Post AdJNaHuqG1vfED6I8e by rodolphe@pwet.what.tf
(DIR) More posts by rodolphe@pwet.what.tf
(DIR) Post #AdIPurIbsz1HNRxVFg by bortzmeyer@mastodon.gougere.fr
2023-12-29T08:29:49Z
1 likes, 0 repeats
Là, les pros du #RGPD (qui prévoit que le consentement est révocable à tout moment) ont de quoi travailler : https://www.leparisien.fr/intime/jen-ai-des-centaines-doit-on-garder-les-nudes-de-ses-ex-28-12-2023-W3PELHEX3BEMLKWOST3BWZ2DII.php
(DIR) Post #AdIR5RlFHBkLJNxuds by lanodan@queer.hacktivis.me
2023-12-29T08:42:32.990274Z
0 likes, 0 repeats
@bortzmeyer Sauf que RGPD s'applique pas contre les personnes physiques.
(DIR) Post #AdIRFA7Nj99RUMx5iy by bortzmeyer@mastodon.gougere.fr
2023-12-29T08:44:43Z
0 likes, 0 repeats
@lanodan J'avais raté ce point. Une personne physique qui stocke des données personnelles peut ignorer le RGPD ?
(DIR) Post #AdIRf6l0qSIWavrRk8 by lanodan@queer.hacktivis.me
2023-12-29T08:48:54.759983Z
0 likes, 0 repeats
@bortzmeyer C'est dans l'article 2:https://eur-lex.europa.eu/eli/reg/2016/679#art_2> 2. This Regulation does not apply to the processing of personal data:> […]> (c) by a natural person in the course of a purely personal or household activity;
(DIR) Post #AdIRxYtkxL2L5KkaCO by bortzmeyer@mastodon.gougere.fr
2023-12-29T08:52:44Z
1 likes, 0 repeats
@lanodan Je n'avais pas tout bien lu.
(DIR) Post #AdIbWRTVRmarmiBADA by rodolphe@pwet.what.tf
2023-12-29T10:33:59.479534Z
1 likes, 0 repeats
@bortzmeyer @lanodan Je me permet d'intervenir pour insister sur la seconde partie, « purely personal or household activity » ou « activité strictement personnelle ou domestique » en français.Cette précision est importante car très limitative. En particulier, toute publication ou transmission à un tiers sort de cette définition et rend donc le RGPD applicable. Après, dans le cas précis des nudes sont publiées ou transmissent sans le consentement de la personne concernée, les poursuites pénales (article 226-2-1 du code pénal) me semblent bien plus adaptées que celles liées au RGPD.Mais bon, ce n'est parce que quelque chose est légal qu'il est éthique de le faire. Respecter le choix des autres, même après la rupture d'une relation, reste à mon sens le choix le plus moral.Dans un contexte moins intime, le RGPD ne s'applique donc pas non plus pour les particuliers qui entretiennent un carnet d'adresses (numérique ou non) de leurs contacts. En revanche, il s'applique en cas de publication ou transmission, ce qui restreint la possibilité de le faire. Le consentement est une des 6 bases légales possible pour le faire, mais ce n'est pas la seule (cf. article 6 du RGPD). Par exemple, si un de vos contacts vous fait part de son intention d'attenter à sa vie, le RGPD permet de transférer ses coordonnées aux secours sur le fondement de deux bases légales :- l'obligation légale (article 6, 1. c du RGPD) sur base de l'obligation de porter secours (article 223-6 du code pénal) ;- la sauvegarde des intérêts vitaux de la personne concernée (article 6, 1. d du RGPD).Je me devais de préciser ça pour les éventuelles personnes qui seraient susceptibles de lire ce post et d'invoquer le RGPD à tort ou bien qui ne reconnaissent que le consentement comme base légale. D'une manière générale le RGPD est logique et bien rédigé, donc si une situation paraît absurde c'est généralement (mais pas toujours j'en conviens) que l'on a fait une mauvaise interprétation.PS : pour le texte du RGPD en français sur eur-lex, pensez à ajouter « ?locale=fr » à la fin de l'URL (avant un éventuel # bien entendu, mais normalement les gens lisant ça le savent déjà) : https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr
(DIR) Post #AdIbWSeX4H0XRCLU2K by bortzmeyer@mastodon.gougere.fr
2023-12-29T10:39:52Z
0 likes, 0 repeats
@rodolphe @lanodan Ici, la question était « faut-il les effacer ? » Les transmettre serait clairement dégueulasse et illégal. Mais les garder sans les transmettre ?
(DIR) Post #AdIdetcItr3dI3S92G by breizh@pleroma.breizh.pm
2023-12-29T10:59:23.726631Z
0 likes, 0 repeats
@lanodan @bortzmeyer Il s'applique pas à un usage purement personnel*Une personne physique est tout à fait attaquable quand elle diffuse des données, ou filme autrui sans consentement, ce genre de chose. Je pense qu'ici on est dans le strictement personnel, mais ça semble compliqué à juger.
(DIR) Post #AdIdeuwXy4qPP7vpE8 by bortzmeyer@mastodon.gougere.fr
2023-12-29T11:03:46Z
0 likes, 0 repeats
@breizh @lanodan Ici, il ne s'agissait pas de diffuser. Et les photos avaient été consenties. La question était plutôt « est-ce que la fin de la relation signifie retrait du consentement ? »
(DIR) Post #AdIdvFY77iCtwhI7Hc by lanodan@queer.hacktivis.me
2023-12-29T11:06:20.974265Z
0 likes, 0 repeats
@breizh @bortzmeyer Ouais enfin le contexte c'est simplement les garder.Et y'a sans doute des lois bien plus adaptés que le RGPD pour ce genre de choses, par example l'Article 9 du Code civil auquel Wikipédia pointe pour les questions de droits à l'image:> Chacun a droit au respect de sa vie privée.> Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée : ces mesures peuvent, s'il y a urgence, être ordonnées en référé.
(DIR) Post #AdIeNb6aZWlKuPvxS4 by breizh@pleroma.breizh.pm
2023-12-29T11:09:41.355918Z
1 likes, 0 repeats
@bortzmeyer @lanodan Oui, je sais que c'était pas la question, je précisais juste que c'était inexact de dire que ça ne concerne pas les particuliers, vu que c'est une erreur encore commune…Pour le cas précis qui nous concerne, comme je l'ai dit, difficle à dire. Pour moi les garder serait de l'usage strictement personnel, donc si c'est illégal ce ne serait pas via le RGPD.Mais je vois aussi comme on pourrait le considérer différemment, donc faudrait l'avis d'un (voire plusieurs, si c'est ambigu…) juriste pour trancher, je suppose.
(DIR) Post #AdIfLf1j7XboRkIetU by fatuus@mstdn.fr
2023-12-29T11:18:07Z
1 likes, 0 repeats
@breizh @bortzmeyer @lanodan de toute façon c'est déjà illégal le revenge-p0rn non ? Mais j'aime beaucoup le débat autour du GDPR dans ce cas de figure. (Pas besoin d'être des nuées, quand est-il des photos de vacances?)
(DIR) Post #AdIidWYhdwrLG3vxWi by jeeynet@framapiaf.org
2023-12-29T11:59:24Z
0 likes, 0 repeats
@bortzmeyer @rodolphe @lanodan Et je me pose la question de la co-responsabilité d'une personne morale qui se serait vue à gérer des DCP de la part d'une personne physique n'ayant pas reçu l'autorisation de faire.Par exemple, le #RGPD s'applique à Google quand une personne physique synchronise ses contacts sous Android. Quid de la personne sauvegardant des nudes d'une ex sur un cloud externe ?
(DIR) Post #AdIjgofkqxkcGAMkWO by martin1975@mast.eu.org
2023-12-29T12:11:24Z
0 likes, 0 repeats
@bortzmeyer RGPD de côté, c'est très imprudent : il y a un risque de fuite (à l'occasion d'un piratage, par exemple).
(DIR) Post #AdJNaHuqG1vfED6I8e by rodolphe@pwet.what.tf
2023-12-29T14:45:06.394375Z
0 likes, 0 repeats
@jeeynet @bortzmeyer @lanodan C'est une bonne question et je n'ai pas de réponse simple. Avant toute chose, je précise qu'il ne s'agit que de mon avis personnel, qu'il n'engage que moi, que malgré mon expérience dans le domaine je n'ai pas de véritable formation juridique et que je suis susceptible de me tromper. Ce qu'il faudrait c'est de la jurisprudence dans le domaine. Peut-être que ça existe, mais je n'en connais pas (et je n'ai pas beaucoup cherché). Bref, je vais axer mon raisonnement autours de ce que je connais le mieux, c'est à dire le RGPD, en supposant que dans un cadre pénal un raisonnement similaire sera tenu.Je pense donc que la réponse va beaucoup dépendre de la situation et nécessite d'apprécier plusieurs éléments. Tout d'abord : est-ce que le RGPD est applicable ou non ? Autrement formulé : est-ce que confier à un hébergeur des données personnelles que l'on détient pour un usage strictement personnel ou domestique est ou non à un usage autre qui, si c'était le cas, constituerait un traitement soumis au RGPD.Sur le plan purement technique, il y a bien transmission à un tiers (l'hébergeur), donc l'argument du traitement soumis au RGPD peut se défendre. Cependant, sur le plan juridique j'en suis beaucoup moins certain et je pense donc que la réponse peut varier en fonction de la nature exacte de la prestation d'hébergement. Je propose de se poser trois questions afin d'y répondre :1. Est-ce que l'hébergeur a mis en place des mesures techniques et organisationnelles de protection de la vie privée et ces dernières sont-elles suffisantes ?2. Est-ce que l'offre d'hébergement est générique ou bien est-elle spécifiquement dédiée aux nudes ou similaire ?3. Est-ce que l'hébergeur se contente de l'hébergement technique de manière neutre ? Ceci appel deux sous-questions :a. Est-ce que l'hébergeur scan les données hébergées ?b. Est-ce que l'hébergeur réutilise les données à ses propres fins ?Ainsi, dans le cas d'un hébergeur générique ayant mis en oeuvre des mesures techniques et organisationnelles de protection de la vie privée efficace, qui ne réutilise pas les données à ses propres fins et ne scan pas les données ou bien les scan exclusivement pour la recherches de virus/malwares, je pense qu'on pourrait retenir un usage strictement personnel ou domestique non soumis au RGPD. À l'inverse, dans le cas d'un hébergeur n'ayant pris aucune mesure de protection des données personnelles et réutilisant les données pour ses propres fins, je pense que l'on peut considérer qu'il y a un traitement soumis au RGPD, surtout si le service est dédié aux nudes.Ceci mis au point, que dire du statut de l'hébergeur ? Dans le cas où le traitement n'est pas soumis au RGPD, je trouve que ça n'a pas de sens de lui attribuer un statut défini par le RGPD. Je propose donc de le voir comme un simple intermédiaire technique qui n'a pas de responsabilité spéciale dans l'affaire.En revanche, dans le cas où il y aurait un traitement soumis au RGPD, il faut se poser la question de s'il est sous-traitant ou bien coresponsable de traitement voir, dans certains cas, responsable à part entière. Et c'est là que tout se complexifie encore plus.Parce que oui, s'agissant des services cloud, la détermination des roles de chaque partie dépends de beaucoup de choses. L'analyse peut être longue et complexe mais, en règle générale, on tend à considérer qu'un prestataire SaaS est un sous-traitant. Cependant, ceci n'est pas automatique. En particulier, un hébergeur peut être considéré comme sous-traitant certaines parties propres à l'hébergement des données, mais aussi comme responsable de traitement à part entière pour les traitement découlant de la réutilisation des données de ses clients à ses propres fins (spoiler alert : chers hébergeurs, ne faites pas ça sans en parler à un avocat spécialisé avant).Bref, c'est très complexe et il y a beaucoup d'éléments à prendre en compte. Afin d'avoir plus d'informations, je te propose de lire la section 3.2 du rapport (en anglais) de l'EDPB traitant de l'utilisation des services cloud par le secteur public.https://edpb.europa.eu/news/news/2023/edpb-determines-privacy-recommendations-use-cloud-services-public-sector-adopts_enhttps://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf(nota : pour bien lire ce rapport, je recommande d'ouvrir les versions françaises et anglaises de l'article 4 du RGPD afin de bien identifier la signification des termes employés)[…](suite dans le pouet suivant)
(DIR) Post #AdJNaIyQKCO8VbmfMO by rodolphe@pwet.what.tf
2023-12-29T14:45:18.864394Z
0 likes, 0 repeats
@jeeynet @bortzmeyer @lanodan (suite et fin)De la caractérisation du rôle de chacun va découler la responsabilité associée. Et ça c'est la partie la plus facile car il n'y a pas trop à réfléchir : le RGPD a déjà préparé le travail. En effet, dans chaque article susceptible d'engendrer des manquements, le RGPD prend le soin de dire si la responsabilité incombe au responsable de traitement, au sous-traitant ou aux deux.Ainsi, l'article 5 dispose que c'est le responsable de traitement qui est responsable de la licéité du traitement. Si l'on ne retient que le caractère illicite du traitement, ce qui est ici, je pense, le seul véritable manquement, il n'y a que les acteurs reconnus comme responsables du traitement qui seront sanctionnées.Si l'hébergeur avait été reconnu sous-traitant, il ne sera donc normalement pas inquiété. S'il est également responsable de traitement s'agissant de la réutilisation des données et qu'il ne s'agit pas d'un service spécifiquement dédié aux nudes, je pense qu'il est préférable d'analyser ça au titre du RGPD dans une procédure dédiée.
(DIR) Post #AdJNaJtUu02fMcUFJw by rodolphe@pwet.what.tf
2023-12-29T14:52:58.695575Z
1 likes, 0 repeats
@bortzmeyer @jeeynet @lanodan Et c'est seulement après avoir posté que je repense au fait que dans cette histoire il faut aussi penser à étudier le caractère intentionnel ou non de la synchronisation. 😅https://www.commitstrip.com/fr/2017/10/18/true-story-syncing-the-wrong-folder/
(DIR) Post #AdJNq5samAQcX1aKgq by devnull@mamot.fr
2023-12-29T16:31:07Z
0 likes, 0 repeats
@lanodan C'est plus traitement de DCP à titre privé que personnes physiquesLe RGPD PEUT s'appliquer contre une personne physique dans certains cas. Je crois que c'est l'ADP espagnole qui avais mis une amende assez salée à un particulier qui avait utilisé le champ « À » d'une message pour y mettre plusieurs adresses emails de gens qui se connaissent pas.Il y eu aussi le cas d'un politicien belge qui détourné des adresses emails pour de la comm' politiquehttps://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_53/2020@bortzmeyer
(DIR) Post #AdJNq6dNyBrIs9Thcu by lanodan@queer.hacktivis.me
2023-12-29T19:40:46.429118Z
0 likes, 0 repeats
@devnull @bortzmeyer Le courriel c'est pas domestique.