Je pense que ce serait extrêmement utile pour les modérateurs du site si les adresses IP étaient enregistrées par publication.
Je suis administrateur d’un forum qui permet aux utilisateurs de partager des comptes dans certaines circonstances, et j’ai récemment rencontré un problème de modération après qu’un compte partagé a publié du contenu enfreignant les règles ; nous n’avons pas pu déterminer avec certitude quel utilisateur avait créé les publications.
De plus, pouvoir voir l’adresse IP d’où provient une publication peut aider dans le cas où le compte d’un utilisateur est compromis.
Il y a tellement de colère contre le suivi IP, et le partage de comptes par les utilisateurs semble être un cas très exceptionnel, dont je doute qu’il se produise, mais vous pouvez le trouver dans le production.log. Vous devriez pouvoir rechercher une chaîne dans la publication pour le découvrir.
Je me souviens de quelque chose à ce sujet, c’est pourquoi je pense que la demande de désir ne sera probablement pas acceptée, mais je suis à peu près certain que les journaux de rails ont des chiffres.
Non. Les adresses IP n’ont rien à voir avec le RGPD. Cela n’a d’importance que si la cible tente d’identifier les utilisateurs en tant que personnes — et cela est presque impossible via les adresses IP.
Et pourtant, ce n’est pas et n’a jamais été le cas
Mon IP est actuellement 84.230.91.162. Si Meta construit un système où ils la connectent à mon nom Jakke Lehtonen et utilisent l’IP à dessein (est-ce un mot ?) pour m’identifier ainsi, cette base de données et cette utilisation des données IP tombent sous le RGPD. Mais pas l’IP en soi.
Et si/quand Discourse enregistre toutes les IP et les connecte à une personne réelle d’un utilisateur — SI un nom est donné — cela peut relever du RGPD dans le sens où Discourse ne peut pas enregistrer ces données jusqu’à la fin du monde. Mais parce qu’il est quasi impossible d’utiliser l’IP comme identifiant au niveau de l’application/site web (les opérateurs ont des données plus précises), cela n’a pas d’importance. Et mon IP changera demain, je suppose, et juste après, un autre utilisateur finlandais obtiendra cette IP, et s’il/elle est un utilisateur ici, nous serons dans une situation amusante .
Et c’est pourquoi la suppression ou les demandes de données ne s’appliquent pas aux journaux de serveur.
Seule l’utilisation, le but, est important lorsque la cible de tout acte ou donnée est d’identifier une personne réelle.
L’adresse IP est toujours liée à l’utilisateur connecté avec une adresse IP donnée. Elle n’est pas affichée publiquement mais principalement dans le backend (logs administrateur ou serveur).
Bien sûr, c’est parce que c’est aussi dans les journaux du serveur. Mais l’IP en soi n’identifie pas une personne réelle — c’est le point principal.
Le RGPD réglemente la collecte et l’utilisation de données qui peuvent et seront utilisées pour identifier une personne. Bien sûr, nous pouvons construire de nombreuses bases de données différentes qui peuvent ou non être légales localement, mais c’est un jeu différent de celui du RGPD.
Google Analytics a de gros problèmes en Europe, mais ce n’est pas à cause de la collecte de données personnelles. C’est parce que Google transfère ces données aux États-Unis où la NSA et d’autres autorités peuvent y avoir accès — et cela est contraire aux règles de l’UE.
J’essaie de dire qu’il y a beaucoup de confusion quant à l’application du RGPD, et c’est un vrai désordre. Mais les principes principaux sont vraiment faciles à comprendre :
s’agit-il de données personnelles qui peuvent et identifieront une personne réelle
ces données doivent-elles être utilisées pour identifier une personne réelle
combien de temps ces données sont-elles sauvegardées
l’utilisateur est-il au courant de cette utilisation
C’est votre vrai problème. Cela ne se résout pas en ajoutant plus de journalisation. Vous devriez interdire le partage de comptes et tenir le propriétaire réel responsable de tout ce qui se passe sous son compte utilisateur.
D’accord. Envisagez d’ajouter l’un des plugins qui permet aux membres d’un groupe de publier sous l’identité du groupe, tout en stockant l’auteur réel de la publication en backend pour que les modérateurs puissent l’inspecter.
Règlons d’abord le débat sur le fait de savoir si nous traitons des données personnelles (oui, nous le faisons).
Les adresses IP sont très certainement des données personnelles (sauf dans de très rares circonstances - aucune d’entre elles n’est présente ici). Il n’est pas pertinent de savoir si vous identifiez le sujet des données à partir d’une adresse IP, car vous pouvez toujours utiliser une adresse IP pour isoler un sujet des données.
Les gens prétendent souvent que les adresses IP ne sont pas des données personnelles parce qu’elles ne permettent pas une identification directe. C’est tout simplement faux. Dans l’affaire Breyer c. République fédérale d’Allemagne, la Cour de justice de l’Union européenne a statué que les adresses IP sont des données personnelles car l’adresse IP peut être liée à une personne via le fournisseur d’accès à Internet (FAI). Peu importe que le propriétaire du forum (contrôleur) soit en mesure de le faire, tant que c’est possible, les adresses IP seront considérées comme des données personnelles. Par exemple, lorsque vous, en tant que propriétaire de forum, communiquez des adresses IP à la police, qui obtient ensuite les informations sur la personne derrière l’adresse IP du FAI par le biais d’une ordonnance du tribunal. De plus, le RGPD lui-même précise dans le considérant 30 que les adresses IP sont des données personnelles.
Maintenant, d’un point de vue juridique, vous pourriez certainement enregistrer les adresses IP dans une certaine mesure. Dans quelle mesure dépend fortement des circonstances spécifiques, mais un enregistrement d’un mois serait tout à fait raisonnable pour se protéger contre les abus. Ajoutez des mesures de sécurité appropriées, telles que la pseudonymisation des adresses IP en les hachant, etc.
Il existe cette idée que le simple fait que quelque chose soit une donnée personnelle vous interdit de le traiter sans consentement. C’est fondamentalement incorrect. Le but même du RGPD est de permettre le traitement des données personnelles et il fixe un certain ensemble de règles.
Et cela ne s’applique qu’aux FAI, car ce sont les seuls à pouvoir relier ces données à une personne (et c’est pourquoi les gouvernements réglementent la durée de conservation de ces données ET qui obtient ces informations). Comme le sait très bien un avocat
Je pense que nous avons fait exactement cela pour un client. Il devrait s’agir d’un plugin assez simple où l’IP de la publication est enregistrée dans un champ personnalisé de la publication.
Cela ne s’applique pas uniquement aux fournisseurs d’accès à Internet, et si vous aviez lu le jugement, vous le sauriez Le tribunal a statué que les adresses IP dynamiques constituent des « données personnelles », même lorsque seule une tierce partie (en l’occurrence un fournisseur d’accès à Internet) dispose des données supplémentaires nécessaires pour identifier l’individu.
Peu importe que le site Web lui-même soit en mesure d’identifier la personne concernée, seulement s’il est possible de le faire par l’intermédiaire du fournisseur d’accès à Internet.
C’est vrai, surtout de nos jours. Je ne connais que deux personnes qui partagent un compte de forum parce qu’elles sont mariées.
Il serait peut-être idéal d’avoir une politique de forum interdisant le partage de comptes afin d’éviter ce risque de ne pas savoir qui a posté quoi.
J’ai également vu des conditions légales stipulant que les comptes de forum ne peuvent pas être hérités, ce qui pourrait être une bonne idée d’avoir par écrit au cas où cela poserait problème.
La question initiale portait sur la manière de modérer un problème où quelqu’un publiait quelque chose en dehors des directives communautaires, avec un compte partagé par plusieurs personnes. Si les publications comportaient une signature de l’adresse IP à partir de laquelle elles ont été publiées, les modérateurs pourraient savoir qui a écrit des publications spécifiques.
Cela ne fonctionnerait que si les titulaires de compte informaient les modérateurs/administrateurs qu’ils ont donné à quelqu’un d’autre la permission d’utiliser leur compte depuis une adresse ou un pays différent spécifique.
La deuxième question portait sur la compromission d’un compte, c’est-à-dire si les informations de connexion ont été volées. Des notifications automatiques sont envoyées par e-mail concernant des connexions inhabituelles depuis différents pays.
Le tribunal a statué que les adresses IP dynamiques constituent des « données personnelles », même lorsque seule une tierce partie (en l’occurrence un fournisseur d’accès à Internet) dispose des données supplémentaires nécessaires pour identifier l’individu.