Question:
Le RGPD et l'EPR concernent le maintien de la liste noire des e-mails
MikeMoy
2020-07-28 19:29:07 UTC
view on stackexchange narkive permalink

Notez qu'un appel d'utilisateur YIVI avait précédemment déclaré que vous pouviez stocker un hachage de l'adresse e-mail de l'utilisateur pour éviter les exigences du règlement général sur la protection des données (GDRP) et de la directive ePrivacy (EPD). Ceci est faux car les adresses e-mail hachées sont toujours considérées comme des informations personnelles en vertu de la réglementation car il est toujours possible pour le responsable du traitement d'identifier l'adresse e-mail réelle associée à la valeur hachée, c'est-à-dire que le responsable du traitement a toujours des informations personnelles stockées sur l'utilisateur. Les données pseudonymisées sont toujours considérées sans équivoque comme des données personnelles dans le cadre du RGPD, comme indiqué au considérant 26.

Le considérant 26 du RGPD déclare: «Les données personnelles qui ont fait l'objet d'une pseudonymisation, qui pourraient être attribuées à une personne physique par l'utilisation de les informations doivent être considérées comme des informations sur une personne physique identifiable. "

Selon le RGPD & EPD, une adresse e-mail hachée ou non hachée peut être considérée comme une information personnelle. GDPR & EPD nécessite le consentement de l'utilisateur avant de stocker les informations personnelles d'un utilisateur.

Les sites Web ont besoin d'un moyen de mettre sur liste noire les utilisateurs malveillants, c'est-à-dire d'ajouter l'adresse e-mail des utilisateurs à une liste noire pour les empêcher de se connecter au site.

De même, lorsqu'un utilisateur supprime son compte sur un site Web, son adresse e-mail peut être ajoutée à une liste noire pour empêcher l'ouverture d'un autre compte avec la même adresse e-mail pour diverses raisons de sécurité et de gestion.

Sous GDPR, un utilisateur a le droit d'être oublié et peut demander que ses informations personnelles soient supprimées.

Sommes-nous autorisés à conserver l'adresse e-mail des utilisateurs dans une liste noire s'ils demandent que leurs informations personnelles soient supprimées? fort>

associé https://law.stackexchange.com/questions/37882/google-adwords-banned-my-account-can-i-request-complete-deletion-under-gdpr/37916
Remarques: a) bien qu'ils soient pertinents, les considérants ne sont pas des dispositions d'un règlement; (b) la directive 2002/58 / CE n'est pas pertinente, mais l'acte d'habilitation dans la juridiction applicable peut l'être; (c) un hachage ne correspond à des données personnelles que s'il peut être combiné avec d'autres données dont dispose le responsable du traitement, pour identifier une personne physique spécifique, donc si vous vous débarrassez de l'adresse e-mail mais conservez le hachage, le hachage en lui-même n'est pas des données personnelles. - J'ai implémenté exactement cette solution pour le même problème; et (d) le droit à l'effacement n'est pas absolu et comporte des exceptions / exemptions, y compris des dérogations nationales. Où es-tu?
@Sam Ce serait pour l'Irlande où nous sommes soumis à la Commission irlandaise de protection des données (DPC). Utilisez-vous MD5 pour le hachage?
Deux réponses:
SJuan76
2020-07-28 20:01:22 UTC
view on stackexchange narkive permalink

GDPR & EPD nécessite le consentement de l'utilisateur avant de stocker les informations personnelles d'un utilisateur.

Faux.

Le consentement de l'utilisateur est l'un des moyens qui justifie le stockage informations, mais il y en a d'autres.

Vous pouvez consulter art.6 pour voir les différentes raisons qui permettent de stocker des informations personnelles.

Dans ce cas, il semble raisonnable de le justifier au titre du paragraphe f

(f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont supplantés par les intérêts ou les droits et libertés fondamentaux de la personne concernée qui nécessitent la protection des données personnelles, en particulier lorsque la personne concernée est un enfant.

Bien sûr, cela signifie que les données doivent être utilisé à cet effet. Éviter les spammeurs et autres utilisateurs bannis serait un tel objectif, mais vous devez vous assurer de ne pas envoyer ces informations commerciales d'adresse e-mail ou même de voeux de Noël.

Dans tous les cas, soyez prudent avec tout ce que vous boutique. Si avec l'e-mail vous avez stocké plus d'informations, cela pourrait être interprété comme excessif et au-delà de la portée du paragraphe f. Par exemple, imaginez stocker "l'utilisateur a écrit des déclarations nazies" expliquant pourquoi l'e-mail est interdit; Les lois de l'UE sont très restrictives concernant le stockage d'informations sur les croyances politiques ou religieuses.

C'est la bonne réponse. J'utilise des hachages lorsque je me souviens d'oublier. L'avantage de ne stocker que le hachage d'un e-mail au lieu de l'adresse e-mail réelle est qu'il n'y a aucun moyen d'envoyer accidentellement un message de Noël.
@SJuan76 pourquoi les intérêts des utilisateurs ou les droits et libertés fondamentaux sont-ils supplantés par une liste noire?
@MikeMoy Parce que c'est ce que dit la loi.
@SJuan Je ne pense pas que le GDRP soit une loi, c'est un règlement que chaque pays européen transforme en loi à travers la législation locale de chaque pays. Les lois de chaque pays peuvent être légèrement différentes les unes des autres, c'est-à-dire que les lois en vigueur dans le GDRP ne sont pas uniformes entre tous les pays européens. En ce qui concerne votre réponse, quelle clause spécifique de la loi stipule qu'une liste noire des e-mails a priorité sur les intérêts des utilisateurs ou les droits et libertés fondamentaux?
@MikeMoy "pourquoi les intérêts des utilisateurs ou les droits et libertés fondamentaux sont-ils supplantés par une liste noire?" - ils ne le sont pas. "c'est un règlement que chaque pays européen transforme en loi à travers la législation locale de chaque pays". Non, c'est ainsi que fonctionnent les directives de l'UE. Les réglementations de l'UE telles que le RGPD s'appliquent directement.
richardb: "ils ne le sont pas" ... êtes-vous en mesure de détailler pourquoi vous dites cela?
@MikeMoy Il est difficile d'imaginer des circonstances dans lesquelles un tribunal jugerait que le maintien d'une liste noire d'e-mails constituerait une violation des libertés fondamentales, ou même un régulateur pense qu'il vaut la peine de prendre des mesures. Vous ne savez pas avec certitude, mais vous n'avez pas non plus à distancer l'ours.
@richardb Je présume que si elle allait au tribunal, le tribunal déciderait une fois de savoir si le système de liste noire était une violation des droits à la vie privée des utilisateurs et cette affaire constituerait alors une référence légale pour toutes les listes noires. Je ne pense pas qu'il faudrait physiquement aller devant les tribunaux à chaque fois. La plupart des pays ont un organisme nommé par le gouvernement qui s'occupe de la protection des données et de la vie privée à ma connaissance, donc je dirais qu'ils ont mieux à faire que de s'en prendre aux personnes qui enfreignent la loi.
@MikeMoy Il y a tellement de violations flagrantes du RGPD et de violations de données signalées que les régulateurs ont mieux à faire que de transpirer les petites choses.
@richardb, ce serait une terrible stratégie à long terme pour une plate-forme de violer le RGPD en pensant que les régulateurs sont trop occupés à faire appliquer la loi à leur égard, à défaut si les utilisateurs de votre plate-forme découvrent que vous traitez illégalement leurs données, je suis sûr que vous verrait un impact négatif, peut-être que les utilisateurs ne vous feraient plus confiance, peut-être que certains de vos utilisateurs vous poursuivraient en justice pour en tirer profit. Je ne suis pas assez stupide pour ignorer la loi.
@MikeMoy Une plate-forme inquiète devrait appeler le régulateur avec la requête et investir dans des conseils juridiques compétents si elle est toujours préoccupée.
Décalage. Je ne pense pas qu'une petite plate-forme devrait avoir à prendre des conseils juridiques pour une chose aussi courante que les listes noires ont été utilisées traditionnellement tout au long des années avant le RGPD sur de nombreuses plates-formes. Il devrait être de notoriété publique à ce stade, les exigences qui les entourent. Cependant les retours en ligne semblent être très variés, ce qui me fait penser que les légalités ne sont pas clairement définies pour les personnes.
"L'utilisateur a écrit des déclarations nazies" serait probablement couvert par la "prévention du crime" en France ou en Allemagne, où l'utilisation de l'insigina nazie est explicitement illégale.
@MikeMoy "Je ne pense pas qu'une petite plate-forme devrait avoir à prendre des conseils juridiques pour une chose aussi courante que les listes noires" - nous devons traiter la loi telle qu'elle est, pas comme nous pensons qu'elle devrait être. J'essaie d'offrir des conseils pratiques - vous pouvez vous aider vous-même, assez facilement si mon expérience d'aujourd'hui est quelque chose à dire. Vous pensez que "les aspects juridiques ne sont pas clairement définis". Vous semblez être en désaccord avec le consensus apparent ici. Pourquoi ne pas faire ce que j'ai fait et contacter votre autorité de protection des données? Cela ne vous coûtera que du temps.
@MikeMoy - Le droit et les tribunaux européens ne fonctionnent pas sur la base de précédents comme celui-là. C'est une chose de common law. Dans l'UE, un juge n'est en aucun cas tenu de prendre en compte les décisions des autres juges.
@Davor Aucun juge n'est obligé de statuer sur la base des décisions d'autres juges, d'où l'expression land mark case. Un cas de repère, c'est quand un juge rend une décision qui place un nouveau président de ce qui s'est passé auparavant. Notez que l'un des principes fondamentaux de tout système judiciaire est d'avoir une cohérence dans les décisions, c'est-à-dire qu'il est courant pour un juge de statuer sur la base de décisions antérieures pour des affaires similaires. C'est ainsi que nous obtenons la cohérence des décisions judiciaires.
@MikeMoy - Je ne sais pas qui "nous" sommes dans votre commentaire. Un juge hongrois se fout de ce qu'un juge belge a décidé. Ils s'en foutent probablement de ce qu'un autre juge de la même ville a décidé. La cohérence est obtenue en clarifiant les lois, et c'est le travail du pouvoir législatif et non judiciaire.
@Davor haha ​​clarifiant les lois, c'est au juge d'interpréter la loi. Certaines lois ont des centaines d'années, ces lois sont très lentes à changer, les normes sociétales changent beaucoup plus rapidement que la loi écrite.
@MikeMoy - encore une fois, de quelle juridiction parlez-vous? Ce que vous dites est tout simplement faux en Europe. Nous ne sommes pas obsédés par nos constitutions comme ils sont évangéliques comme ils le font aux États-Unis, et littéralement tout le monde a le droit de demander des éclaircissements au gouvernement. Souvent, une loi sortira, puis un organe susceptible d'être touché par cette loi demandera des éclaircissements et le gouvernement la publiera dans quelques semaines ou quelques mois au pire.
Je ne pense pas que quiconque puisse revendiquer une autorité générale ici, MikeMoy et @Davor peuvent être de juridictions différentes, mais je suis en Angleterre; nous avons la common law ET étions dans l'UE, et jusqu'à la fin de cette année (au moins) le droit de l'UE reste aussi directement valable et applicable qu'avant notre sortie en janvier. Il pourrait donc certainement y avoir un précédent contraignant lié à la protection des données ici.
Lag
2020-07-28 20:05:07 UTC
view on stackexchange narkive permalink

L'article 17 du droit à l'oubli, alias le droit à l'effacement, n'est pas absolu.

En supposant que vous ayez légalement enregistré l'adresse e-mail, si l'adresse e-mail est nécessaire aux fins pour lesquelles vous avez collecté ou traité d'une autre manière alors vous n'êtes pas obligé d'effacer l'adresse e-mail sur demande.

Il me semble que vous avez un «intérêt légitime» en vertu de l'article 6 (f) à stocker l'adresse e-mail - s'il s'agit de données personnelles. Une adresse e-mail n'est pas nécessairement une donnée personnelle.

( Votre droit à la liberté d'expression, en ce qui concerne ce que votre plateforme publie / sert au public, peut être pertinent, en auquel cas le droit d'effacement ne peut pas être appliqué.)

GDPR & EPD nécessite le consentement de l'utilisateur avant de stocker les informations personnelles d'un utilisateur.

GDPR ne pas nécessitent un consentement. Le consentement est l'une des six bases légales (voir article 6) pour le traitement des données à caractère personnel.

L'EPD ne semble pas pertinente dans le contexte. Vous ne souhaitez pas commercialiser ces adresses e-mail. Vous ne souhaitez pas stocker de données sur leurs appareils.

[modifier]

J'ai contacté le bureau du commissaire à l'information pour obtenir des conseils. L'ICO est l'autorité britannique de protection des données. Le conseil était:

  • Si vous pouvez justifier la nécessité de conserver l'adresse e-mail sur la liste noire, il est légal de la conserver

  • Les droits d'opposition et d'effacement ne sont pas absolus et peuvent être refusés dans certaines circonstances, par exemple lorsque l'organisation peut justifier qu'il est nécessaire de conserver les données

  • Un processus automatisé de refus des demandes d'effacement dans le contexte est licite à condition que vous puissiez justifier le refus de chaque demande

Je vous recommande de demander conseil pour vous satisfaire de votre situation et de vos préoccupations particulières.

Lag: dans mon scénario ci-dessus, l'e-mail des utilisateurs serait collecté lorsqu'ils s'inscriraient avec un compte sur une plate-forme. Si l'utilisateur ne respecte pas les conditions de la plate-forme, son adresse e-mail serait ajoutée à une liste noire pour l'empêcher de se connecter. Si l'utilisateur supprimait son compte en demandant un droit d'effacement, son compte serait supprimé dans un délai d'un mois calendaire, conformément au exigences du RGPD car je n'ai pas besoin de conserver leur compte ni je ne le souhaite. Cependant, je dois toujours conserver les e-mails des utilisateurs sur la liste noire pour les empêcher d'enregistrer un nouveau compte avec la même adresse e-mail.
@MikeMoy Oui, vous devez tout supprimer si les données ont été (bêtement) collectées sous * consentement *. Mais si les données ont été collectées dans le cadre d'un * intérêt légitime *, elles peuvent * s'opposer * à un traitement ultérieur (article 21) et éventuellement demander leur suppression (article 17). Cependant, vous pouvez invoquer des «motifs légitimes impérieux» (Art 21 (1)) ou des «motifs légitimes impérieux» (Art 17 (1) (c)) pour refuser l'objection / la demande d'effacement. Aux fins de l'application d'une interdiction, cela vous permettrait de conserver l'adresse e-mail (ou une version pseudonymisée de celle-ci, comme cela peut être requis par le principe de minimisation des données).
Merci @amon pour la réponse détaillée. En règle générale, lorsqu'un utilisateur s'inscrit pour un compte sur une plate-forme, il est invité à lire les conditions générales et les politiques de confidentialité / cookies et de confirmer qu'il est d'accord avec ce qu'il lit. L'utilisateur acceptera alors et consentira ainsi au contenu de ce qui précède. Il s'agit du processus typique d'enregistrement sur 99,9% des plates-formes. Connaissez-vous un cas particulier où une entreprise refuse à chaque utilisateur le droit de supprimer une demande afin de maintenir une liste noire d'e-mails au motif de «motifs légitimes impérieux»?
@MikeMoy Accepter les conditions d'utilisation ou une politique de confidentialité ne constitue pas un consentement valide selon l'article 7 du RGPD. La plupart des types de traitement de données personnelles sont basés sur un intérêt légitime ou des obligations légales, et non sur un consentement. Je suis presque sûr que StackOverflow conserve votre adresse e-mail + dernière adresse IP si vous êtes banni. Et j'entends souvent des histoires sur des sites Web qui refusent carrément de supprimer les comptes interdits, mais je pense que c'est illégal. (Pour clarifier: conserver les données nécessaires est probablement OK, refuser catégoriquement une demande d'effacement n'est pas OK.)
@amon donc pour prendre le cas de StackOverflow que vous avez mentionné .... si un utilisateur banni demande que son adresse e-mail + dernière adresse IP soit supprimée avec une demande d'effacement, StackOverflow doit-il se conformer?
@MikeMoy Si vous êtes inquiet, consultez votre équivalent local du Bureau du commissaire à l'information du Royaume-Uni pour obtenir des conseils. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/. Les directives de l'ICO sont que vous pouvez refuser une demande d'effacement si "la demande est malveillante dans l'intention et est utilisée pour harceler une organisation sans véritables buts autres que de provoquer des perturbations."
@Lag, je crois comprendre que chaque demande doit être considérée au cas par cas, c'est-à-dire que vous ne pouvez pas définir une politique générale pour tous les utilisateurs en ce qui concerne les demandes GDPR. Donc, pour déterminer si "la demande est malveillante dans l'intention et est utilisée pour harceler une organisation sans but réel autre que de causer des perturbations". vous auriez à examiner manuellement la demande, c'est-à-dire qu'il serait presque impossible de programmer un système automatique où la liste noire serait en mesure de remplir son objectif pour chaque utilisateur sur la liste noire.
@MikeMoy 1. Les adresses e-mail ne sont pas nécessairement des données personnelles, donc dans le contexte le RGPD n'est pas pertinent par rapport à celles-ci. 2. Pourquoi pensez-vous que des révisions manuelles sont nécessaires? Il n'y a aucune différence entre une personne et une machine suivant un processus standard qui détermine si une adresse e-mail doit figurer sur une liste noire et si une demande d'effacement est refusée ou respectée.
Lag 1) Je pense que les adresses e-mail non hachées peuvent être utilisées pour identifier une personne via Google en recherchant son e-mail, également en plus de cela, les gens utilisent souvent leur vrai nom dans le cadre de leur adresse e-mail. Je pense que les adresses e-mail hachées sont des informations personnelles en raison du considérant vingt-six du RGPD. 2) Comme chaque demande GDRP doit être considérée au cas par cas, programmer un ordinateur pour rejeter les demandes équivaudrait à une politique globale pour tous les utilisateurs, je ne vois pas comment on pourrait programmer un système d'examen automatique au cas par cas qui ne correspond pas à une politique générale, surtout si vous essayez de rejeter des demandes
@MikeMoy s'il vous plaît voir ma modification.
Décalage. La raison étant que la plupart des sites Web ne recueillent pas suffisamment d'informations au stade de l'inscription, c'est-à-dire uniquement le courrier électronique et le mot de passe de nombreux sites Web de nos jours, parfois même pas un mot de passe. Si vous programmez un script de décision automatisé, vous n'auriez pas suffisamment de points de données pour rejeter les demandes GDRP des utilisateurs, c'est-à-dire sur la base de votre adresse e-mail et de votre mot de passe, je rejette votre demande GDRP. Si vous examinez manuellement, vous demanderiez des informations supplémentaires afin de pouvoir faire une évaluation éclairée dans leur demande.
Laissez-nous [continuer cette discussion dans le chat] (https://chat.stackexchange.com/rooms/111173/discussion-between-lag-and-mikemoy).


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...