Désolé, au lieu de « bloquer », je voulais dire « suspendre ». Oui, j’ai essayé cela.
Le problème est que l’utilisateur est anonymisé, ce qui modifie son nom d’utilisateur. Je suppose que SAML ne le reconnaît pas et ajoute un nouvel utilisateur car SAML ne parvient pas à trouver l’utilisateur avec son nom d’utilisateur (= parce que l’utilisateur avait été anonymisé auparavant).
Je pense qu’il doit exister un moyen de faire correspondre un utilisateur anonymisé aux données utilisateur SAML. Quelqu’un sait comment procéder et quel attribut valider ?
Ouais, vous ne voulez pas que l’utilisateur ait la possibilité d’interagir avec le forum, et vous ne voulez pas surveiller constamment qui sont les nouveaux utilisateurs.
Il devrait y avoir un moyen de suspendre les e-mails, de la même manière que vous pouvez bloquer les adresses IP.
Il semble que vous ne compreniez pas comment gérer les suppressions demandées par l’utilisateur et quand/où cela ne s’applique pas.
Lorsqu’un utilisateur s’inscrit sur votre site, vous avez le droit de traiter les informations qu’il fournit (e-mail et nom d’utilisateur) dans le but de l’enregistrement. Ce traitement ne prend pas fin lorsqu’il est suspendu et tente de partir, en emportant ses jouets avec lui.
Vous n’êtes pas obligé de supprimer l’e-mail d’un utilisateur banni ou suspendu. Le droit à l’oubli ne supplante pas le but du traitement.
Et comment cela est-il compatible avec le RGPD et le droit des utilisateurs de demander la suppression de leurs données ?
Si vous conservez leur compte, celui-ci reste associé à leurs données et vous conservez leurs informations même lorsqu’ils ont demandé la suppression de leurs données utilisateur.
Je pose la question honnêtement, je ne suis pas un expert juridique.
L’utilisateur peut retirer son consentement au traitement des données personnelles, mais le consentement n’est qu’un des motifs qui peuvent rendre le traitement des données légal en vertu du RGPD.
Un autre motif peut être l’intérêt légitime du responsable du traitement (article 6.1, f : le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement). Un tel intérêt légitime peut être de s’assurer que l’utilisateur ne peut pas créer un nouveau compte. Sinon, l’utilisateur pourrait abuser du RGPD pour faire effacer tous les enregistrements, y compris le fait qu’il s’est mal comporté.
Article 17 du RGPD, emphase ajoutée.
La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer, dans les meilleurs délais, des données à caractère personnel lorsque l’un des motifs suivants s’applique : (…)
le consentement sur lequel est fondé le traitement est retiré par la personne concernée (…) et lorsqu’il n’existe pas d’autre fondement juridique au traitement ;
Ce qui signifie essentiellement : oui, le forum doit supprimer les données de l’utilisateur à sa demande, mais comme le forum a suspendu l’utilisateur, il a besoin d’un moyen de s’assurer que l’utilisateur ne crée pas de nouveau compte, il a donc une bonne raison de conserver l’adresse e-mail de l’utilisateur suspendu, malgré la demande de l’utilisateur.
Une façon de faire cela dans Discourse est d’anonymiser l’utilisateur (déjà suspendu) puis de rétablir l’adresse e-mail anonymisée à son adresse e-mail réelle. Vous pourriez également vouloir conserver leur adresse IP d’enregistrement, sur la base du même motif, et l’ajouter à la liste de blocage.