Ceci est extrêmement important pour mon entreprise, car dans notre domaine d’activité, nous sommes confrontés à des réglementations très strictes qui nous obligent à conserver les données de nos utilisateurs dans le pays. Il est interdit d’utiliser tout type d’hébergement cloud à l’étranger pour nos services.
Nous utilisons l’authentification unique (SSO) pour la connexion à Discourse, et le plan professionnel de Discourse pour l’hébergement. Ce qui m’inquiète, c’est lorsque je peux aller sur la page de profil d’un utilisateur, passer en vue administrateur et faire défiler jusqu’en bas ; je peux voir les données sensibles exactes des utilisateurs que nous ne sommes pas autorisés à envoyer à l’étranger. Je ne suis pas très compétent dans ce domaine, donc je ne comprends pas si ces informations sont envoyées à l’étranger à un moment donné, pendant ou après l’authentification unique. J’apprécierais toute aide
Mais en général, lors de l’utilisation de l’SSO, Discourse, où que se trouvent ses données, obtiendra des données sensibles comme le nom et l’e-mail de l’SSO, et non l’inverse.
Alors, vous devez suivre le RGPD ? Aucun de ces SSO que Discourse utilise ne viole le RGPD. Mais les réglementations de l’entreprise (et/ou de la Turquie) peuvent changer la donne. Mais quand même… le SSO ne transfère aucune donnée sensible — à moins que le fait de savoir qu’un utilisateur utilise votre forum ne soit considéré comme une donnée sensible
C’est quelque chose que je ne comprends pas :
Et pourtant, vous avez un plan d’affaires de Discourse. Si c’est vraiment strict, vous devriez avoir un forum auto-hébergé.
Pour nos sites hébergés, vous trouverez des informations sur le RGPD / la localisation des données dans notre politique de confidentialité sur discourse.org/privacy. Si vous avez des questions spécifiques sur le service d’hébergement payant, n’hésitez pas à envoyer un message privé à @team ou à nous envoyer un e-mail à team@discourse.org et nous serons heureux de vous aider.
Notre réglementation nationale (qui comporte des conditions supplémentaires pour le secteur financier) stipule que vous ne pouvez pas utiliser de services cloud pour stocker des informations sensibles d’un utilisateur. @Jagster Donc, nous pouvons utiliser des services cloud tant que nous n’y stockons pas de données sensibles.
Il est acceptable si seule l’adresse e-mail est stockée à l’étranger - cela seul n’est pas considéré comme une information sensible. Cependant, si à un moment donné je stocke l’adresse e-mail avec le nom complet de l’utilisateur, cela est considéré comme une information sensible, car l’utilisateur est maintenant identifiable en tant que personne. Je suis inquiet car après que le SSO est utilisé pour la connexion, comme je peux voir l’adresse e-mail et le nom complet de nos utilisateurs sur la plateforme, je ne sais pas si ces données sont envoyées et stockées dans l’hébergement Discourse, cela va à l’encontre de nos réglementations locales.
Pour illustrer l’état d’esprit de nos réglementations : disons, par exemple, qu’un tiers malveillant accède aux disques physiques du serveur cloud de Discourse dans l’UE. Pourraient-ils lire le nom complet et l’e-mail de nos utilisateurs ensemble, étant donné qu’ils se sont connectés avec SSO ?
Si vous pouvez voir les informations dans l’interface d’administration de Discourse, alors oui, elles sont stockées sur les serveurs de Discourse. Pour arrêter le stockage de ces informations par Discourse, vous devez probablement mettre à jour votre système SSO afin qu’il ne transmette pas les informations sensibles à des plateformes externes comme Discourse.
Êtes-vous sûr de votre définition d’informations sensibles ?
Si vous pensez au RGPD de l’Union européenne, mentionné ci-dessus, ou à une législation basée sur celui-ci, il pourrait être utile de faire une recherche rapide sur Internet - car je me souviens vaguement que cela a à voir avec des données de santé, des croyances religieuses ou politiques, etc., plutôt qu’avec de simples données permettant d’identifier une personne.
Des informations de base comme l’e-mail et un nom ne sont pas des données sensibles en Europe. En Turquie peut-être, mais la situation y est de toute façon un peu délicate. Mais le plus important à comprendre est que votre Discourse n’envoie pas les données de connexion nécessaires au SSO. Votre Discourse obtient ces données du SSO.
Tout ce dont vous devez vous soucier est de ne pas vendre/donner ces données plus loin. Vous pouvez les stocker pour vos besoins, cependant. Où vous stockez toutes les données utilisateur dépend de la mesure dans laquelle vous pourriez violer le RGPD. Si vous suivez le RGPD, vous devez vous assurer que les services que vous utilisez (comme Google, Discourse en tant qu’entreprise, le processeur d’e-mails, etc.) suivent le RGPD. Ces entreprises le font la plupart du temps.
Mais comme dit, l’e-mail et le nom ne sont pas des informations aussi sensibles que celles que le RGPD réglemente. Vous pouvez les collecter auprès de vos utilisateurs, si nécessaire, comme pour créer des comptes utilisateurs. Mais vous ne pouvez pas les utiliser, comme les e-mails, comme vous le souhaitez. L’utilisation est réglementée.
Si vous commencez à collecter des adresses de domicile, des lieux de travail, même des statuts matrimoniaux, sans raison, vous enfreignez le RGPD.
Donc, l’information dont vous aviez besoin, mais que vous n’aimez pas pour une raison quelconque, est que le SSO n’a absolument rien à voir avec le RGPD et les réglementations de l’UE. Bien sûr, vous devriez le mentionner dans votre déclaration de sécurité, mais c’est tout.
J’ai fait une recherche rapide par curiosité. Voici une page parmi d’autres qui apparaît : IAPP Il semble que la Turquie ait des lois sur la protection des données inspirées par le RGPD. La situation concernant les données sensibles et les transferts transfrontaliers ne semble pas aussi stricte que vous ne l’avez décrit ci-dessus.
Ce n’est qu’un point et il ne réglemente que le turc.
S’ils ont un utilisateur européen unique ordinaire (B2B est une chose un peu différente), le RGPD doit être suivi, peu importe où se trouve une entreprise. Mais ce n’est pas si difficile non plus. Et pourtant, si la politique de l’entreprise dit quelque chose de différent, c’est une question interne (et si tous les clouds en dehors de l’UE sont interdits, alors ils ne peuvent pas non plus utiliser le Discourse professionnel).
Mes excuses, il ne s’agit pas du tout d’informations sensibles. Il s’agit de toute donnée utilisateur qui peut être utilisée pour identifier la personne. Par exemple, une adresse e-mail peut appartenir à n’importe qui, ou deux personnes peuvent avoir exactement le même nom ; mais en utilisant les deux ensemble, vous pourriez beaucoup plus facilement identifier une personne. Je ne sais pas si vous appelez cela des données personnelles, des données privées ou simplement des données utilisateur. Il ne s’agit cependant pas de données sensibles.
Pourtant : Discourse n’exploite pas les données personnelles pour le SSO. Le SSO sert ces données à Discourse. Et ce que vous voyez chez Discourse est nécessaire. Ce ne sont pas des données réglementées dans l’UE, et je suis totalement sûr que ce ne sont pas des données réglementées en Turquie non plus.
