Questions sur l'anonymisation des utilisateurs et le RGPD

Bonjour,

Sur une instance publique de Discourse, un utilisateur a récemment demandé la suppression de son compte utilisateur, ce qui a conduit un modérateur à utiliser la fonctionnalité d’anonymisation de Discourse.

Cependant, j’ai rapidement remarqué que l’identifiant utilisateur nouvellement attribué pouvait être utilisé dans le formulaire de recherche avancée pour retrouver tous les messages passés de cet auteur. Il est très facile pour de tels messages de contenir des éléments d’information qui peuvent aider à identifier l’utilisateur et à lier ses activités en ligne avec le compte « anonymisé » à son existence physique (par exemple, un nom de famille, un âge, la mention de l’endroit où il vit…).

Cela pose un problème car cela ne répond pas à la demande de ces auteurs de protéger leurs droits à la vie privée. Ils pourraient même penser que leur demande a été satisfaite alors que des informations subsisteront et seront très faciles à retrouver par d’autres. De plus, il est possible qu’ils aient été mineurs lorsqu’ils utilisaient ce compte, ce qui crée des problèmes supplémentaires.

Bien que je ne sois pas juriste, cela n’est très certainement pas conforme à la loi d’au moins certains pays européens - y compris, je crois, la France dont je suis citoyen (pour les francophones lisant ceci, voici un lien vers la page dédiée de notre agence officielle de protection des données : Le droit à l’effacement : supprimer vos données en ligne | CNIL). Il est généralement admis que la suppression des données utilisateur signifie réellement la suppression de tout type de données susceptibles d’aider à identifier l’utilisateur (pas besoin d’un nom officiel complet ou d’un identifiant sans ambiguïté : toute mention de caractéristiques personnelles, aussi imprécise soit-elle, suffit).

Étant donné que vous ne souhaitez probablement pas que les administrateurs et les modérateurs parcourent tout l’historique des publications d’un utilisateur demandant l’anonymisation, et qu’ils effacent manuellement toute information potentiellement personnelle dans le contenu de ces messages, il me semble que la seule solution raisonnable est de supprimer physiquement tous les messages de cette personne, ainsi que toute citation de ceux-ci dans les messages ultérieurs.

De plus, si vous craignez que cela ne perturbe les discussions passées, vous pourriez vouloir donner aux utilisateurs et aux modérateurs deux options : anonymisation superficielle (comportement actuel) et suppression complète (comme proposé ci-dessus).

PS : Je ne fournis aucun lien vers l’instance Discourse d’origine, car cela ne ferait que risquer de rendre publique une personne qui a demandé à être oubliée. Bien sûr, je peux les envoyer en privé aux mainteneurs de Discourse.

Il existe déjà une option pour effacer complètement un compte. Il suffit de supprimer tous les messages, puis de supprimer le compte.

Screenshot_20240313_133522_Chrome1079×2362 151 KB

De plus, si vous souhaitez que les messages subsistent mais ne soient pas liés à un utilisateur spécifique, vous pouvez anonymiser le compte, puis le fusionner avec le compte système ou un autre compte qui peut servir de substitut à tous les utilisateurs anonymisés.

Remarque : cet avertissement n’est qu’un paramètre qui peut être remplacé.

Screenshot_20240313_134621_Chrome1080×913 129 KB

Discourse a bien une option qui pourrait être utilisée.

Fusionner des comptes

Screenshot_20240313-144239864×1698 137 KB

Il suffit de fusionner chaque nouveau compte anonymisé avec chaque nouveau compte anonymisé.

Bien sûr, une suppression complète ou un ensemble de mots-clés pourrait être utile pour supprimer les identificateurs possibles. Cependant, cela rendrait plus difficile l’utilisation des chaînes de messages.

Une autre fonctionnalité qu’Anonymize pourrait proposer est une demande de fonctionnalité pour rendre le profil utilisateur anonymisé privé. Ainsi, le profil utilisateur ne serait pas visible.

Je ne suis pas avocat non plus, mais une compréhension de base de la conformité au RGPD (pas spécifique à un pays) est qu’elle peut être maintenue avec une politique obligeant les gens à ne pas publier de données personnelles identifiables dans les messages du forum.

Cela nécessite une surveillance active pour être maintenu, mais tant que cela est fait, la fonction d’anonymisation n’est techniquement même pas nécessaire pour se conformer au RGPD. Un compte utilisateur pourrait simplement être suspendu définitivement tant que son nom d’utilisateur et sa carte ne l’identifient pas, alors il n’y a pas de données personnelles conservées. (Edit : pas de données personnelles visibles publiquement, mais la base de données contient toujours l’e-mail + l’adresse IP à moins que le compte ne soit anonymisé).

Cela peut être un défi si les administrateurs du forum ne remplissent pas volontairement toutes les exigences, alors tout ce qui peut être fait est de les signaler pour cela et il peut y avoir une citation ou un appel d’un régulateur pour faire appliquer la conformité.

Edit : Le compte doit être anonymisé pour purger l’adresse IP/l’e-mail de la base de données, ce qui est important pour le RGPD, mais ceux-ci ne sont jamais publiés publiquement par le système, contrairement au nom d’utilisateur qui peut être un nom légalement identifiable.

De plus, une fois que quelque chose a été publié sur Internet public pendant plus de deux mois, il peut y avoir des archives publiques ou non publiques créées à partir de cela, donc simplement supprimer les messages de discussion originaux ne changera pas cela. Il est important que les gens fassent attention à ne pas partager d’informations personnelles dans les messages du forum s’ils veulent être anonymes ou avoir leur compte entièrement anonymisé.

Votre phrase devrait continuer : …qui est collectée par le système.

Y compris la France, car il s’agit d’une chose au niveau de l’UE, pas nationale.

D’après mon expérience, cela ne correspond pas aux modèles de publication réels dans les forums du monde réel. Même dans des contextes relativement impersonnels (comme une communauté open source), certaines personnes publient encore, occasionnellement, des informations personnelles qui pourraient plus ou moins facilement aider un lecteur à les identifier, même après anonymisation du nom d’utilisateur.

En d’autres termes, je pense que le type de forum que vous décrivez n’existe probablement pas en pratique.

Merci pour cette information. Je ne suis pas modérateur moi-même, mais je transmets l’information.

Ces lois, comme vous le soulignez, sont sujettes à interprétation.

Discourse propose plusieurs options que les administrateurs de forum sont libres d’utiliser à leur discrétion, comme bon leur semble, pour faire appliquer leur propre interprétation de la loi.

Nous avons plusieurs clients avec des intégrations de demandes de suppression RGPD pointant vers leur site ; certains suppriment les publications et les comptes directement, d’autres anonymisent. Certains le font manuellement.

Mais ce qu’ils font est leur décision - nous ne sommes pas le propriétaire des données des forums - ce sont eux. Et s’ils estiment que notre gestion de l’anonymisation est insuffisante (ce qu’ils ont fait), alors nous y remédions (ce que nous avons fait).

Si vous estimez que l’anonymisation était insuffisante sur le site dont vous parlez, il est préférable de vous adresser à eux.

Hm. Il semble étrange que les mainteneurs de sites soient responsables des traces personnelles que les gens ont entrelacées dans la toile de conversations d’un forum.

Je ne sais pas ce que signifie « IOW », mais j’ai vu cette pratique maintenue sur un forum basé aux États-Unis pour la conformité FTC, ainsi que le RGPD pour les utilisateurs européens. Je suis aux États-Unis, pas dans l’UE.

Ici, chez Meta, il est de politique de ne pas signer les messages, car la carte utilisateur sert de signature où les gens peuvent avoir un lien vers leur propre site et certaines informations de contact personnelles tant que cela est limité à la carte utilisateur et n’a pas besoin d’être publié dans les messages.

Il est courant que les gens oublient s’il s’agit d’une politique, cela nécessite donc une modération active pour la maintenir, ce n’est peut-être pas une pratique courante, mais elle existe.

C’est utile, merci !

Oui, je sais

C’est ce que j’ai fait, et il m’a été suggéré en réponse de demander sur meta.discourse.org, d’où ce sujet

« Autrement dit »

Merci, il y avait aussi un autre acronyme « IME », celui-ci est aussi un mystère.

Je parlais spécifiquement des informations de contact personnel direct, ce que la FTC réglemente ainsi que le RGPD.

Des déclarations comme « Je vis en Suède » n’ont pas besoin d’être censurées pour la conformité au RGPD.

Cela me donne l’impression que les administrateurs du forum en question ne sont pas conscients des fonctionnalités disponibles. Je peux vous dire avec une conviction absolue que nous fournissons tous les outils nécessaires pour utiliser Discourse d’une manière conforme au RGPD. La manière dont ils choisissent d’utiliser ces outils est discrétionnaire.

« IME » signifie, je crois, « In My Example » (Dans mon exemple).

L’UE est intéressante car il incombe à l’administrateur du site de « bloquer » les adresses IP de l’UE si elles ne sont pas conformes au RGPD. Il se peut que je me souvienne mal de certains détails.

Petit ajustement : je dirais que cela signifie « In My Experience ».

C’est exact ! Désolé pour ça.

Bien que « J’habite en Suède » ne soit pas assez distinctif, « J’ai 14 ans et j’habite dans ce petit village en Suède » l’est probablement.

D’après ce que je comprends, la définition du RGPD est beaucoup plus large que les « informations de contact personnelles directes », tout comme celle des lois nationales antérieures au RGPD, comme en France.

Voir What is considered personal data under the EU GDPR? - GDPR.eu

Et en particulier cet exemple :

Il y a des millions de Robert dans le monde, mais quand vous dites le nom « Robert », vous essayez généralement d’attirer l’attention de la personne à qui vous faites face. En ajoutant un autre point de données au nom (dans cet exemple, la proximité), vous avez suffisamment d’informations pour identifier un individu spécifique. Ces points de données sont des identificateurs.

Non, pas du tout.

Et le RGPD n’est pas fait pour ça, pas du tout. Un utilisateur peut révéler autant d’informations personnelles qu’il le souhaite.

Merci d’avoir clarifié, c’est difficile de suivre toutes ces abréviations.

@pitrou tout va bien, trop d’abréviations à mémoriser. . Je dois souvent les rechercher quand je ne suis pas familier avec une.

Par défaut, la fonctionnalité d’anonymisation supprime simplement l’adresse IP, l’e-mail et le nom d’utilisateur du compte de la base de données, ce qui ne garantit en rien la protection de l’anonymat de quelqu’un, en fonction de ce qu’il a publié sur un site qui n’a pas été supprimé.

Pour la situation que vous avez décrite, il serait peut-être préférable de déposer une plainte auprès des autorités françaises si les administrateurs du site ne respectent pas leur responsabilité envers le RGPD français et d’autres lois pertinentes.