript de suivi à votre site, mais vous devez le faire.
@MarianPaździoch une partie du malentendu ici est qu'avoir une page de blog sur github ne crée pas un site Web comme Free Radical utilise le terme; il utilise un site Web existant, dans ce cas github, pour héberger votre blog. Dans ce cas, vous n'avez aucun contrôle sur le serveur Web, sa configuration de journalisation ou ses pratiques de collecte et de traitement des données.
Lag
2018-05-31 12:48:31 UTC
view on stackexchange narkive permalink

Le RGPD considère une adresse IP comme des «données personnelles» soumises au RGPD.

Cela semble être une idée fausse courante.

De GDPR: `` Données personnelles '' désigne toute information relative à une personne physique identifiée ou identifiable (`` personne concernée ''). Une `` personne physique identifiable '' est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à la personne physique, Identité physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

Dans un ensemble particulier de circonstances, pouvez-vous identifier des personnes physiques en utilisant des adresses IP et d'autres données, ou des adresses IP uniquement? Si vous ne pouvez pas, les adresses IP collectées dans ces circonstances ne sont pas des données personnelles.

"un identifiant en ligne" n'est-il pas un "identifiant en ligne"?
@J.Doe C'est possible.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...