GNU social JP
  • FAQ
  • Login
GNU social JPは日本のGNU socialサーバーです。
Usage/ToS/admin/test/Pleroma FE

  • Public

    • Public
    • Network
    • Groups
    • Featured
    • Popular
    • People

Conversation

Notices

  1. Embed this notice
    Stéphane Bortzmeyer (bortzmeyer@mastodon.gougere.fr)'s status on Friday, 29-Dec-2023 17:41:14 JST Stéphane Bortzmeyer Stéphane Bortzmeyer

    Là, les pros du #RGPD (qui prévoit que le consentement est révocable à tout moment) ont de quoi travailler : https://www.leparisien.fr/intime/jen-ai-des-centaines-doit-on-garder-les-nudes-de-ses-ex-28-12-2023-W3PELHEX3BEMLKWOST3BWZ2DII.php

    In conversation Friday, 29-Dec-2023 17:41:14 JST from mastodon.gougere.fr permalink

    Attachments

    1. Domain not in remote thumbnail source whitelist: assets.leparisien.fr
      « J’en ai des centaines » : doit-on garder les nudes de ses ex ?
      from @le_parisien
      Échanger des photos et vidéos à caractère sexuel est devenu une habitude que ce soit pour séduire ou dans le cadre d’une relation longue. Il
    • Haelwenn /элвэн/ :triskell: likes this.
    • Embed this notice
      Haelwenn /элвэн/ :triskell: (lanodan@queer.hacktivis.me)'s status on Friday, 29-Dec-2023 17:42:51 JST Haelwenn /элвэн/ :triskell: Haelwenn /элвэн/ :triskell:
      in reply to
      @bortzmeyer Sauf que RGPD s'applique pas contre les personnes physiques.
      In conversation Friday, 29-Dec-2023 17:42:51 JST permalink
    • Embed this notice
      Haelwenn /элвэн/ :triskell: (lanodan@queer.hacktivis.me)'s status on Friday, 29-Dec-2023 17:49:16 JST Haelwenn /элвэн/ :triskell: Haelwenn /элвэн/ :triskell:
      in reply to
      @bortzmeyer C'est dans l'article 2:

      https://eur-lex.europa.eu/eli/reg/2016/679#art_2
      > 2. This Regulation does not apply to the processing of personal data:
      > […]
      > (c) by a natural person in the course of a purely personal or household activity;
      In conversation Friday, 29-Dec-2023 17:49:16 JST permalink

      Attachments

      1. Domain not in remote thumbnail source whitelist: eur-lex.europa.eu
        EUR-Lex - 32016R0679 - EN - EUR-Lex
    • Embed this notice
      Stéphane Bortzmeyer (bortzmeyer@mastodon.gougere.fr)'s status on Friday, 29-Dec-2023 17:49:18 JST Stéphane Bortzmeyer Stéphane Bortzmeyer
      in reply to
      • Haelwenn /элвэн/ :triskell:

      @lanodan J'avais raté ce point. Une personne physique qui stocke des données personnelles peut ignorer le RGPD ?

      In conversation Friday, 29-Dec-2023 17:49:18 JST permalink
    • Embed this notice
      Stéphane Bortzmeyer (bortzmeyer@mastodon.gougere.fr)'s status on Friday, 29-Dec-2023 17:53:20 JST Stéphane Bortzmeyer Stéphane Bortzmeyer
      in reply to
      • Haelwenn /элвэн/ :triskell:

      @lanodan Je n'avais pas tout bien lu.

      In conversation Friday, 29-Dec-2023 17:53:20 JST permalink
      Haelwenn /элвэн/ :triskell: likes this.
    • Embed this notice
      Rodolphe (rodolphe@pwet.what.tf)'s status on Friday, 29-Dec-2023 19:49:45 JST Rodolphe Rodolphe
      in reply to
      • Haelwenn /элвэн/ :triskell:
      @bortzmeyer @lanodan Je me permet d'intervenir pour insister sur la seconde partie, « purely personal or household activity » ou « activité strictement personnelle ou domestique » en français.
      Cette précision est importante car très limitative. En particulier, toute publication ou transmission à un tiers sort de cette définition et rend donc le RGPD applicable. Après, dans le cas précis des nudes sont publiées ou transmissent sans le consentement de la personne concernée, les poursuites pénales (article 226-2-1 du code pénal) me semblent bien plus adaptées que celles liées au RGPD.

      Mais bon, ce n'est parce que quelque chose est légal qu'il est éthique de le faire. Respecter le choix des autres, même après la rupture d'une relation, reste à mon sens le choix le plus moral.

      Dans un contexte moins intime, le RGPD ne s'applique donc pas non plus pour les particuliers qui entretiennent un carnet d'adresses (numérique ou non) de leurs contacts. En revanche, il s'applique en cas de publication ou transmission, ce qui restreint la possibilité de le faire. Le consentement est une des 6 bases légales possible pour le faire, mais ce n'est pas la seule (cf. article 6 du RGPD). Par exemple, si un de vos contacts vous fait part de son intention d'attenter à sa vie, le RGPD permet de transférer ses coordonnées aux secours sur le fondement de deux bases légales :
      - l'obligation légale (article 6, 1. c du RGPD) sur base de l'obligation de porter secours (article 223-6 du code pénal) ;
      - la sauvegarde des intérêts vitaux de la personne concernée (article 6, 1. d du RGPD).
      Je me devais de préciser ça pour les éventuelles personnes qui seraient susceptibles de lire ce post et d'invoquer le RGPD à tort ou bien qui ne reconnaissent que le consentement comme base légale. D'une manière générale le RGPD est logique et bien rédigé, donc si une situation paraît absurde c'est généralement (mais pas toujours j'en conviens) que l'on a fait une mauvaise interprétation.


      PS : pour le texte du RGPD en français sur eur-lex, pensez à ajouter « ?locale=fr » à la fin de l'URL (avant un éventuel # bien entendu, mais normalement les gens lisant ça le savent déjà) : https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr
      In conversation Friday, 29-Dec-2023 19:49:45 JST permalink

      Attachments

      1. Domain not in remote thumbnail source whitelist: eur-lex.europa.eu
        EUR-Lex - 32016R0679 - FR - EUR-Lex
      Haelwenn /элвэн/ :triskell: likes this.
    • Embed this notice
      Haelwenn /элвэн/ :triskell: (lanodan@queer.hacktivis.me)'s status on Friday, 29-Dec-2023 20:06:39 JST Haelwenn /элвэн/ :triskell: Haelwenn /элвэн/ :triskell:
      in reply to
      • Breizh
      @breizh @bortzmeyer Ouais enfin le contexte c'est simplement les garder.

      Et y'a sans doute des lois bien plus adaptés que le RGPD pour ce genre de choses, par example l'Article 9 du Code civil auquel Wikipédia pointe pour les questions de droits à l'image:
      > Chacun a droit au respect de sa vie privée.
      > Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée : ces mesures peuvent, s'il y a urgence, être ordonnées en référé.
      In conversation Friday, 29-Dec-2023 20:06:39 JST permalink
    • Embed this notice
      Breizh (breizh@pleroma.breizh.pm)'s status on Friday, 29-Dec-2023 20:06:41 JST Breizh Breizh
      in reply to
      • Haelwenn /элвэн/ :triskell:

      @lanodan @bortzmeyer Il s'applique pas à un usage purement personnel*

      Une personne physique est tout à fait attaquable quand elle diffuse des données, ou filme autrui sans consentement, ce genre de chose. Je pense qu'ici on est dans le strictement personnel, mais ça semble compliqué à juger.

      In conversation Friday, 29-Dec-2023 20:06:41 JST permalink
    • Embed this notice
      Breizh (breizh@pleroma.breizh.pm)'s status on Friday, 29-Dec-2023 20:11:47 JST Breizh Breizh
      in reply to
      • Haelwenn /элвэн/ :triskell:

      @bortzmeyer @lanodan Oui, je sais que c'était pas la question, je précisais juste que c'était inexact de dire que ça ne concerne pas les particuliers, vu que c'est une erreur encore commune…

      Pour le cas précis qui nous concerne, comme je l'ai dit, difficle à dire. Pour moi les garder serait de l'usage strictement personnel, donc si c'est illégal ce ne serait pas via le RGPD.

      Mais je vois aussi comme on pourrait le considérer différemment, donc faudrait l'avis d'un (voire plusieurs, si c'est ambigu…) juriste pour trancher, je suppose.

      In conversation Friday, 29-Dec-2023 20:11:47 JST permalink
      Haelwenn /элвэн/ :triskell: likes this.
    • Embed this notice
      Stéphane Bortzmeyer (bortzmeyer@mastodon.gougere.fr)'s status on Friday, 29-Dec-2023 20:11:49 JST Stéphane Bortzmeyer Stéphane Bortzmeyer
      in reply to
      • Haelwenn /элвэн/ :triskell:
      • Breizh

      @breizh @lanodan Ici, il ne s'agissait pas de diffuser. Et les photos avaient été consenties. La question était plutôt « est-ce que la fin de la relation signifie retrait du consentement ? »

      In conversation Friday, 29-Dec-2023 20:11:49 JST permalink
    • Embed this notice
      fatuus (fatuus@mstdn.fr)'s status on Friday, 29-Dec-2023 20:22:37 JST fatuus fatuus
      in reply to
      • Haelwenn /элвэн/ :triskell:
      • Breizh

      @breizh @bortzmeyer @lanodan de toute façon c'est déjà illégal le revenge-p0rn non ?

      Mais j'aime beaucoup le débat autour du GDPR dans ce cas de figure.
      (Pas besoin d'être des nuées, quand est-il des photos de vacances?)

      In conversation Friday, 29-Dec-2023 20:22:37 JST permalink
      Haelwenn /элвэн/ :triskell: likes this.
    • Embed this notice
      Rodolphe (rodolphe@pwet.what.tf)'s status on Saturday, 30-Dec-2023 04:38:14 JST Rodolphe Rodolphe
      in reply to
      • Haelwenn /элвэн/ :triskell:
      • Jérémy -Jeey-
      • Rodolphe
      @bortzmeyer @jeeynet @lanodan Et c'est seulement après avoir posté que je repense au fait que dans cette histoire il faut aussi penser à étudier le caractère intentionnel ou non de la synchronisation. 😅

      https://www.commitstrip.com/fr/2017/10/18/true-story-syncing-the-wrong-folder/
      In conversation Saturday, 30-Dec-2023 04:38:14 JST permalink

      Attachments

      1. Domain not in remote thumbnail source whitelist: www.commitstrip.com
        True Story – Syncing the wrong folder
        from CommitStrip
        Le blog qui raconte la vie des codeurs
      Haelwenn /элвэн/ :triskell: likes this.
    • Embed this notice
      Rodolphe (rodolphe@pwet.what.tf)'s status on Saturday, 30-Dec-2023 04:38:16 JST Rodolphe Rodolphe
      in reply to
      • Haelwenn /элвэн/ :triskell:
      • Jérémy -Jeey-
      • Rodolphe
      @jeeynet @bortzmeyer @lanodan (suite et fin)

      De la caractérisation du rôle de chacun va découler la responsabilité associée. Et ça c'est la partie la plus facile car il n'y a pas trop à réfléchir : le RGPD a déjà préparé le travail. En effet, dans chaque article susceptible d'engendrer des manquements, le RGPD prend le soin de dire si la responsabilité incombe au responsable de traitement, au sous-traitant ou aux deux.

      Ainsi, l'article 5 dispose que c'est le responsable de traitement qui est responsable de la licéité du traitement. Si l'on ne retient que le caractère illicite du traitement, ce qui est ici, je pense, le seul véritable manquement, il n'y a que les acteurs reconnus comme responsables du traitement qui seront sanctionnées.

      Si l'hébergeur avait été reconnu sous-traitant, il ne sera donc normalement pas inquiété. S'il est également responsable de traitement s'agissant de la réutilisation des données et qu'il ne s'agit pas d'un service spécifiquement dédié aux nudes, je pense qu'il est préférable d'analyser ça au titre du RGPD dans une procédure dédiée.
      In conversation Saturday, 30-Dec-2023 04:38:16 JST permalink
    • Embed this notice
      Rodolphe (rodolphe@pwet.what.tf)'s status on Saturday, 30-Dec-2023 04:38:17 JST Rodolphe Rodolphe
      in reply to
      • Haelwenn /элвэн/ :triskell:
      • Jérémy -Jeey-
      @jeeynet @bortzmeyer @lanodan C'est une bonne question et je n'ai pas de réponse simple. Avant toute chose, je précise qu'il ne s'agit que de mon avis personnel, qu'il n'engage que moi, que malgré mon expérience dans le domaine je n'ai pas de véritable formation juridique et que je suis susceptible de me tromper. Ce qu'il faudrait c'est de la jurisprudence dans le domaine. Peut-être que ça existe, mais je n'en connais pas (et je n'ai pas beaucoup cherché). Bref, je vais axer mon raisonnement autours de ce que je connais le mieux, c'est à dire le RGPD, en supposant que dans un cadre pénal un raisonnement similaire sera tenu.

      Je pense donc que la réponse va beaucoup dépendre de la situation et nécessite d'apprécier plusieurs éléments. Tout d'abord : est-ce que le RGPD est applicable ou non ? Autrement formulé : est-ce que confier à un hébergeur des données personnelles que l'on détient pour un usage strictement personnel ou domestique est ou non à un usage autre qui, si c'était le cas, constituerait un traitement soumis au RGPD.

      Sur le plan purement technique, il y a bien transmission à un tiers (l'hébergeur), donc l'argument du traitement soumis au RGPD peut se défendre. Cependant, sur le plan juridique j'en suis beaucoup moins certain et je pense donc que la réponse peut varier en fonction de la nature exacte de la prestation d'hébergement. Je propose de se poser trois questions afin d'y répondre :
      1. Est-ce que l'hébergeur a mis en place des mesures techniques et organisationnelles de protection de la vie privée et ces dernières sont-elles suffisantes ?
      2. Est-ce que l'offre d'hébergement est générique ou bien est-elle spécifiquement dédiée aux nudes ou similaire ?
      3. Est-ce que l'hébergeur se contente de l'hébergement technique de manière neutre ? Ceci appel deux sous-questions :
      a. Est-ce que l'hébergeur scan les données hébergées ?
      b. Est-ce que l'hébergeur réutilise les données à ses propres fins ?

      Ainsi, dans le cas d'un hébergeur générique ayant mis en oeuvre des mesures techniques et organisationnelles de protection de la vie privée efficace, qui ne réutilise pas les données à ses propres fins et ne scan pas les données ou bien les scan exclusivement pour la recherches de virus/malwares, je pense qu'on pourrait retenir un usage strictement personnel ou domestique non soumis au RGPD. À l'inverse, dans le cas d'un hébergeur n'ayant pris aucune mesure de protection des données personnelles et réutilisant les données pour ses propres fins, je pense que l'on peut considérer qu'il y a un traitement soumis au RGPD, surtout si le service est dédié aux nudes.

      Ceci mis au point, que dire du statut de l'hébergeur ? Dans le cas où le traitement n'est pas soumis au RGPD, je trouve que ça n'a pas de sens de lui attribuer un statut défini par le RGPD. Je propose donc de le voir comme un simple intermédiaire technique qui n'a pas de responsabilité spéciale dans l'affaire.
      En revanche, dans le cas où il y aurait un traitement soumis au RGPD, il faut se poser la question de s'il est sous-traitant ou bien coresponsable de traitement voir, dans certains cas, responsable à part entière. Et c'est là que tout se complexifie encore plus.

      Parce que oui, s'agissant des services cloud, la détermination des roles de chaque partie dépends de beaucoup de choses. L'analyse peut être longue et complexe mais, en règle générale, on tend à considérer qu'un prestataire SaaS est un sous-traitant. Cependant, ceci n'est pas automatique. En particulier, un hébergeur peut être considéré comme sous-traitant certaines parties propres à l'hébergement des données, mais aussi comme responsable de traitement à part entière pour les traitement découlant de la réutilisation des données de ses clients à ses propres fins (spoiler alert : chers hébergeurs, ne faites pas ça sans en parler à un avocat spécialisé avant).
      Bref, c'est très complexe et il y a beaucoup d'éléments à prendre en compte. Afin d'avoir plus d'informations, je te propose de lire la section 3.2 du rapport (en anglais) de l'EDPB traitant de l'utilisation des services cloud par le secteur public.
      https://edpb.europa.eu/news/news/2023/edpb-determines-privacy-recommendations-use-cloud-services-public-sector-adopts_en
      https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf
      (nota : pour bien lire ce rapport, je recommande d'ouvrir les versions françaises et anglaises de l'article 4 du RGPD afin de bien identifier la signification des termes employés)

      […]
      (suite dans le pouet suivant)
      In conversation Saturday, 30-Dec-2023 04:38:17 JST permalink

      Attachments

      1. Domain not in remote thumbnail source whitelist: edpb.europa.eu
        EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force | European Data Protection Board

    • Embed this notice
      Jérémy -Jeey- (jeeynet@framapiaf.org)'s status on Saturday, 30-Dec-2023 04:38:19 JST Jérémy -Jeey- Jérémy -Jeey-
      in reply to
      • Haelwenn /элвэн/ :triskell:
      • Rodolphe

      @bortzmeyer @rodolphe @lanodan
      Et je me pose la question de la co-responsabilité d'une personne morale qui se serait vue à gérer des DCP de la part d'une personne physique n'ayant pas reçu l'autorisation de faire.
      Par exemple, le #RGPD s'applique à Google quand une personne physique synchronise ses contacts sous Android. Quid de la personne sauvegardant des nudes d'une ex sur un cloud externe ?

      In conversation Saturday, 30-Dec-2023 04:38:19 JST permalink
    • Embed this notice
      Stéphane Bortzmeyer (bortzmeyer@mastodon.gougere.fr)'s status on Saturday, 30-Dec-2023 04:38:21 JST Stéphane Bortzmeyer Stéphane Bortzmeyer
      in reply to
      • Haelwenn /элвэн/ :triskell:
      • Rodolphe

      @rodolphe @lanodan Ici, la question était « faut-il les effacer ? » Les transmettre serait clairement dégueulasse et illégal. Mais les garder sans les transmettre ?

      In conversation Saturday, 30-Dec-2023 04:38:21 JST permalink
    • Embed this notice
      Haelwenn /элвэн/ :triskell: (lanodan@queer.hacktivis.me)'s status on Saturday, 30-Dec-2023 04:41:05 JST Haelwenn /элвэн/ :triskell: Haelwenn /элвэн/ :triskell:
      in reply to
      • 🐧DaveNull🐧 ☣️pResident Evil☣
      @devnull @bortzmeyer Le courriel c'est pas domestique.
      In conversation Saturday, 30-Dec-2023 04:41:05 JST permalink
    • Embed this notice
      🐧DaveNull🐧 ☣️pResident Evil☣ (devnull@mamot.fr)'s status on Saturday, 30-Dec-2023 04:41:06 JST 🐧DaveNull🐧 ☣️pResident Evil☣ 🐧DaveNull🐧 ☣️pResident Evil☣
      in reply to
      • Haelwenn /элвэн/ :triskell:

      @lanodan C'est plus traitement de DCP à titre privé que personnes physiques

      Le RGPD PEUT s'appliquer contre une personne physique dans certains cas. Je crois que c'est l'ADP espagnole qui avais mis une amende assez salée à un particulier qui avait utilisé le champ « À » d'une message pour y mettre plusieurs adresses emails de gens qui se connaissent pas.

      Il y eu aussi le cas d'un politicien belge qui détourné des adresses emails pour de la comm' politique

      https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_53/2020

      @bortzmeyer

      In conversation Saturday, 30-Dec-2023 04:41:06 JST permalink

      Attachments


Feeds

  • Activity Streams
  • RSS 2.0
  • Atom
  • Help
  • About
  • FAQ
  • TOS
  • Privacy
  • Source
  • Version
  • Contact

GNU social JP is a social network, courtesy of GNU social JP管理人. It runs on GNU social, version 2.0.2-dev, available under the GNU Affero General Public License.

Creative Commons Attribution 3.0 All GNU social JP content and data are available under the Creative Commons Attribution 3.0 license.