Question:
Le chiffrement à jeter la clé est-il autorisé dans le cadre du RGPD?
Matt Thomas
2018-05-29 23:44:05 UTC
view on stackexchange narkive permalink

L'article 15 du RGPD dit:

La personne concernée a le droit d'obtenir [...] des données personnelles [si elles sont "traitées "]

L'article 4 dit que le" traitement "inclut le stockage.

Par conséquent, toutes les données personnelles stockées doivent être disponibles sur demande.

Alors le RGPD interdit-il le scénario suivant?

  1. Vous me donnez vos données personnelles.
  2. Je crypte vos données personnelles en utilisant une clé de chiffrement aléatoire.
  3. Je stocke les données chiffrées et leur attribue un identifiant aléatoire pour référence.
  4. Je vous donne des copies de la clé de chiffrement et l'identifiant et jetez mes copies.
  5. Vous me fournissez plus tard l'identifiant et la clé de cryptage et me demandez de déchiffrer vos données et de travailler avec.

Notez quelques points:

  • Rien sur les données chiffrées, les clés de chiffrement, les identifiants, le travail effectué, les journaux, etc. ne laisse aucune information qui vous correspond. Seules vos données personnelles non cryptées le font.
  • Vos données personnelles existent toujours tout le temps - je les stocke sous forme cryptée (a-t-elle été anonymisée?).
  • Vos données personnelles est facilement disponible, si vous me donnez l'identifiant et la clé de chiffrement corrects .

Fait important, je ne pourrai jamais répondre à votre demande de toutes vos données personnelles stockées . C'est techniquement impossible car je n'ai rien qui vous corresponde et je n'ai pas de clé de chiffrement. Je ne pourrais satisfaire la demande que si vous me donniez toutes les clés de chiffrement et tous les identifiants que je vous ai déjà envoyés.

Un exemple concret:

Pour vous connecter à un site Web, vous devez disposer d'une adresse e-mail fiable. Les adresses e-mail prennent la forme de prénom.nom@exemple.com, ce sont donc des données personnelles. Vous vous connectez en fournissant ces données personnelles et en cliquant sur un bouton. En cliquant sur le bouton, vous stockez vos données personnelles cryptées selon le schéma ci-dessus, puis vous envoyez par courrier électronique un lien contenant l'ID de référence et la clé de cryptage. Vous établissez la confiance en cliquant sur le lien, en envoyant au site tout ce dont il a besoin pour trouver et décrypter vos données personnelles. Ensuite, le site Web prend des mesures sur vos données personnelles et vous connecte. Par ailleurs, les données personnelles cryptées sont à usage unique et expirent, elles sont donc supprimées une fois que vous êtes connecté ou si elles deviennent trop anciennes.

Je réalise que les objectifs de cet exemple pourraient être atteints d'une manière différente. Mais j'espère que cela aidera à clarifier le scénario.

Un répondre:
reed
2018-05-31 01:55:02 UTC
view on stackexchange narkive permalink

En théorie, il n'y a rien de mal avec votre méthode, c'est juste un moyen d'authentifier l'utilisateur, et sans authentification un utilisateur n'a pas le droit de demander quoi que ce soit de toute façon . Mais dans la pratique, il semble que votre méthode ne dispose pas d'un moyen de gérer les situations dans lesquelles les utilisateurs perdent ou oublient leurs données d'authentification et souhaitent pouvoir récupérer leur compte. Ne pas faire face à cela dans un système moderne pourrait être considéré comme une mauvaise pratique inacceptable et donc être contraire aux principes du RGPD de sécurité et de confidentialité dès la conception.

VERSION ÉTENDUE

Je me trompe peut-être ou je ne comprends pas correctement la question, mais je ne vois pas en quoi cela diffère de nombreux autres cas courants où le chiffrement n'est pas impliqué. Pensez-y, vous ne pouvez pas donner à l'utilisateur ses propres données personnelles à moins qu'il ne fournisse l'identifiant et les clés de cryptage. En quoi est-ce très différent du fait que vous ne pouvez pas (ou plutôt vous ne devriez pas) montrer à un utilisateur ses propres données à moins qu'il ne fournisse son propre nom d'utilisateur et mot de passe, ou qu'il s'authentifie de manière convaincante?

Tout comme vous ne pouvez pas demander à Facebook de vous montrer toutes les données collectées sur Donald Trump uniquement en prétendant que vous êtes Donald Trump, vous ne pouvez pas être obligé de donner à un utilisateur ses propres données à moins qu'il ne fournisse la clé de cryptage. Cela peut être considéré comme votre moyen d'authentifier les utilisateurs (entre autres).

Modifié: plusieurs identifiants / clés

Je n'ai pas compris votre méthode impliquait plusieurs identifiants et clés. En théorie, la situation est toujours la même, uniquement avec plusieurs éléments de données pour l'authentification, comme si l'utilisateur devait se souvenir de plusieurs noms d'utilisateur et mots de passe. Le fait de ne pas fournir tous les identifiants et toutes les clés entraînera une authentification partielle.

Mais avec une telle approche, un problème potentiel devient plus évident: votre schéma d'authentification pourrait être contraire aux principes du RGPD de «sécurité et confidentialité dès la conception et par défaut». Fondamentalement, vos méthodes peuvent être considérées comme de mauvaises pratiques car elles ne permettent pas de résoudre le problème courant des mots de passe perdus ou oubliés. Si un utilisateur vous dit qu'il a perdu une clé USB contenant tous ses identifiants et clés et qu'il ne les a plus, que faites-vous? Vous ne pouvez pas supprimer leurs données car vous ne pouvez pas savoir quelles sont leurs données, sans autre moyen de s'authentifier. Et leurs données sont maintenant en danger, car quelqu'un d'autre pourrait avoir leurs identifiants et leurs clés. Si vous aviez une adresse e-mail associée à tous les identifiants et données de l'utilisateur, vous pourrez peut-être confirmer son identité (par exemple en envoyant un e-mail avec un lien) et supprimer toutes ses données. Comme vous le voyez, les choses peuvent devenir assez compliquées, tout dépend des détails de votre implémentation, et le simple fait d'ajouter ou de supprimer un détail peut changer tout le scénario.

La différence est que même si un utilisateur peut prouver son identité en me donnant l'une des paires ID / clés que je lui ai données, je ne pourrai toujours pas lui donner toutes ses données personnelles. Je ne pourrais leur donner que les données personnelles référencées par cet identifiant. Dire que c'est comme devoir prouver l'identité de l'utilisateur, c'est dire que le reste des données de cette personne appartient à une identité / un individu différent.
@MattThomas, Je ne savais pas que vous aviez en fait plusieurs identifiants. J'ai édité ma réponse.
Merci de souligner l'importance de ne pas pouvoir protéger les utilisateurs contre les appareils perdus / volés.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...