Notices by purr@firefish.asso-purr.eu.org

La CNIL a annoncé retirer la possibilité initialement envisagée de pouvoir agir via une plainte collective portée par elle ou la Gendarmerie, initialement promis.

Qu’à cela ne tienne !

Notre association est encore trop jeune pour légalement pouvoir agir en procédure collective (moins de 5 ans). Si vous avez connaissance d’une association en capacité de le faire, nous sommes très preneur pour les y aider !

Le RGPD autorise cependant aussi la représentation par mandat en procédure individuelle, nous allons lancer ceci très prochainement le temps de mettre en place la procédure de signature.
L’association portera vos plaintes en votre nom devant la CNIL, mutualisant les efforts et vous évitant les tracas administratifs malheureusement légion dans les procédures de plainte de notre Commission…

Nous repartons au charbon devant la @cnil@social.numerique.gouv.fr !

Suite aux (nombreuses) récentes fuites de données, nous saisissons à nouveau notre Autorité de Contrôle sur ce problème qu’elle ne semble manifestement pas considérer autant qu’elle le devrait.
Si vous avez été victime d’une fuite de données ces derniers mois, vous pouvez vous joindre à nous et soutenir nos demandes.

https://demarches.asso-purr.eu.org/letters/571bf231-cf14-4680-ad89-9a9f68987646

@ap10336@diaspodon.fr L’asso qui va toquer à la porte de la CNIL 😀

@koalie@mastodon.social @ap10336@diaspodon.fr Saisir la CNIL pour lui dire de sanctionner ceux qui ont des fuites…

@ap10336@diaspodon.fr @koalie@mastodon.social La CNIL a de très grandes chances de classer les dossiers sans suite ou dans 5 ans avec une simple tape sur la tête.
On veut mettre un peu la pression sur notre APD. On devrait communiquer plus ce week-end sur le sujet.

Bonjour les gens !
Si vous avez été victime récemment (ou moins récemment) d’une fuite de données, contactez-nous sur procedures@asso-purr.eu.org si vous êtes intéressé·e pour rejoindre une procédure collective devant la @cnil@social.numerique.gouv.fr !
Précisez votre identité, le responsable de traitement concerné et la date des faits.
On enverra un joli courrier à notre APD avec tout ça.

Clefs GPG disponibles ici : https://asso-purr.eu.org/.well-known/openpgpkey/
Comme d’habitude, toute personne ayant accès à vos données s’engage à respecter cette charte : https://wiki.asso-purr.eu.org/books/conformite/page/charte-dassistance-aux-personnes-concernees

@thierrya@mastodon.top Procédure groupée pour demander à la CNIL de faire quelque chose pour éviter l’hémorragie qu’on vit actuellement depuis 2 mois…

Un petit teaser d’une nouvelle action lancée ce jour auprès de la @cnil@social.numerique.gouv.fr !
On ne vous en dit pas plus autant pour vous réserver la surprise que pour protéger le contenu de cette missive ☺️
Affaire à suivre on l’espère !!!

Bonne lecture à la @cnil@social.numerique.gouv.fr ! ☺️
Nous avons hâte de lire votre réponse !

🥳 Merci beaucoup à toutes et à tous !

Nous allons maintenant faire une passe de déduplication pour obtenir le décompte final. La lettre ouverte sera envoyée à la @cnil@social.numerique.gouv.fr ce jour.

La sécurité de vos données n’étant pas prise à la légère, elles seront ensuite archivées hors ligne pendant les 6 mois prévus à notre registre de traitement, avant destruction définitive.
https://wiki.asso-purr.eu.org/books/conformite/page/registre-de-traitement#bkmrk-signature-des-lettre

(Bon, en fait la CNIL ne considère même pas ça comme une violation de données… On va quand même la déclarer dans notre registre hein ! 🤣)

Lors d’une recherche dans les logs de nos machines pour des problèmes liés à la délivrabilité des emails vers GMail, nous nous sommes aperçu que les journaux système étaient retenus plus longtemps que prévu dans notre registre de traitement (3 mois au lieu de 1 comme attendu).
Une erreur dans notre configuration journalctl a été du coup détectée et corrigée (ce n’est pas MaxFileSec mais MaxRetentionSec qu’il fallait renseigner).
Les corrections ont été faites, les données concernées purgées et la vérification du journal dorénavant au 21 août confirme la bonne prise en compte des modifications.
Les risques pour les droits des personnes concernées étant nuls, aucune communication n’est normalement nécessaires, mais pourquoi ne pas vous en informer quand même ?
La CNIL sera bien entendu prévenue de la violation de données (oui, ça en est bien une), et le tout sera renseigné dans notre registre de violation.

Il nous reste 10 jours pour récolter 281 signatures.
En tant que citoyen, vous êtes forcément concerné dans votre quotidien, autant directement qu’indirectement, par les pratiques de la CNIL
https://demarches.asso-purr.eu.org/letters/f1a75962-9b68-4fad-a5a3-fa00ad090a57
Vous nous aidez à relayer le message ? 😊

Certainement la meilleure reconnaissance que notre association puisse recevoir.
Dommage qu’elle n’existe que parce que les autres violent la loi.
Ce que nous faisons n’est rien d’autre qu’une obligation légale s’imposant normalement à tous.

Minimisation de donnée, article 5.
Si on doit attribuer des n° de membres, ça sera des uuid4.
Comme ça on empêche de pouvoir comparer qui a le plus petit ou qui est arrivé avant l’autre. Tous au même niveau.
Et comme ça pas de trou pour savoir s’il y a eu des départs ou non.
☺️

Bonjour les gens !

Vous avez certainement suivi les récentes péripéties à venir pour la CNIL, à l’initiative d’un des fondateurs de notre association.
https://next.ink/126827/la-cnil-accusee-de-ne-pas-remplir-sa-mission-de-veiller-au-respect-du-rgpd
Ce n’est que le début.

Nous envisageons un recours massif contre la CNIL, pour faire changer son positionnement dont nous constatons tous les jours l’inefficacité la plus totale et l’absence pratique de défense des droits des personnes concernées.

Nous avons besoin de preuves des pratiques de la CNIL sur le traitement des plaintes que ce soit :
- l’absence de la moindre instruction, parfois sur plusieurs années
- les non sanctions rendues, ou non dissuasives (« rappel à la loi »)
- les clôtures abusives, pour des motifs infondés
- les défauts d’instruction, l’omission de violations
Pour cela nous avons besoin de vous, et en particulier des personnes qui auraient déjà réalisées un jour des plaintes à la CNIL.

Nous développons actuellement un outil pour scrapper le site de la CNIL et en extraire une copie de toutes vos plaintes déclarées, pour vous faciliter la tâche et pouvoir nous communiquer facilement une archive exploitable que nous pourrons ensuite analyser.

Si vous pouviez déjà commencer à réfléchir à des plaintes « étendard » que vous auriez déjà pu faire et permettant de bien illustrer ces abus de notre autorité de contrôle, mettez ça dans un coin, on arrive ! ☺️

Les DPA existent, par exemple celui de Scaleway est ici : https://www-uploads.scaleway.com/Data_Processing_Agreement_03092021_6e2ca4da3c.pdf
Déjà 1er point : combien ici ont signé ce document alors que vous opérez des machines chez eux ?
2nd point : qui a lu réellement le contenu de ce document ?
3ème point : qui s’est assuré que ce qui est écris est réellement possible en pratique ?

Il est du coup pour nous en pratique beaucoup plus simple (en tout cas pour le moment) de ne pas avoir à dépendre de DPA tiers dont nous n’avons en pratique quasiment aucun moyen de nous assurer que ce qui y serait indiqué est bien possible.
Et pour beaucoup de prestataire, aller toquer à leur porte tous les ans pour un audit en profondeur risque d’être… compliqué… 🤣 (Oui, c’est aussi une obligation légale)

Migration sur notre propre instance : ✅
On n’embêtera pas Piaille avec un DPA comme ça… ☺️
(Levez la main les entreprises qui utilisez un serveur communautaire en ayant signé un DPA avec votre sous-traitant ? 🤣)

En parlant de DPA… Vu que notre association n’opère pas elle-même son serveur, elle en a bien entendu signé un avec son sous-traitant ! ☺️
Même si l’opérateur du serveur est un membre du bureau, il n’intervient pas exclusivement pour l’association et il y a donc OBLIGATION d’établir un tel contrat !