https et conformité rgpd

+2
Bryx
multim
6 participants

Voir le sujet précédent Voir le sujet suivant Aller en bas

Résolu https et conformité rgpd

Message par multim Mar 27 Aoû 2019 - 11:23

Bonjour,

Conformément au RGPD, il faut sécuriser les données des utilisateurs de nos forums.
Sachant qu'un formulaire de connexion sur une page non chiffrée (pas en https) permet des attaques facile, et donc la récupération des identifiants et mots de passe des personnes et l'accès à leur compte et à leur mail (qui est une donnée personnelle), sachant que le mail est obligatoire à l'inscription au service, je ne comprend pas qu'avoir un forum en https soit une fonctionnalité payante.

En effet ne pas l'avoir veut dire être dans l'illégalité, puisqu'on ne sécurise pas les données des personnes hébergés sur le site.

Etant donné que c'est forum actif le fournisseur de service est-ce vous ou les créateurs des sites les personnes légalement responsable en cas de vol de données ?
Je pense que c'est les deux puisque le sous traitant et le commanditaire du service sont tenus de sécuriser les données.

Que pensez-vous faire pour résoudre ce problème ?
Merci de votre attention
multim

multim
Nouveau membre

Messages : 10
Inscrit(e) le : 27/08/2019

http://atelier-multimedia.forumactif.com
multim a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par Bryx Mar 27 Aoû 2019 - 12:39

Bryx

Bryx
****

Masculin
Messages : 404
Inscrit(e) le : 03/12/2017

https://webtoons.forumactif.com
Bryx a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par multim Mar 27 Aoû 2019 - 14:21

Bonjour,

Pourriez vous être plus précis, parce que j'ai bien lu les CGUs et je ne comprends pas en quoi me renvoyer vers elles réponds a ma question de conformité vis à vis du RGPD et au problème de sécurisation des connexions au forum et donc de sécurisation des données personnelles ?

Merci
multim

multim
Nouveau membre

Messages : 10
Inscrit(e) le : 27/08/2019

http://atelier-multimedia.forumactif.com
multim a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par *Splash* Mar 27 Aoû 2019 - 15:00

Hi Multim
multim a écrit:Bonjour,

Etant donné que c'est forum actif le fournisseur de service est-ce vous ou les créateurs des sites les personnes légalement responsable en cas de vol de données ?
Je pense que c'est les deux puisque le sous traitant et le commanditaire du service sont tenus de sécuriser les données.

Que pensez-vous faire pour résoudre ce problème ?
Merci de votre attention

FA fournit des forum clés en main et totalement gratuit mais rien n'oblige à les utiliser, dès lors si une personne utilise ce service gratuit c'est bien cette personne qui devient responsable de ce qui se passe sur son propre forum

Ce tuto peut être utile > Clique
*Splash*

*Splash*
Membre actif

Masculin
Messages : 3806
Inscrit(e) le : 25/02/2018

https://caforum.fr
*Splash* a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par multim Mar 27 Aoû 2019 - 15:26

Je ne parle pas des messages, je parle de l'adresse mail demandée a la connexion et enregistrer sur le forum.
Si je comprends bien forum actif n'assure pas d'avoir mis en place les outils pour sécuriser les données personnelles ?

Une fenêtre de connexion qui n'est pas en https est une faille de sécurité (attaque de l'homme du milieu).

Du coup il faudrait avertir les fondateurs de forum des risques qu'ils encourent ?

De ce que j'en ai compris, https ne peut pas être une option et j'ai bien l'impression que les forums gratuit ne sont pas en conformité avec le RGPD, a moins de ne pas demander les adresses mail à la création de compte, ce qui permettrait là de ne plus avoir de problème ?
multim

multim
Nouveau membre

Messages : 10
Inscrit(e) le : 27/08/2019

http://atelier-multimedia.forumactif.com
multim a été remercié(e) par l'auteur de ce sujet.
  • 0

Résolu Re: https et conformité rgpd

Message par Pinguino Mar 27 Aoû 2019 - 15:27

Bonjour,

Un pourcentage très élevé de sites web est encore en HTTP à ce jour, dont de "gros sites" qui proposent la création de compte comme Allocine, lefigaro, footmercato, etc. Si cela peut vous rassurer, il y a très peu de données personnelles sur les forums permettant d'identifier une personne : ni adresse postale, ni nom et prénom, ... (https://www.cnil.fr/fr/cnil-direct/question/une-donnee-caractere-personnel-cest-quoi).

Forumactif a mis tout en oeuvre à son niveau pour sécuriser les données personnelles. De plus, le service donne la possibilité de passer son forum en HTTPS pour le sécuriser davantage. Mais comme chez n'importe quel hébergeur, le choix d'un certificat SSL incombe au gestionnaire du site, soit le fondateur du forum.

Dans le cas contraire, tous les hébergeurs en France, dont OVH ou 1&1 Ionos par exemple, ne permettraient plus la création de sites web en HTTP Confused
Pinguino

Pinguino
Adminactif
Adminactif

Masculin
Messages : 13621
Inscrit(e) le : 02/05/2004

Pinguino a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par multim Mar 27 Aoû 2019 - 15:41

Très peu de données personnelles n'en fait pas aucune, et l'adresse mail en est une (voir les exemples dans le lien que vous avez mis).

un site sans comptes en http ne pose aucun problème donc on peut toujours en créer.

Pour vos exemples :
Allociné : https://mon.allocine.fr/inscription/?returnUrl=http%3A%2F%2Fwww.allocine.fr%2F#
le figaro : https://plus.lefigaro.fr/user?app_id=81325031242245596367369127435013&public=0&force_update=0&level_name=light&action_type=login&goto_url=http%3A%2F%2Fwww.lefigaro.fr%2F
edit : je précise : pour la connexion au compte c'est bien sécurisé.

Forum actif donne la possibilité en payant et donc la responsabilité d'utiliser du gratuit et pas sécurisé incombe au fondateur du site c'est bien ça ?

Après je ne suis pas assez technicien pour comprendre les problématique liés au certificats SSL.
multim

multim
Nouveau membre

Messages : 10
Inscrit(e) le : 27/08/2019

http://atelier-multimedia.forumactif.com
multim a été remercié(e) par l'auteur de ce sujet.
  • 0

Résolu Re: https et conformité rgpd

Message par Pinguino Mar 27 Aoû 2019 - 16:09

Bonjour,

Avant de vous envoyer le lien, j'avais bien lu l'article d'où la notion de "très peu" et non d'absence de données personnelles. Si vous voulez utiliser une connexion sécurisée sur les forums Forumactif, vous pouvez toujours utiliser la connexion via Topic'it tout simplement vu que le service est en HTTPS.

Et oui, la mise en place d'un certificat SSL incombe au gestionnaire (fondateur) et non à l'hébergeur. La RGPD impose à l'hébergeur d'assurer la sécurité de ses infrastructures, notamment grâce à une politique de sécurité qui répond aux exigences du RGPD.

Maintenant, je n'ai jamais lu un article expliquant que le protocole HTTPS était obligatoire. Même après plusieurs recherches sur le site de la CNIL et autres sites officiels.
Pinguino

Pinguino
Adminactif
Adminactif

Masculin
Messages : 13621
Inscrit(e) le : 02/05/2004

Pinguino a été remercié(e) par l'auteur de ce sujet.
  • 0

Résolu Re: https et conformité rgpd

Message par Neptunia Mar 27 Aoû 2019 - 16:19

Bonjour ^^

multim a écrit:Après je ne suis pas assez technicien pour comprendre les problématique liés au certificats SSL.

C'est bien là le problème !
Le certificat SSL ne sert qu'à garantir que les informations échangées entre un site et un navigateur sont cryptées entre le départ du site, et l'arrivée chez le visiteur. Et c'est tout, cela ne sécurise en rien le contenu d'un site, et ne sécurise tout simplement rien du tout.

Nous ne sommes plus au temps des diligences où le contenu transporté est attaqué au cours du transport et c'est pourtant le seul truc qu'un certificat SSL fait. Garantir que le contenu transporté voyage de façon cryptée, de même que la Poste garantit la confidentialité du contenu sous enveloppe entre l'instant de la prise en charge du courrier et celui de leur destination. Quand on veut intercepter du courrier, il y a quand même moins risqué que de braquer le camion postal ou le facteur.

Pour le certificat SSL c'est pareil. Absolument rien ne garantit que le contenu transporté n'est pas consulté par un tiers ! Echelon, vous connaissez ?
Rien ne garantit que le contenu crypté ne sera pas intercepté, puis décrypté ensuite.

Et pour en revenir aux données personnelles comme les adresses courriel, le plus sûr moyen de mettre la main dessus est de s'emparer des identifiants du compte d'un des administrateurs du forum. Et là le certificat SSL sera totalement inutile, à ce jour on n'a trouvé aucun antidote à la co***rie de l'homo-sapiens. Et c'est avec ces co***ries à répétition que l'on entend dire un peu n'importe où que les comptes de tel réseau social, de tel fournisseur de messagerie électronique se piratent facilement. Ils ne sont pas plus faciles ni plus difficiles à pirater que ceux des autres fournisseurs mais pour un indélicat c'est toujours plus intéressant de s'attaquer aux gros qu'aux petits, la récolte étant supposée meilleure.
Neptunia

Neptunia
Membre actif

Féminin
Messages : 17853
Inscrit(e) le : 08/08/2010

https://www.galaxie-series.net/
Neptunia a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par multim Mar 27 Aoû 2019 - 16:23

Pinguino a écrit:Bonjour,
vous pouvez toujours utiliser la connexion via Topic'it tout simplement vu que le service est en HTTPS.
Merci pour l'info je vais regarder ça .

Pinguino a écrit:
Et oui, la mise en place d'un certificat SSL incombe au gestionnaire (fondateur) et non à l'hébergeur. La RGPD impose à l'hébergeur d'assurer la sécurité de ses infrastructures, notamment grâce à une politique de sécurité qui répond aux exigences du RGPD.

J'aurais cru que l'hébergeur etait considéré comme un sous-traitant et donc a des obligation aussi de sécurité https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants
et je parle des forum avec le nom de domaine en forumactif.org. dont le forum est bien https...

Pinguino a écrit:
Maintenant, je n'ai jamais lu un article expliquant que le protocole HTTPS était obligatoire. Même après plusieurs recherches sur le site de la CNIL et autres sites officiels.
Mon raisonnement est celui ci :
Ce qui est obligatoire est de sécuriser les données personnelles de la manière la plus sure possible, sans https il y a une faille donc la sécurisation n'est pas optimum donc c'est pas conforme.


Dernière édition par multim le Mar 27 Aoû 2019 - 16:35, édité 3 fois
multim

multim
Nouveau membre

Messages : 10
Inscrit(e) le : 27/08/2019

http://atelier-multimedia.forumactif.com
multim a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par multim Mar 27 Aoû 2019 - 16:31

Neptunia a écrit:


C'est bien là le problème !
Le certificat SSL ne sert qu'à garantir que les informations échangées entre un site et un navigateur sont cryptées entre le départ du site, et l'arrivée chez le visiteur. Et c'est tout, cela ne sécurise en rien le contenu d'un site, et ne sécurise tout simplement rien du tout.

Oui, ça j'ai bien compris, et si ça sécurise pour les attaque "homme du milieu"

Neptunia a écrit:
Rien ne garantit que le contenu crypté ne sera pas intercepté, puis décrypté ensuite.
C'est sur, mais c'est mieux que la carte postale que l'on est sur qu'elle sera lu.

Neptunia a écrit:
Et pour en revenir aux données personnelles comme les adresses courriel, le plus sûr moyen de mettre la main dessus est de s'emparer des identifiants du compte d'un des administrateurs du forum. Et là le certificat SSL sera totalement inutile, à ce jour on n'a trouvé aucun antidote à la co***rie de l'homo-sapiens. .
Oui le problème c'est très souvent l'utilisateur
Neptunia a écrit:
pour un indélicat c'est toujours plus intéressant de s'attaquer aux gros qu'aux petits, la récolte étant supposée meilleure.

Penser que l'on est invisible n'est pas une protection réelle.
multim

multim
Nouveau membre

Messages : 10
Inscrit(e) le : 27/08/2019

http://atelier-multimedia.forumactif.com
multim a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par *Splash* Mar 27 Aoû 2019 - 16:35

multim a écrit:
Mon raisonnement est celui ci :
Ce qui est obligatoire est de sécuriser les données personnelles de la manière la plus sure possible, sans https il y a une faille donc la sécurisation n'est pas optimum donc c'est pas conforme.

Mais qu'est-ce que tu as du mal à comprendre lorsque tu lis ceci :

Maintenant, je n'ai jamais lu un article expliquant que le protocole HTTPS était obligatoire. Même après plusieurs recherches sur le site de la CNIL et autres sites officiels.
*Splash*

*Splash*
Membre actif

Masculin
Messages : 3806
Inscrit(e) le : 25/02/2018

https://caforum.fr
*Splash* a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par multim Mar 27 Aoû 2019 - 16:40

recherche rapide :
guide cnil securite personnelle
Fiche 9 → sécuriser les sites web et le protocole TLS
multim

multim
Nouveau membre

Messages : 10
Inscrit(e) le : 27/08/2019

http://atelier-multimedia.forumactif.com
multim a été remercié(e) par l'auteur de ce sujet.
  • 0

Résolu Re: https et conformité rgpd

Message par *Splash* Mar 27 Aoû 2019 - 16:45

Oui et ?
C'est à toi de sécuriser ton forum, où est le problème ?
*Splash*

*Splash*
Membre actif

Masculin
Messages : 3806
Inscrit(e) le : 25/02/2018

https://caforum.fr
*Splash* a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par Pinguino Mer 28 Aoû 2019 - 12:18

Bonjour,

Alors rien à voir avec votre demande d'origine de ce sujet car le protocole HTTPS est bien de votre ressort mais nous menons une réflexion pour le proposer gratuitement aux forums : https://forum.forumactif.com/t400929-le-https-pour-les-forums-gratuits#3345961

Rien ne dit que ce sera faisable techniquement encore mais j'ai pensé que cette discussion pourrait vous intéresser.
Pinguino

Pinguino
Adminactif
Adminactif

Masculin
Messages : 13621
Inscrit(e) le : 02/05/2004

Pinguino a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par multim Mar 3 Sep 2019 - 15:48

Bonjour, merci de cette information Smile si je pouvais voter je mettrais oui bien sur Wink

Pour mon post, je n'ai lu aucun argument qui remette en question l'idée que le https ne peut pas être une option pour que forum actif soit en conformité avec la réglementation européenne. Au moins pour les forums en forumactif.truc
multim

multim
Nouveau membre

Messages : 10
Inscrit(e) le : 27/08/2019

http://atelier-multimedia.forumactif.com
multim a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par Neptunia Mar 3 Sep 2019 - 18:13

Peut-être faudrait il poser la question aux sénatrices et aux sénateurs ?

Right http://www.senat.fr/rap/l09-330/l09-3305.html

J'ai vu un bouton "Mon sénat", cliqué dessus et ?

http://monsenat.senat.fr/login.php -> pas de https et pourtant un champ email et un champ mot de passe.




Le guide dont vous avez donné le lien plus haut fournit des outils pour comprendre mais rien n'est imposé.

1.Identifier les impacts potentiels
2.Identifier les sources de risques
3.Identifier les menaces réalisables
4.Déterminer les mesures existantes ou prévues
5.Estimer la gravité et la vraisemblance des risques
-> Autrement dit ce n'est pas la loi qui impose ceci ou cela. La loi impose de protéger les données. Ensuite c'est au gestionnaire des données de déterminer selon sa situation, quel est le niveau du risque et quels moyens il peut mettre en œuvre proportionnellement au niveau de risque estimé.

En gros il ne s'agit pas de garantir le risque zéro, mais de déployer ce qui est raisonnable pour sécuriser les données.
La SNCF par exemple doit assurer la sécurité des passants à l'intérieur de l'enceinte mais si vous glissez sur une peau de banane, sa responsabilité ne serait engagée qu'en cas de manquement à la propreté de l'établissement. Autrement dit si le personnel d'entretien est présent, actif et en nombre suffisant c'est bon.

Pour la protection des données c'est pareil, nous sommes face à une obligation de moyens et non de résultats.
Une banque qui n'a pas de certificat SSL, c'est une faute grave à cause du volume et du caractère des données traitées.
Un forum sans certificat SSL, et bien c'est pas interdit. Du moins pas encore.

Ce niveau de risque n'est pas le même sur un forum familial sur les animaux de compagnie, un site militaire, gouvernemental ou une banque.

Et visiblement le site du Sénat français n'a pas estimé que le cryptage des données par certificat SSL était une mesure indispensable pour protéger le courriel et le mot de passe de ses membres
Neptunia

Neptunia
Membre actif

Féminin
Messages : 17853
Inscrit(e) le : 08/08/2010

https://www.galaxie-series.net/
Neptunia a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par multim Mer 4 Sep 2019 - 10:57

Bonjour,

Pour le Sénat : merci, je viens de leur signaler je verrais bien leur réponse...

Oui le gouvernement n'est pas souvent au point et il y a plusieurs problèmes de conformité, par rapport aux cookies notamment → continuer a surfer sur un site ne vaut pas consentement ( https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-de-nouvelles-lignes-directrices )

Pour en revenir à ma question : je ne pense pas que le fondateur du forum soit la personne qui sera mise en cause en cas de problème puisque, je cite la politique de confidentialité des données :
Le service Forumactif est édité par la société e-Toxic, responsable du traitement des données personnelles.

Pour la plupart des réponses que je reçois je n'ai pas l'impression que la question que j'ai posé sois prise en considération.

Donc, vu que cette question se débat aussi a travers le sondage et que je ne mettrais pas ce post en "résolu" aujourd'hui en tout cas, je vous permet de le cloturer ce sujet si de votre coté vous pensez y avoir répondu.
multim

multim
Nouveau membre

Messages : 10
Inscrit(e) le : 27/08/2019

http://atelier-multimedia.forumactif.com
multim a été remercié(e) par l'auteur de ce sujet.
  • 0

Résolu Re: https et conformité rgpd

Message par C_driko Mer 4 Sep 2019 - 11:28

Il me semble que c'est plus ambiguë que cela car les articles ne citent aucune technologie de chiffrement (aucune référence au certificat SSL ou protocole HTTPS et il existe d'autres technologies) et ne précise pas qu'il s'agit de la communication des données en elle-même qui doit être encryptée. Sujet de votre premier message.

De plus, une porte ouverte est laissée en fonction des risques encourus et par voie de conséquence, de la nature même des données personnelles récoltées. Je pense donc qu'il y a une classification en fonction de la nature des données personnelles où les adresses postales, données de santé, numéro de carte bancaire et autres données très sensibles passent bien avant une simple adresse IP, un pseudonyme ou une adresse e-mail.

Recital 83 a écrit:In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption.

Dans tous les cas, cela mérite des éclaircissements. Même la CNIL revient en arrière sur des mesures phares : https://www.nextinpact.com/news/108135-surfer-vaut-consentement-aux-cookies-conseil-detat-rejette-referecontre-cnil.htm. Bien qu'il aurait été beaucoup plus pertinent pour tout le monde d'obliger les navigateurs à intégrer cette gestion des cookies pour tous les sites. On aurait ainsi évité ces bandeaux qu'on voit X fois par jour et qu'on clique rapidement dessus pour le fermer et accéder au contenu.

- https://gdpr-info.eu/art-32-gdpr/
- https://gdpr-info.eu/recitals/no-83/

Dans tous les cas, le passage en HTTPS est techniquement compliqué pour certains forums à cause des problèmes causés. @Pinguino ayant indiqué plus haut qu'un travail était mené pour rendre le protocole accessible à tous ou presque selon la faisabilité technique, attendons de voir Wink
C_driko

C_driko
****

Masculin
Messages : 272
Inscrit(e) le : 07/11/2014

C_driko a été remercié(e) par l'auteur de ce sujet.

Résolu Re: https et conformité rgpd

Message par multim Mer 4 Sep 2019 - 14:36

C_driko a écrit:Il me semble que c'est plus ambiguë que cela car les articles ne citent aucune technologie de chiffrement (aucune référence au certificat SSL ou protocole HTTPS et il existe d'autres technologies) et ne précise pas qu'il s'agit de la communication des données en elle-même qui doit être encryptée. Sujet de votre premier message.
J'ai du mal m'exprimer : je ne demande pas de chiffrer toutes les données du forum, je demande que ce qui est envoyé au moment de la connexion ou de l'inscription soit chiffré. et suivant ce que j'ai posté plus haut c'est TLS qui est conseillé comme techno par la CNIL, (mais comme je l'ai dit aussi, je suis pas technicien je n'ai pas les compétence pour savoir ce qui est le mieux ni comment le mettre en place.)
https://fr.wikipedia.org/wiki/HyperText_Transfer_Protocol_Secure



La cnil ne revient pas en arrière : cet article parle du Conseil d’État quia rejeté la requête déposée en urgence par la Quadrature du Net et Caliopen, la cnil a donné un an aux sites internet pour se mettre en conformité et  la Quadrature du Net et Caliopen trouvaient qu'ils avaient déjà eu assez de temps pour le faire et donc qu'un an de plus pour se mettre en conformité n'était pas justifié .
C'est la demande de la Quadrature du Net et de Caliopen qui a été rejetée, mais dans un an tous les sites devront être conforme, la cnil a précisé l'obligation qu'il y ai une acceptation réelle du visiteur (voir mon lien dans mon post précédent )

C_driko a écrit:
Dans tous les cas, le passage en HTTPS est techniquement compliqué pour certains forums à cause des problèmes causés. @Pinguino ayant indiqué plus haut qu'un travail était mené pour rendre le protocole accessible à tous ou presque selon la faisabilité technique, attendons de voir Wink
tu as raison et c'est pour ça que je propose la cloture de mon post quand bien même je ne le considère pas comme résolu Smile
multim

multim
Nouveau membre

Messages : 10
Inscrit(e) le : 27/08/2019

http://atelier-multimedia.forumactif.com
multim a été remercié(e) par l'auteur de ce sujet.

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum