Question:
Les journaux de serveur sont-ils considérés comme le stockage de données personnelles par site Web (GDPR)?
T.Todua
2018-05-20 22:24:18 UTC
view on stackexchange narkive permalink

Eh bien, presque tous les sites Web ont des journaux IP dans le dossier "/ home / logs /" (qui est stocké par le serveur Web Apache de l'hébergement (ou autre), et non par le CMS de mon site). Dois-je l'indiquer dans notre politique de confidentialité?

c'est une question intéressante, à mon humble avis, étant donné que le RGPD considère les adresses IP comme des «informations personnelles»
Copie possible de [GDPR et enregistrement d'adresses IP] (https://law.stackexchange.com/questions/28603/gdpr-and-ip-address-logging)
@FreeRadical Ce n'est pas un doublon car la question liée se concentre sur la nécessité d'un consentement, tandis que celle-ci se concentre sur le fait de savoir si l'adresse IP est une donnée personnelle.
@Greendrake. Le consentement n'est nécessaire que * si * une adresse IP * est * des données personnelles. S'il ne s'agit * pas * de données personnelles, une réponse parfaitement valable au duplicata serait. "Une adresse IP n'est pas une donnée personnelle pour telle ou telle raison. Par conséquent, aucun consentement n'est requis."
Deux réponses:
Free Radical
2018-05-21 14:18:00 UTC
view on stackexchange narkive permalink

Il découle de la jurisprudence de la CJCE, par exemple C ‑ 70/10 (28 janvier 2010) et C-582/14 (19 octobre 2016), que les adresses IP sont des données à caractère personnel.

Étant donné que mon interprétation de la jurisprudence diffère de l'interprétation offerte par @Greendrake, je vais entrer dans la jurisprudence pertinente un peu plus en détail que dans ma réponse initiale.

TL; DR : Oui, les adresses IP dans le serveur les journaux sont des données personnelles et vous devez déclarer l'enregistrement de l'adresse IP dans votre politique de confidentialité.

Comme je l'ai dit, nous devons examiner la jurisprudence que j'ai mentionnée dans l'introduction pour savoir si les adresses IP sont personnelles données.

Le premier d'entre eux est CJCE C-70/10. En cela, le tribunal conclut que toutes les adresses IP sont des "données personnelles protégées":

Il est constant, premièrement, que l'injonction exigeant l'installation du Le système de filtrage impliquerait une analyse systématique de tous les contenus et la collecte et l'identification des adresses IP des utilisateurs à partir desquelles le contenu illégal sur le réseau est envoyé. Ces adresses sont des données personnelles protégées car elles permettent d'identifier précisément ces utilisateurs. (c'est moi qui souligne)

Puis, en 2016, la CJUE a statué dans une affaire plus étroite CJCE C-582/14 statuant spécifiquement sur la propriété intellectuelle dynamique- adresses :

La cour procède à un certain nombre de délibérations, puis conclut:

Compte tenu de toutes les considérations qui précèdent, la réponse à la première question est que l'article 2, point a), de la directive 95/46 doit être interprété en ce sens qu'une adresse IP dynamique enregistrée par un fournisseur de services de médias lorsqu'une personne accède à un site Web que le fournisseur rend accessible au public constitue des données à caractère personnel au sens de cette disposition, vis-à-vis de ce fournisseur, lorsque ce dernier dispose des moyens juridiques lui permettant d'identifier la personne concernée avec des les données que le fournisseur d'accès Internet possède à propos de cette personne.

Il ressort clairement de ce texte que le tribunal ne conteste ou n'invalide pas la CJCE C-70/10 sur les adresses IP statiques . Le tribunal est très prudent, dans sa décision de souligner que sa décision porte spécifiquement sur les adresses IP dynamiques .

La décision de la CJCE C-70/10 vaut donc toujours adresses IP statiques , ce sont toujours des données personnelles protégées.

Je pense que cette jurisprudence est résumée dans le considérant 30 du RGPD. Ce considérant énumère les identifiants qui peuvent rendre des personnes physiques identifiables:

Les personnes physiques peuvent être associées à des identifiants en ligne fournis par leurs appareils, applications , des outils et des protocoles, tels que des adresses de protocole Internet , des identifiants de cookies ou d'autres identifiants tels que des balises d'identification par radiofréquence. (je souligne).

Puisqu'il découle de la jurisprudence que les adresses IP statiques toujours rendent la personne concernée identifiable, et les adresses IP dynamiques peuvent rendre la personne concernée identifiable, je conclurai, sur la seule base de la jurisprudence, que:

À moins que vous ne puissiez filtrer vos journaux pour exclure les adresses IP statiques. Je pense que vous devez considérer les données personnelles protégées par les adresses IP dans le cadre du RGPD.

Cependant, dans l'arrêt CJCE C-582/14, la décision concernant les adresses IP dynamiques repose sur le fait que le responsable du traitement dispose de moyens légaux pour identifier la personne concernée en connectant l'adresse IP à d'autres données. Le tribunal semble penser que l’accès aux journaux des FAI est le seul moyen de le faire. C'est faux.

En 2015, l'informaticien norvégien Einar Otto Stangvik

a identifié 78 Norvégiens qui semblent avoir téléchargé du matériel abusif

en commençant uniquement par leurs adresses IP.

Stangvik l'a fait en travaillant comme consultant pour le grand journal norvégien VG.

Je connais Stangvik et moi je connais les méthodes qu'il a utilisées. Je les ai essayés moi-même et ils fonctionnent. Stangvik n'avait pas accès aux journaux des FAI, il n'a rien fait d'illagal, et les 78 personnes physiques identifiées uniquement au moyen de leur adresse IP, combinée avec d'autres données auxquelles Stangvik avait un accès légal.

I n'entrerai pas dans les détails, je dirai simplement ceci: si vous savez comment faire cela, accéder à la personne physique lorsque vous connaissez l'adresse IP n'est ni difficile ni fastidieux.

Pour revenir à la question: il découle aussi du RGPD que la journalisation des adresses IP relève de sa définition de «traitement».

Votre politique de confidentialité devrait énumérer toutes les données personnelles les données personnelles collectées par vous-même et par des tiers («sous-traitants» dans la terminologie du RGPD) sur lesquelles vous vous appuyez. Votre société d'hébergement est un tel tiers, et vous devez déclarer l'enregistrement des adresses IP dans votre politique de confidentialité.

Greendrake
2018-05-21 15:10:56 UTC
view on stackexchange narkive permalink

Réponse: Cela dépend.

Cela dépend de si vous avez accès à ces journaux et si vous pouvez pratiquement identifier les personnes réelles auxquelles appartiennent les entrées de journal. - sans employer de détectives et utiliser la science médico-légale.

Deux exemples opposés seraient:

  1. Votre site Web permet l'enregistrement des utilisateurs où ils peuvent fournir leurs noms réels. Lorsqu'un utilisateur connecté navigue sur votre site, les entrées de journal qu'il laisse peuvent être comparées aux enregistrements de l'utilisateur dans votre base de données, ce qui fera de ces journaux des données personnelles, et par conséquent, cela devra être indiqué dans votre politique de confidentialité;
  2. Votre site Web n'autorise aucune entrée des utilisateurs. Ils laissent toujours des entrées de journal avec leurs adresses IP, mais vous n'avez aucun moyen pratique de découvrir les vraies personnes derrière ces adresses. Et même si, en théorie, les services intelligents pourraient enquêter et traquer les personnes, cela ne fait pas des entrées de journal des données personnelles.

Raisonnement

Art. 4 définit les «données personnelles» comme «toute information relative à une personne physique identifiée ou identifiable» . Les adresses IP concernent-elles des personnes identifiables? Ils peuvent (comme dans l'exemple 1) et ils ne le peuvent pas (comme dans l'exemple 2).

Pour approfondir, le RGPD mentionne spécifiquement les "adresses de protocole Internet" comme des données que les personnes " peut être associé à ", ce qui, encore une fois, implique que cela dépend .

Le RGPD également explique que les coûts et le temps nécessaire à l'identification peut être la ligne séparant les données personnelles et anonymes:

Pour déterminer si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier la personne physique, il convient de tenir compte de tous les facteurs objectifs, tels que comme les coûts et le temps requis pour l'identification, en tenant compte de la technologie disponible au moment du traitement et des développements technologiques. le les principes de protection des données ne devraient donc pas s'appliquer aux informations anonymes, à savoir les informations qui ne concernent pas une personne physique identifiée ou identifiable ou aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne concerne donc pas le traitement de ces informations anonymes, y compris à des fins statistiques ou de recherche.

- qui se rapporte à l'exemple 2 ci-dessus où il faudrait dépenser beaucoup d'argent / de temps pour identifier visiteurs anonymes du site Web uniquement par leurs entrées de journal.

Il convient également de noter que le RGPD est une nouvelle loi sur laquelle aucun cas n'a encore été tranché. Les affaires quelque peu pertinentes mentionnées par Free Radical ( CJCE C-70/10, CJCE C ‑ 582/14) ont été décidées sur la base de lois / directives remplacées par le RGPD. Par conséquent, ces cas ne peuvent pas être considérés comme des précédents que les juges suivraient nécessairement lorsqu'ils décideraient des affaires sur le RGPD, mais plutôt comme des cas de référence / d'orientation pertinents.

Une autre raison pour laquelle les juges recréeraient leurs décisions à partir de zéro plutôt que suivre les cas mentionnés ci-dessus est que la technologie avance très rapidement. Alors qu'en 2011, la CJCE C-70/10 parlait de point final "adresse IP", en 2016, la CJCE C-582/14 a dû considérer la différence entre les adresses IP statiques et dynamiques, et spécifier les conditions dans lesquelles ces dernières peuvent être des données personnelles ( "où ... dispose des moyens légaux lui permettant d'identifier la personne concernée" ).

La citation que vous dites est pour «GDPR lui-même» n'est * pas * du GDPR, elle d'un commentaire sur les «problèmes clés» du GDPR rédigé par une entreprise privée (Intersoft Consulting »).
@FreeRadical belle prise. Alors le RGPD ne dit-il rien sur les adresses IP?
Oui. Le considérant 30 énumère les identifiants explicites qui rendent les personnes physiques identifiables: "Les personnes physiques peuvent être associées à des identifiants en ligne fournis par leurs appareils, applications, outils et protocoles, tels que les ** adresses de protocole Internet **, les identifiants de cookies ou d'autres identifiants tels que la radio étiquettes d'identification de fréquence. " (je souligne).
Merci @FreeRadical. «Peut-être» est la phrase clé ici.
Premièrement, vous manquez le point selon lequel le C-582/14 n'est * que * pertinent pour les adresses IP dynamiques, même s'il est * clairement * indiqué dans le texte que vous citez. Deuxièmement, je pense que vous devez vous demander s'il est légal pour le fournisseur de services d'engager un informaticien pour trouver la personne physique associée à une adresse IP - car c'est une manière assez simple de le faire.
Les affaires @FreeRadical comme C ‑ 582/14 fourniraient des conseils aux juges pour décider de véritables cas de RGPD (qui n'existent pas encore), mais ils ne seront pas liés par ces cas, donc les considérer comme des précédents est fondamentalement faux. Les adresses IP statiques sont désormais très rares et disparaissent progressivement. Un _peut_ en effet retrouver la personne par IP après avoir dépensé $$$ dessus, mais cela n'en fait pas des données personnelles - comme l'odeur de vos pieds laissés dans les locaux du processeur ne le ferait pas - même si un chien de détection pourrait vous retrouver.
"Des affaires comme C-582/14 fourniraient des conseils aux juges pour décider de véritables affaires GDPR (qui n'existent pas encore), mais ils ne seront pas liés par ces affaires, donc les considérer comme des précédents est fondamentalement erroné." Dans l'affirmative, pourquoi * vous * citez C-582/14? (Pour être honnête, vous ne nous le dites pas, alors peut-être que vous ne le considérez * pas * comme un précédent (puisque ce serait «fondamentalement faux»). Mais je ne peux penser à * aucune autre * raison de le citer.) J'aimerais également savoir comment vous faites la distinction entre l'utilisation de la jurisprudence comme «guide pour les juges» et «précédent».
Réponse @FreeRadical mise à jour. Ces cas sont basés sur des lois remplacées par le GDPR et ne peuvent donc pas être des précédents du GDPR en tant que tels. Ils méritent d'être cités juste pour donner des exemples de la façon dont les juges ont décidé de ce qui est pertinent à cette question.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...