Question:
Les annotations internes sur les comptes utilisateurs relèvent-elles du RGPD?
deceze
2019-06-26 17:23:17 UTC
view on stackexchange narkive permalink

Sur une plate-forme telle que Stack Exchange ou tout autre site de type forum modéré , dans lequel des modérateurs spécifiques ont accès à des informations de compte que les utilisateurs réguliers n'ont pas, et dans lequel lesdits modérateurs peuvent faire annotations sur un compte à des fins de modération, le RGPD est-il pertinent pour lesdites annotations d'une manière ou d'une autre? «Annotation» signifie ici simplement tout message texte arbitraire qu'un modérateur ou un employé peut joindre à un compte pour référence future, par ex. pour suivre les mauvais comportements persistants.

Le titulaire du compte a-t-il le droit de voir lesdites annotations ou de demander leur suppression ou leur modification? En pratique, cela serait contre-productif pour les modérateurs, car cela empêcherait leur capacité à modérer efficacement la plate-forme.

Est-ce que tout autre type de métadonnées, comme par exemple les clés de chiffrement générées et attachées au compte, serait soumis au même type de divulgation? Sinon, pourquoi serait-ce différent?

Plusieurs opinions à ce sujet peuvent être trouvées dans les commentaires sous la réponse qui a suscité cette question: https://meta.stackoverflow.com/a/386385/828193
Quatre réponses:
Michael Kay
2019-06-26 19:18:50 UTC
view on stackexchange narkive permalink

IANAL.

(1) Le RGPD est certainement pertinent.

(2) Il s'agit certainement de "données personnelles" selon la définition de l'article 4 du RGPD.

(3) La conservation de ces données est probablement légale en vertu de l'article 6, section 1 (a) (consentement) - à condition que les conditions générales du site indiquent clairement que l'utilisateur en s'inscrivant consent à ce que ces informations soient conservées

(3) L'article 14 est certainement tenu de divulguer que les informations existent et de dire comment elles sont utilisées.

(4) L'article 15 stipule que les personnes concernées ont le droit de voir les informations et savoir quels destinataires ou catégories de destinataires ont accès aux informations (je ne sais pas s'il suffit de dire simplement "modérateurs", ou si les modérateurs doivent être identifiés).

(5) Je ne vois aucune raison pour laquelle les obligations en vertu des articles 16, 17 et 18 concernant la rectification, l'effacement et la restriction du traitement ne sont pas pertinentes.

C'est exactement le type de situation que le RGPD est conçu t o adresse. Si vous limitez le service disponible à certains utilisateurs en fonction d'un enregistrement de leur comportement ou des jugements des modérateurs, ils ont absolument le droit de savoir et un droit de recours.

Qu'en est-il du conflit que cela crée avec la capacité de maintenir le service? Si les modérateurs annotent les comptes avec "probablement un compte de marionnettes de chaussettes de XYZ" et autres, et que le titulaire du compte peut voir ces informations et savoir éviter d'utiliser leurs comptes de marionnettes de chaussettes car ils ont été "découverts"… cela rend ce type de modération plus ou moins impossible. C'est juste "pas de chance"?
Trouvez-moi l'exemption du RGPD qui s'applique, ne me dites pas seulement que vous pensez qu'il devrait y en avoir une.
Pour commencer, je ne peux pas clairement interpréter l'article 4 comme indiquant clairement qu'il s'agit de * "données personnelles". Je dirais que cela dépend fortement de ce que dit exactement cette annotation. Si elle dit «c'est John Doe», eh bien, oui, bien sûr… Si l'annotation dit simplement «le compte a tendance à être actif à minuit», comment ces données sont-elles personnelles ou identifient la personne de quelque manière que ce soit? Cela me semble très gris.
La question porte sur les "annotations sur un compte" et je supposais que les titulaires de compte étaient des personnes physiques identifiables. Vous pouvez remettre en question cette hypothèse si vous le souhaitez, mais dans de nombreux cas, ce sera vrai.
AFAIU si le titulaire du compte est une personne physique est quelque peu hors de propos. L'article 14 dit "Informations à fournir lorsque des données personnelles n'ont pas été obtenues de la personne concernée". Une annotation est-elle créée par un modérateur "données personnelles" (comme décrit à l'article 4), et doit-elle donc être fournie? Au mieux, la définition de l'OMI est trouble.
Cette analyse n'est pas convaincante.
@deceze "le titulaire du compte peut voir ces informations et savoir éviter d'utiliser ses comptes marionnettes chaussettes" - mission accomplie, sûrement?
@AndrewMorton Pas s'ils commencent à utiliser d'autres comptes encore non détectés.
Lorsqu'un patient demande son dossier de santé mentale, le professionnel qui le traite peut le désinfecter. À la fois pour protéger les notes d'évaluation professionnelle («quand je lui pose des questions sur ses années d'école, il est vague, peut-être qu'il ment sur ce qu'il raconte») et pour protéger la vie privée des autres parties prenantes («j'ai eu un entretien avec la mère de la patiente et elle dit qu'il s'est toujours comporté de façon étrange ... "). IIRC il y a une clause expliquant que les droits GDPR ne peuvent pas être utilisés pour violer les droits d'autrui.
Il est extrêmement peu probable que le consentement soit la base de ce type d'informations, il est beaucoup plus probable qu'il s'agisse d'intérêts légitimes. La divulgation serait vraisemblablement refusée au motif légitime que cela porterait atteinte aux droits et libertés d'autrui.
Je ne vois aucun tribunal raisonnable décider que StackExchange a le droit de discriminer entre les utilisateurs sur la base des informations qu'il considère qu'il refuse de divulguer à ces utilisateurs. C'est exactement le genre de comportement que le RGPD est censé empêcher. Ce serait probablement admissible si les données sont objectives et vérifiables et utilisées de manière non discriminatoire, mais le fait de retenir des spéculations informelles et non vérifiées saisies par des modérateurs est complètement hors de propos.
@deceze Je suppose que votre confusion quant à savoir s'il s'agit de données personnelles vient du fait que vous faites référence à des comptes plutôt qu'à des utilisateurs. "deceze est une marionnette de notDeceze" est toujours des informations sur vous, la personne derrière le deceze de compte, et donc des informations personnelles.
@Magisch Donc, cela ne dépendrait-il pas au moins fortement de ce qu'il y a exactement dans cette annotation? Si les informations en elles-mêmes, ou même en conjonction avec d'autres informations non directement personnelles, ne permettent à personne de vous identifier personnellement, comment sont ces «données personnelles»? Encore une fois, un exemple de cela serait une annotation du type "chipote fréquemment dans les commentaires", ou quelque chose du genre. Cela "identifierait" environ la moitié de la base d'utilisateurs de SO. Donc, à tout le moins, les annotations pourraient être nettoyées de manière sélective si demandé (voir @SJuan), non?
Je cherche un peu plus de raisonnement sur le point n ° 2 de Micheal; "certainement" n'est pas vraiment convaincant en soi.
@deceze iirc non, car _toutes_ informations me concernant (ou le titulaire du compte / compte comme moi) sont des données personnelles. Même «Magisch a mangé un raisin une fois» ou «ce compte a de nombreux drapeaux futiles» est PI. La distinction opérationnelle n'est pas ce que sont les informations, c'est juste que c'est _à propos de moi_ Le site Web est déjà supposé m'identifier parce que mon compte m'identifie, via divers autres éléments de la pile d'informations sur moi. À ce stade, l'annotation attachée au compte en fait une information personnelle à mon sujet.
Parce que, lorsque vous consultez mon profil (affichez des informations sur moi, magisch, pas la moitié de la base d'utilisateurs), l'annotation "chipote fréquemment dans les commentaires" vous dit quelque chose sur moi spécifiquement, car elle est attachée à mon profil, qui m'identifie par mon email , ip, etc.
@Magisch D'accord, alors la deuxième partie de ma question: qu'en est-il des autres métadonnées attachées à votre compte qui ne sont utilisées qu'en interne comme nécessité pour faire fonctionner le système, comme les clés de chiffrement, ou les clés étrangères vers des groupes d'autorisations et autres? Cela semble relever de la même définition, mais il est certainement déraisonnable de l'exposer de quelque manière que ce soit. Il doit donc y avoir une limite quelque part. *Où est-ce?
Laissez-nous [continuer cette discussion dans le chat] (https://chat.stackexchange.com/rooms/95445/discussion-between-magisch-and-deceze).
amon
2019-06-27 14:17:23 UTC
view on stackexchange narkive permalink

Ces annotations de compte sont clairement des données personnelles, et devraient être divulguées dans le cadre d'une demande d'accès à une personne concernée.

Les données personnelles sont toute information relative à une personne concernée identifiée ou identifiable (cf. 4 (1)). Cela signifie que les données personnelles ne couvrent pas seulement les PII telles que les noms ou les coordonnées, mais également toute information liée à ces informations. Les annotations de compte sont clairement liées à ce compte et font donc partie des données personnelles du titulaire du compte.

Le droit d'accès Art 15 n'est pas conditionnel . Le responsable du traitement doit fournir toutes les données personnelles et n'a aucune base pour retenir des données personnelles. Le RGPD annule toute politique de confidentialité que le responsable du traitement pourrait autrement utiliser.

Le RGPD connaît les limitations suivantes au droit d'accès:

  • Conformément à l'article 15 (4), accès aux données personnelles «ne porte pas atteinte aux droits et libertés d'autrui».
  • Conformément à l'article 12 (5), un responsable du traitement peut refuser de donner suite à des demandes «manifestement infondées ou excessives».
  • L'identité de la personne concernée doit être raisonnablement vérifiée pour une demande. Lorsque l'identité ne peut pas être vérifiée, une demande peut être refusée.

La vérification que la personne qui fait la demande est la personne concernée pour ce compte ne sera pas un problème. Affirmer qu'une telle demande serait excessive est également très douteux.

Mais les droits et libertés d'autrui offrent un argument possible. Par exemple, cette base a été utilisée dans un cas pour refuser l'accès à des enregistrements de vidéosurveillance à partir d'un système de métro, au motif que la divulgation de l'emplacement des caméras menacerait la sécurité et donc la liberté des autres utilisateurs du métro. Mais cet intérêt de sécurité publique devrait être mis en balance avec l'intérêt de la personne concernée à accéder, qui dépendrait de la raison pour laquelle la personne concernée demande l'accès. La mesure dans laquelle ces arguments sont acceptables dépend principalement des autorités de contrôle compétentes.

Ici, il peut être possible d'exclure les notes de compte lorsque ces notes impliquent également d'autres personnes concernées. Mais cela devrait être décidé au cas par cas. Ni l'inclusion complète ni l'exclusion générale des notes ne semblent légales. La décision reviendrait au délégué à la protection des données du responsable du traitement.

Des arguments similaires s'appliquent à l'effacement ou à la rectification des données, mais ces droits sont plus limités que le droit d'accès. L'existence d'un droit à l'effacement dépend également de la base juridique sur laquelle les données personnelles ont été collectées. En cas d'intérêt légitime, il peut y avoir un intérêt légitime supérieur à conserver ces données et à refuser la demande d'effacement de la personne concernée.

mag
2019-06-27 14:46:22 UTC
view on stackexchange narkive permalink

Clause de non-responsabilité obligatoire: ce n'est ni un avocat, ni un expert en droit et réglementation du RGPD.

J'ai été curieux à ce sujet et j'ai creusé. Il existe certaines exemptions au droit d'accès dans certains États membres. Pour l'argumentation ici, j'ai utilisé le Royaume-Uni comme État membre pertinent car c'est là que se trouve la liaison de SE avec l'UE.

L'analyse citée ici provient du Bureau du commissaire à l'information.

Pas d'exemption générale pour les secrets commerciaux.

En règle générale, il n'y a pas d'exemptions pour l'article 15 du RGPD "Droit d'accès". Cela signifie qu'en l'absence d'autres exemptions spécifiques dans le droit national, chaque bit de données à caractère personnel (c'est-à-dire les données liées au compte) devrait être divulgué, même si la divulgation de ces données porterait préjudice ou révélerait les secrets commerciaux du responsable du traitement. La directive européenne sur les secrets commerciaux (2016/943 / UE) ne permet pas spécifiquement de l'utiliser pour porter atteinte aux demandes d'accès aux données.

Les annotations contenant les PI d'autres utilisateurs

Au cas par cas, la loi sur la protection des données de 2018 prévoit une exemption spécifique pour les données personnelles contenant des données personnelles ou l'identité d'une autre personne concernée.

Dans ce cas, cela s'appliquerait probablement aux annotations faisant référence à un autre utilisateur, telles que "Magisch a conspiré avec TotallyNotMagisch pour promouvoir le service MagischWeb à travers leurs réponses".

Pour de telles annotations, la divulgation pourrait probablement être refusée au cas par cas sur la base du droit à la vie privée de l'autre personne.

S'agit-il même d'un PI?

Ceci est intéressant, car d'après une lecture simple de la loi, il est évident que les annotations concernant spécifiquement un utilisateur équivaudraient à des informations personnelles sur cet utilisateur. Cependant, une décision récente de la CJCE a rendu cette distinction moins claire. Récemment, dans YS, M, and S v Minister for Immigratie, Integratie en Asiel , le tribunal a jugé que les résultats du traitement des données d'une personne par un agent (un formulaire contenant des recommandations et une analyse juridique concernant la demande de résidence d'une personne aux Pays-Bas) ne constituaient pas à proprement parler des données personnelles et ne devaient pas être divulguées dans le cadre d'une demande de droit d'accès.

Je ne prétends pas comprendre le contexte complet et la décision préliminaire ici, mais il me semble que la question de savoir quelle part des résultats du traitement PI est elle-même PI n'est toujours pas tranchée de manière exhaustive dans les litiges et donc pas gravé dans la pierre. Je ne serais pas surpris si d'autres exemptions étaient supprimées de la définition pour des situations similaires.

Langage large et violation des droits d'autrui

L'article 15 4) stipule:

Le droit d'obtenir une copie visé au paragraphe 3 ne doit pas porter atteinte aux droits et libertés d'autrui.

Je n'ai aucune idée de la façon dont cela affecte ce que je écrit ci-dessus, et je n'ai trouvé aucune décision judiciaire ou contestation sous cet angle, mais j'en déduire que dans des situations spécifiques où une demande est faite de toute évidence de mauvaise foi dans l'intention de nuire ou de harceler les modérateurs qui font l'annotation ou les modérateurs en général , cela pourrait être invoqué pour refuser au cas par cas des parties spécifiques ou des annotations entières.

De plus, il serait probablement possible de faire valoir que la révélation d'annotations spécifiques pourrait avoir un impact négatif et endommager la gouvernance de l'échange de piles et le travail bénévole de ses modérateurs.

Je ne sais pas jusqu'où cela va et encore une fois je n'ai trouvé aucune analyse juridique à ce sujet, mais cela semble être quelque chose à considérer à la fin.

Rui Freitas Serrano
2019-06-28 15:21:24 UTC
view on stackexchange narkive permalink

Eh bien ... je vais essayer de faire de la mienne une question simple, car dans ce cas précis (à mon humble avis), une longue réponse avec une mention détaillée des articles du RGPD ne fera que semer la confusion dans la confusion. des données personnelles (collecte; stockage; accès; traitement; partage) se déroule dans le cadre d'un «objectif» et d'une «portée» donnés qui doivent être respectés par une base légale documentée applicable et défendable.

Par conséquent, si et où Les «annotations» (internes ou externes) contiennent des données personnelles, la personne concernée doit en être informée.

Si ces annotations sont vitales pour le service rendu et que la personne concernée peut s'y opposer (ce qui peut même pas être le cas), alors le sujet DAta doit être informé que le retrait / l'opposition à l'annotation rendra le service non livrable.

En termes de DSAR, il n'est pas obligatoire d'informer les données Sujet de ce que les annotations lisent ... juste le type de données personnelles enregistrées sur celles-ci et que si elles ne sont pas enregistrées quelque part el se ...

Pourtant, je comprends que les annotations peuvent contenir de nouvelles données personnelles qui découlent du traitement (par exemple ce type n'aime pas XXXXXX) ... dans ce cas, vous n'avez pas besoin de partager ce qui est écrit avec la personne concernée, vous pouvez simplement informer que ce sont les données qui caractérisent les préférences sur le sujet XXXXX car elles sont pertinentes afin de concentrer les informations à transmettre dans le cadre des Services.

Ce n'est pas un sujet compliqué ...

Maintenant, la base légale peut vraisemblablement être un intérêt légitime mais cela dépend (comme toujours du contexte , signifiant "but" et "portée")

«En termes de DSAR, il n'est pas obligatoire d'informer la personne concernée de ce que les annotations lisent» - mais si les annotations sont des données personnelles (sinon vous n'auriez pas à en informer la personne concernée), vous ne le feriez pas doivent également donner à la personne concernée une copie en réponse à son DSAR? Telle qu'elle est écrite, cette réponse semble aller à l'encontre des exigences réelles du RGPD.
Si les annotations ne contiennent pas de données personnelles ... veuillez lire l'intégralité du texte ...
"si les annotations ne contiennent pas de données personnelles" - Ce sont des annotations attachées au compte d'un utilisateur. Ce sont * des * données personnelles.
Magish encore une fois, s'il n'y a pas de données personnelles, cela signifie que l'annotation n'ajoute pas au profilage de l'individu, donc peu importe si elles sont liées ou non au compte utilisateur.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...