L' UE impose meilleure protection de la liberté individuelle informatique

Ce n'est pas trop tôt !
Deux sites américains de loisirs que j'utilise informent leurs adhérents des nouvelles dispositions réglementaires entrées en application fin Mai, promulguées par l'Union Européenne au sujet de la protection individuelle et du respect des libertés privées, qui interdisent désormais aux hébergeurs de sites informatiques , dits ; "browsers" , d'afficher des ; "box" (fenêtres) comportant l'adresse E-mail directe ou indirecte des particuliers dans la page des courriers privés entre les membres, sans leur consentement.
Ainsi, Boardhost.com (Serveur américain) s'est vu obligé de supprimer toutes les adresses E-mail des particuliers contenues dans les inscriptions des membres de sites informatiques qu'il héberge .
Les administrateurs (Webmasters) indiquent qu'il ne sera possible aux membre du site dans des courriers privés, d'en dire plus, que s'ils indiquent eux-mêmes leur adresse informatique privée (E.mail address) dans le corps de leurs messages publics du site utilisé.

La question se pose pour Numista qui n'utilise pas apparemment le réseau des communications communes externes pour les courriers dits ; "Messages privés" supposés rester en circuit interne au site .
L'informatique et ses faiblesses, étant, Numista a demandé cependant à l'inscription, l'adresse E-mail privée des membres comme obligatoire semble-t-il, sans que cela soit nécessaire, ni utile (A part les infos de messages mais ouvrir le site suffit pour le savoir).
Sauf s'il n'en est pas fait quand même usage par ailleurs ou n'est que sous le contrôle de son administrateur, on peut craindre qu'il y ait des fuites tôt ou tard malgré lui, comme pour les déboires de Zuckerberg récemment, qui s'est fait "craquer" et a "fuité" les codes et données des particuliers dans la main des escrocs .
Ne serait-il pas souhaitable que Numista supprime préventivement les adresses E-mail privées de ses fichiers avant que son hébergeur n'y soit contraint par la commission informatique de l'Union Européenne puisque même les américains s'y sont soumis ?

bonjour

ça concernerait dans ce cas le FORUM SITE NUMISTA...

Ce n'est pas ce que j'ai expliqué. J'ai parlé de la page messages privés (Messagerie) car il faut bien que deux membres soient mis en connexion directe hors la page Forum par le réseau externe d'une façon ou d'une autre. Si comme les sites américains cela passe par les E-mails normaux extérieurs, les adresses web privées sont fuitées. On ne sait pas si Numista connecte les privés entre eux par E-mail adresse pour les identifier et revient sur réseau interne ou si un pseudo suffit. Quoiqu'il en soit, l'adresse E-mail privée fichée dans un site ne sert à rien si elle n'est pas utilisée et peut se faire casser par les escrocs. Il vaut mieux la supprimer du fichier Numista à mon avis (C'est ce qu'ont fait les américains puisqu'ils se sont faits casser par les hakers chez Zuckerberg). On sait le désastre si ils parviennent à vos données bancaires en faisant des recoupements ...
Exemple pire encore était un collègue membre américain qui fait un blog parallèle au dit loisir et met les noms et adresses avec leur E-mail des membres, sur Internet non codé !!!! Puis ensuite lance une alerte comme quoi il ne faut plus m'écrire car mon E-mail est infecté !.. Car d'autres se seraient servis de mon E-mail pour envoyer des messages à virus ... J'avais neutralisé mon adresse E-mail auparavant , ils s'en servent quand même pour nuire commercialement ...
Si tu donnes ton E-mail toi même pour achat isolé sur Internet par exemple, le pistage est limité, mais c'est les associations qui listent des quantités de gens qui sont recherchées pour commettre toutes sortes de méfaits.

Les adresses électroniques n'étant pas communiquées publiquement (ni sur le site ni dans les notifications reçues "hors" de Numista), la suppression n'apparait pas nécessaire car lors de l'inscription un membre accepte de fournir ladite adresse pour être joignable (i.e. ce qui correspond au terme de "finalité déterminée" employé dans le RGPD).



Pour information, voici un message à ce sujet sur la partie anglophone.

En résumé, en français :

L'obstacle principal à une conformité totale repose sur la publicité et les trackers statistiques qui sont présents sur les pages Numista. Selon la règlementation, ces trackers ne devraient être utilisés qu'avec un consentement explicite (règle déjà en vigueur avant le RGPD, d'où la multiplication des avertissements de cookies depuis quelques années et qui ne laissent pas vraiment de choix). Pour le moment, aucune solution ne semble complète et Numista n'est pas à 100% conforme au RGPD ; mais cela devrait être possible dans un avenir proche.

En revanche, les données personnelles collectées par Numista (adresse électronique, messages personnels, données, etc.) le sont avec le consentement des utilisateurs (acceptation des conditions d'utilisations) ; et sont conservées de façon sécuritaire avec un accès restreint. Ces données n'ont jamais été communiquées à une tierce partie, et ne le seront pas. La prochaine étape est d'améliorer la politique de rétention de données et la détailler dans une politique de confidentialité.



Note : Pour ceux qui s'intéresse au sujet, les lois adoptées au Québec ces dernières années (5-6 ans) s'inscrivent dans la même finalité (consentement explicite vs. consentement tacite, traitement des informations privées, etc.)

Hélas Péjounet, ton info ne répond pas à la menace de hacking (Piratage des données en fichiers) dès qu'elles existent. Le consentement à un règlement interne d'association ne garanti rien aux risques que j'ai indiqué.

En même temps, à part les sites très peu complexes (je pense aux jeux flash, messagerie instantanée,... et encore ! ), s'inscrire sur un quelconque site requiert toujours l'adresse e-mail.
C'est, je pense, nécessaire au niveau de la validation des comptes, car il faut toujours "valider" son inscription en cliquant sur un lien reçu par mail. Ca permet d'éviter des créations de comptes fantômes en série, que ça soit dans le but de nuire au site ou non...

Il est toujours possible de créer une adresse mail "poubelle", pour les plus paranoïaques. C'est ce que j'ai d'ailleurs depuis bien longtemps pour certains sites un peu trop envahissants.

bonsoir

il existe des sites qui génèrent des adresses email jetables (comprendre temporaires)

https://www.commentcamarche.com/faq/7751-obtenir-une-adresse-email-jetable

Concrètement, rien ne répond réellement à la menace de hacking : tout système est piratable, y compris ceux des services de renseignement réputés à toutes épreuves. C'est d'ailleurs grâce au hacking de leurs propres systèmes que certaines agences de renseignement recrutent en partie...bien sûr ce n'est qu'une rumeur

Un problème du RGPD (selon moi) est qu'il ne considère pas le risque lui-même (à part 2-3 petites mentions -et encore- de données sensibles, de données concernant les prisonniers, etc.) mais simplement le fait que les compagnies/associations doivent dire aux gens "les risques existent" (comme si on ne le savait pas ) et vous devez les accepter pour utiliser les services desdites compagnies/associations sinon celles-ci peuvent vous refuser l'accès à ces mêmes services ; le tout, en suggérant à ces mêmes compagnies de tenter de minimiser lesdits risques sans pour autant imposer une réelle norme ou un standard concret.
D'où l'impossibilité d'accéder à certains journaux américains en Europe au lendemain de l'entrée en vigueur du texte (prévue depuis plus de 2 ans -mars ou avril 2016 de mémoire pour la version quasi-finale-, la découverte n'a donc pas été si sensationnelle que cela pour les départements TI -sinon il faudrait changer le chef- mais les départements de communication se sont fait plaisir à peu de frais), et qui miraculeusement ont trouvé une solution divine -soit-disant imparable- en 4 minutes, pile le temps d'infusion d'un bon thé noir...quelle coïncidence.

Malheureusement, les compagnies (notamment américaines) ne font pas cela pour améliorer leur politique de sécurité (certes, je reconnais que quelques-unes s'y intéressent quand même), mais essentiellement pour se couvrir contre des procès potentiellement coûteux. Au hasard , une petite recherche sur Internet avec le nom "Max Schrems" (j'aurais été déçu de ne pas le voir en profiter) pour trouver les premiers exemples de plaintes à 7-8 milliards de dollars devant 4 autorités différentes...moins d'1h30 après l'entrée en vigueur du RGPD (j'avoue, là je dormais ).

Le RGPD n'a pas créé le risque ou règlementé le piratage (une seule règle : le piratage est illégal) et n'interdit en rien l'utilisation d'adresses électroniques ou autres données à caractère personnel, il amène seulement des règles d'encadrement générales (consentement explicite, stockage sécuritaire, etc.) mais pas techniques (type de stockage, niveau de cryptage, etc.). Techniquement, chaque autorité indépendante (CNIL, etc.) pourra interpréter différemment le RGPD, qui mentionne simplement la "pseudonymisation des données à caractère personnel", "la mise en place de procédures", "l'utilisation de moyens adaptés" et, si je me rappelle bien de la formulation, approximativement quelque chose comme "des mesures techniques appropriées selon un niveau de sécurité adapté au risque, en considérant les connaissances, les coûts et les finalités d'utilisation des données"...ça fait pas vraiment avancer le schmilblick.


Concernant Numista : Les données n'étant pas communiquées à un ou des tiers, Numista peut conserver des adresses électroniques et envoyer des messages à ses membres comme le décrivent les conditions d'utilisations (tant que ceux-ci restent non identifiables -pseudonymisation, etc.). Certains risques peuvent et doivent effectivement être minimisés, d'où la partie de la phrase de mon premier message "conservées de façon sécuritaire avec un accès restreint" -substance du texte du RGPD ; comme cela était le cas avant même le RGPD, ces données ne sont pas dans un simple fichier excel sur l'ordinateur d'une bibliothèque publique, et l'accès est restreint à une (1) seule personne (je vous laisse deviner qui ). À noter, que les droits de consultation, de rétractation, etc. existaient déjà avant l'entrée en vigueur du RGPD ; pas de nouveauté là-dessus, mais cela rajoute quelques paragraphes au texte.


@3francs6sous : Côté Facebook, j'imagine que tu pensais notamment à la récente "affaire Cambridge Analytica" ? Si c'est le cas, malheureusement (ou heureusement , question de choix) celle-ci ne relève pas du piratage mais de la vente volontaire de données ; ce qui est un point de départ du RGPD : comment règlementer les transactions de données sous couvert de "protéger la vie privée" (qui vient en premier de la poule ou de l'oeuf, chacun à son idée). Cambridge Analytica est un exemple qui a "choqué" l'opinion publique mais qui dans les faits demeure un infime exemple de ce qui se fait depuis des années, et grâce auquel Facebook (mais pas seulement) gagne de l'argent.