Mise en évidence de ma part, tirée du même document que j’ai lié précédemment.

Le CEPD considère cependant que, en relation avec les activités de traitement liées à l’offre de services, la disposition vise des activités qui ciblent intentionnellement, plutôt qu’involontairement ou incidemment, des personnes dans l’UE. Par conséquent, si le traitement concerne un service qui n’est proposé qu’à des personnes en dehors de l’UE mais que le service n’est pas retiré lorsque ces personnes entrent dans l’UE, le traitement connexe ne sera pas soumis au RGPD. Dans ce cas, le traitement n’est pas lié au ciblage intentionnel de personnes dans l’UE, mais au ciblage de personnes en dehors de l’UE qui se poursuivra qu’elles restent en dehors de l’UE ou qu’elles visitent l’Union.

Ce n’est pas le cas, et spéculer n’aidera pas une discussion.

Ils n’en font plus partie, mais le gouvernement britannique a mis en œuvre ses lois basées sur le RGPD dans une révision de 2018 du Data Protection Act :

Le Data Protection Act

Le Data Protection Act 2018 contrôle la manière dont vos informations personnelles sont utilisées par les organisations, les entreprises ou le gouvernement.

Le Data Protection Act 2018 est la mise en œuvre par le Royaume-Uni du Règlement Général sur la Protection des Données (RGPD).

Toute personne responsable de l’utilisation de données personnelles doit suivre des règles strictes appelées « principes de protection des données ». Elle doit s’assurer que les informations sont :

• utilisées de manière juste, légale et transparente
• utilisées à des fins spécifiées et explicites
• utilisées d’une manière adéquate, pertinente et limitée à ce qui est nécessaire
• exactes et, si nécessaire, tenues à jour
• conservées pas plus longtemps que nécessaire
• traitées d’une manière qui garantit une sécurité appropriée, y compris la protection contre le traitement, l’accès, la perte, la destruction ou les dommages illégaux ou non autorisés

Il existe une protection juridique plus forte pour les informations plus sensibles, telles que :

• la race
• l’origine ethnique
• les opinions politiques
• les croyances religieuses
• l’appartenance à un syndicat
• la génétique
• les données biométriques (lorsqu’elles sont utilisées pour l’identification)
• la santé
• la vie sexuelle ou l’orientation sexuelle

Il existe des garanties distinctes pour les données personnelles relatives aux condamnations pénales et aux infractions.

Vos droits

En vertu du Data Protection Act 2018, vous avez le droit de savoir quelles informations le gouvernement et d’autres organisations détiennent sur vous. Cela inclut le droit de :

• être informé de la manière dont vos données sont utilisées
• accéder aux données personnelles
• faire rectifier les données incorrectes
• faire effacer les données
• arrêter ou restreindre le traitement de vos données
• la portabilité des données (vous permettant d’obtenir et de réutiliser vos données pour différents services)
• vous opposer au traitement de vos données dans certaines circonstances

Vous avez également des droits lorsqu’une organisation utilise vos données personnelles pour :

• des processus de prise de décision automatisés (sans intervention humaine)
• le profilage, par exemple pour prédire votre comportement ou vos intérêts

Source

N’oubliez pas que lorsque l’UE a adopté le RGPD, chaque pays membre a dû transposer la réglementation dans ses propres lois locales. Quitter l’UE n’élimine pas ces réglementations.

C’est réglementer les entreprises basées dans l’UE dans le sens où elles doivent appliquer les mêmes règles à tout le monde. C’est différent de ce que CDCK doit suivre le RGPD lorsqu’un utilisateur d’Inde effectue un voyage en Italie, mais pas lorsque le même utilisateur effectue un voyage en Écosse.

Voici un guide récapitulatif pour l’Islande :

Résumé

Loi : Loi 90/2018 sur la protection de la vie privée et le traitement des données personnelles (« la Loi ») et le Règlement général sur la protection des données (Règlement (UE) 2016/679) (« RGPD »)

Autorité de contrôle : Autorité islandaise de protection des données (« Persónuvernd »)

Résumé : L’Islande est membre de l’Espace économique européen (« EEE »), mais n’est pas un État membre de l’UE. Le RGPD s’applique dans l’EEE en vertu de la Décision n° 154/2018 du Comité mixte de l’EEE, et a été mis en œuvre en Islande par la Loi. Les dispositions transitoires de la Loi stipulent que toutes les règles et réglementations émises en vertu de l’ancienne Loi 77/2000 sur la protection de la vie privée en ce qui concerne le traitement des données personnelles continueront d’être valides tant qu’elles n’enfreignent pas la Loi et le RGPD. Persónuvernd est une autorité de contrôle active qui a publié plusieurs lignes directrices sur le RGPD et le traitement des données en Islande.

Article n° 19

Article 191362×362 34 KB

C’est probablement vrai pour des choses comme les cartes d’identité de pass musées :

Merci pour ce commentaire, mon intention n’était pas de demander des conseils juridiques, mais plutôt de savoir quelle est la loi telle qu’elle est écrite.

Vous pourriez vouloir consulter des avocats concernant les conditions générales, ce qui est probablement une bonne idée. Tout ce que je peux faire maintenant, c’est de déclarer les conditions directement aux gouvernements concernés.

Si j’ai bien compris ce que vous avez écrit, il semble que les conseils juridiques ne soient pas spécifiquement interdits ici sur Meta, cependant, cela représente certainement un risque à la fois pour la personne qui pose la question et pour quiconque répond par des déclarations qui pourraient être considérées comme des conseils juridiques.

Par exemple, si je dis à un juge ou à un jury : Jakke de Finlande m’a dit ceci, mais ce qu’il a écrit s’avère ne pas être entièrement vrai, Jakke pourrait avoir des ennuis pour cela.

Il existe des lois spécifiques concernant le personnel du greffe des tribunaux qui leur interdit absolument de donner des conseils juridiques à quiconque.

Soit dit en passant, le principal réseau communautaire de ma ville est géré par un administrateur en Finlande, d’après ce que j’ai entendu, donc cela devrait être conforme aux lois finlandaises.

Ils utilisent un ancien système de newsletter par e-mail qui envoie une dizaine d’e-mails chaque matin avec des choses que les gens peuvent publier sur leur site web, mais rien n’est publié sur le site web au public, seulement envoyé par e-mail.

Il pourrait y avoir des problèmes avec leur système, car la dernière fois que j’ai essayé de créer un compte chez eux, je n’ai eu aucune réponse. Il est possible qu’ils m’aient banni, mais si c’est le cas, je n’en ai jamais été informé.

Enfin, pour mentionner la raison pour laquelle j’ai posé cette question, ce n’était pas dans le but de conserver des informations de personnes qui souhaitent que leurs comptes soient supprimés ou anonymisés, tant qu’elles n’ont pas enfreint de lois avec un nom de domaine enregistré à mon nom. Je n’ai aucune raison de le faire, à moins qu’elles ne harcèlent des gens ou ne causent d’autres problèmes pour lesquels je devrais transmettre des informations à la police/aux procureurs si cela devenait nécessaire pour une raison quelconque, ce qui n’est que le pire des scénarios.

Si vous voulez savoir ce que dit réellement le RGPD, le meilleur endroit où aller est la source - https://gdpr.eu/

Il existe également de nombreux sites qui vous offrent un résumé général de la signification de la loi. Ils peuvent être trouvés en utilisant un moteur de recherche web standard.

Mon interprétation du statut des conseils juridiques de la part d’une personne aléatoire (sur Discourse ou ailleurs) est « caveat emptor » (que l’acheteur soit vigilant). Si vous gérez un système qui contient des informations personnelles sensibles de l’UE, alors vous seul (ou votre entreprise) êtes responsable de la conformité à la loi. Si vous recevez de mauvais conseils et que vous les suivez, c’est votre responsabilité si cela s’avère être faux. Par exemple, imaginez être arrêté par la police pour avoir roulé à 100 km/h dans une zone limitée à 30 km/h. Quelle sera, selon vous, leur réponse si vous dites « une personne aléatoire X m’a dit que je pouvais rouler aussi vite sur cette route ». Il est de votre responsabilité de vous assurer que tous les conseils que vous recevez sont corrects. Si vous avez un contrat avec une personne aléatoire X où elle est censée vous donner des conseils juridiques sur le RGPD, même cela ne constitue pas une défense. Vous devriez toujours avoir au moins vérifié que la personne était qualifiée pour fournir ces conseils.

Avant de prendre ma retraite, j’étais responsable de la cybersécurité. J’ai passé trop d’heures avec notre conseiller juridique interne et notre coordinateur RGPD à discuter des subtilités de la loi. Cela m’a appris suffisamment pour savoir qu’elle ne peut pas être résumée en quelques mots, ni réellement être correctement considérée par un extérieur qui ne connaît pas votre système ou les données exactes qui y sont incluses, ni qui peut accéder aux données et pour quelles raisons.

C’est une bonne métaphore avec les lois sur la voie publique, je suis d’accord que ce serait une défense nulle comme vous l’avez expliqué.

Les lois peuvent être vraiment ennuyeuses et confuses. J’ai rencontré et parlé avec quelques avocats, mais je n’ai jamais payé pour des conseils juridiques. Les conseils sont une chose assez limitée, même s’il s’agit d’une lettre officielle avec un cachet. Il est plus important pour mener à bien les procédures judiciaires, parfois les avocats sont nécessaires pour cela.

Un exemple plus dramatique avec les voitures serait si une société de location de voitures donnait des informations inexactes aux clients, comme leur dire de rouler du mauvais côté de la route, ce serait différent.

Merci d’avoir posté un lien vers leur site officiel, je n’avais pas pu le trouver plus tôt avec la recherche. C’est une surprise qu’il soit indiqué là que le site est exploité par Proton AG en Suisse, un pays non membre de l’UE.

Vous devriez considérer les conseils donnés sur meta plus dans le sens de :

« attention, il existe des limitations de vitesse sur la plupart des routes et la police surveille activement »
« en général, vous devriez rester à droite »
« dans la plupart des pays de l’UE, la conduite en état d’ébriété à vélo est également interdite »

Désolé de m’éloigner encore du sujet, mais j’ai discuté de généalogie avec un ami plus tôt dans la semaine. Il m’a dit que l’un de ses grands-oncles avait été traduit en justice deux fois pour avoir été ivre aux commandes d’un âne. Pour revenir au sujet, j’espère que son casier judiciaire est protégé par le RGPD

Ceci semble être un bon sujet pour tenter une petite expérience d’inclusion d’un résumé IA dans un message du sujet (bien que manuellement dans ce cas ) :

La discussion a commencé avec le message 1 de Wombat demandant si le RGPD s’appliquait uniquement aux utilisateurs de l’UE. Le message 2 de Jagster a clarifié que le RGPD réglemente les services/sites qui ont des utilisateurs de l’UE, quelle que soit leur localisation.

Wombat a ensuite posé quelques questions de suivi dans le message 3, notant sa compréhension que le RGPD exige l’autorisation de supprimer un compte utilisateur. Jagster a répondu dans le message 4 que l’anonymisation suffit dans le cadre du RGPD, pas la suppression complète.

La discussion a exploré les détails de la portée territoriale du RGPD dans les messages 10-25, RGJ et Jagster clarifiant que la présence physique dans l’UE détermine l’applicabilité, pas la citoyenneté.

Wombat a demandé si la sortie du Royaume-Uni de l’UE avait un impact sur le RGPD là-bas dans le message 16. Stephen a expliqué dans le message 26 que le Royaume-Uni avait mis en œuvre des lois basées sur le RGPD dans sa révision du Data Protection Act de 2018.

Jagster a souligné dans le message 27 que les entreprises doivent appliquer les mêmes règles à tous les utilisateurs de manière égale. La discussion s’est terminée avec RGJ et packman mettant en garde contre le recours à des conseils informels sur le RGPD dans les messages 32-36.

Résumé par IA le 16 sept.

Je pense que les numéros de message sont légèrement erronés en raison de certaines fusions de messages, et cela n’a pas inclus l’âne, mais le voici.

Il est probablement aussi utile de répéter la note précédente concernant l’obtention de conseils juridiques :

Quelqu’un peut-il repérer l’erreur commise par l’IA dans ce résumé ? Il y a au moins une erreur que je peux repérer.

Je travaille sur des brouillons de conditions, je pense que cela fonctionnera :

Toutes les informations qui ne sont pas publiées publiquement sur le forum seront considérées comme confidentielles par l’administration de l’entreprise, sauf sur ordonnance du tribunal pour coopérer avec une procédure judiciaire légale. Les comptes peuvent être supprimés ou anonymisés sur demande. Conformément à la loi RGPD, aucune information personnelle ne peut être conservée si la suppression du compte est demandée, cependant l’administration a le droit d’anonymiser plutôt que de supprimer complètement les comptes, ce qui maintiendra les commentaires publics comme un enregistrement permanent.

Si votre entreprise doit se conformer au RGPD pour son système Discourse, vous devez absolument demander l’avis d’un expert juridique. Avoir une déclaration de conditions d’utilisation concernant l’effacement n’est qu’une petite partie de la conformité.

Vous devrez également identifier vos sujets de données, quelles informations personnelles vous détenez à leur sujet, d’où proviennent les données et où elles vont, comment vous traitez/utilisez les données personnelles que vous détenez et avoir des procédures formelles pour décrire comment vous vous conformez à tous les aspects applicables des réglementations.

Il y a probablement plus de choses, mais mon cerveau a bloqué beaucoup de détails douloureux au cours des 4 années et plus depuis que j’ai été impliqué dans ce domaine.

Je vais chercher des avocats pour m’aider avec ça, merci.

Lorsque j’ai configuré pour la première fois un nouveau forum avec l’hébergement Discourse, cela incluait une documentation générale sur les conditions d’utilisation juridiques qui semblait être un bon point de départ, j’ai donc lu et modifié une partie de cela.

Je n’ai pas le budget pour engager des avocats maintenant, mais ce serait certainement une bonne idée de faire examiner les documents juridiques officiels par des personnes diplômées en droit. Je posterai peut-être dans la catégorie marketplace ici une fois que j’aurai un budget pour cela et pour le développement du site Web. Ce fil de discussion pourrait être fermé, la question initiale ayant été répondue il y a longtemps.

C’est ce que je crois être une erreur dans le résumé de l’IA, mon interprétation de ce que Jagster a déclaré est que le RGPD exige effectivement que les comptes d’utilisateurs soient entièrement supprimés si cela est demandé par le titulaire du compte, bien que cela soit discutable quant à savoir si c’est entièrement vrai.

Il pourrait s’agir d’une question d’interprétation, anonymiser un compte de forum pourrait être considéré comme une forme de suppression de compte.

Je crois qu’il existe des lois concernant la conservation de certains enregistrements de comptes, car ce serait un risque de permettre la suppression complète des comptes par l’utilisateur si des comptes sont utilisés à des fins néfastes.

Bref, bonne discussion, merci à tous.

Cela pourrait être mieux dans un autre fil de discussion, mais est quelque peu lié au RGPD :

Dans une situation où un individu perturbe une communauté de forum et a été banni, mais souhaite créer un nouveau compte.

Il est facile pour eux de créer une nouvelle adresse e-mail et d’obtenir une nouvelle adresse IP, soit en utilisant un ordinateur de bibliothèque, un nouveau fournisseur d’accès à Internet, soit en masquant leur adresse avec un réseau VPN/Tor.

Avec Discourse, il n’y aurait aucun moyen de savoir que le nouveau compte utilisateur a été créé par un individu précédemment banni, à moins que cela ne soit évident dans sa façon de parler.

Si un forum a un paywall, certaines informations personnelles sont collectées lors du paiement par carte ou par d’autres moyens, généralement le nom légal complet d’un individu. Cela pourrait être requis simplement par la politique du forum, même sans paywall.

Alors, si un administrateur a la preuve qu’il s’agit de la même personne essayant de créer un nouveau compte factice après avoir été informé qu’elle est bannie à vie d’un domaine, des poursuites judiciaires pourraient être intentées, soit pour harcèlement, soit pour intention de saboter les systèmes de communication.

Le RGPD peut être pertinent quant à la documentation qui peut être conservée pour les comptes. Il a été mentionné que même demander une pièce d’identité délivrée par le gouvernement pourrait être illégal, sans parler de conserver des enregistrements de celle-ci, non seulement pour vérifier l’identité de quelqu’un.

Le processeur de paiement par carte Stripe m’a demandé non seulement une pièce d’identité, mais aussi de prendre une photo selfie tenant ma pièce d’identité et une note manuscrite avec la date du jour, ce qui a été difficile. C’était seulement lorsque je n’avais pas accès à l’e-mail de mon compte, qui est le seul moyen de changer l’e-mail de connexion sans mot de passe selon leur politique de sécurité.

Quoi qu’il en soit, la question que je peux poser aux avocats concerne la manière de rédiger des mises en demeure formelles, celles-ci sont importantes.

Je pense que si vous exigez une pièce d’identité gouvernementale pour créer un compte, vous aurez un nombre infime d’utilisateurs. Je sais que cela me dissuaderait complètement de tenter de rejoindre un forum - je ne fournirai pas ma pièce d’identité à une personne/un groupe de personnes inconnu(e)s. Une question plus importante pourrait être : « Comment vous prouverez-vous qui vous êtes pour que je sois sûr que vous manipulerez mes informations d’identification en toute sécurité si je songeais à vous les donner ? »

Si vous parveniez à me convaincre de fournir une pièce d’identité, je suis à peu près sûr que vous seriez dans le territoire du RGPD.

Les utilisateurs perturbateurs sont malheureusement une réalité. J’ai eu la chance de n’avoir à bannir qu’une poignée d’utilisateurs en plus de 20 ans de gestion de forum, mais il n’y a pas de « norme » pour un utilisateur perturbateur. Il y en a trois dont je me souviens…

1. L’un s’est fait bannir et a accepté le bannissement en restant à l’écart. Des années plus tard, il a demandé s’il serait autorisé à revenir s’il promettait de bien se comporter. Il a été autorisé à revenir, mais a fini par se disputer avec quelqu’un qui a commencé à devenir perturbateur. Il a supprimé son propre compte sans être banni ni même prié de partir.

2. Un autre s’est fait bannir, mais s’est réinscrit en douce avec d’autres informations. Nous l’avons découvert des années après sa réinscription et il avait été un citoyen modèle du forum après sa réinscription.

3. Le troisième dont je peux me souvenir n’était pas content d’être banni (la plupart des autres utilisateurs l’étaient !) et il s’est réinscrit avec d’autres informations à plusieurs reprises. Le problème avec la réinscription pour être perturbateur est que vous vous mettez rapidement en évidence, ce qui fait de vous une cible facile pour un autre bannissement. Il s’est lassé après s’être réinscrit environ 5 ou 6 fois et n’a plus jamais été vu depuis. Ce qu’il faut retenir de ce type d’utilisateur, c’est que peu importe s’il s’agit de la même personne… si quelqu’un enfreint vos politiques d’une manière qui nécessite un bannissement, vous le bannissez, qu’il s’agisse de la même personne ou non.

D’accord, je n’ai pas l’intention de le faire, surtout parce que c’est illégal pour une raison quelconque. Désolé, c’était un dernier message confus que j’ai écrit en parlant de deux choses différentes.

C’est une belle histoire sur l’oncle de votre ami avec l’âne ! C’est agaçant que je doive montrer une pièce d’identité juste pour acheter une Guinness.

Probablement pas besoin de trop vous soucier du RGPD pour l’instant, bien que mon forum soit ouvert aux pays de l’UE, je n’ai aucune raison de demander des noms légaux ou quoi que ce soit d’autre, à moins que quelqu’un n’ait perdu l’accès à son compte et demande que je change l’e-mail du compte du côté de l’administrateur.

Les gouvernements sont très différents ici sur la côte ouest, les nouveaux n’existent même pas depuis 200 ans !

Les tribus autochtones ont des gouvernements et des systèmes judiciaires indépendants, j’espère travailler avec eux pour des projets de logement, il y a beaucoup de réfugiés qui ont besoin d’un abri.

Les réglementations sont complètement différentes pour les entreprises par rapport aux personnes, je ne peux plus être anonyme du tout.

Stripe Terminal est toujours en version bêta dans de nombreux pays de l’UE :

terminal754×470 34.8 KB