Marion Hongasukidesu Posté(e) le 31 mars 2018 Share Posté(e) le 31 mars 2018 Bonjour à tou-te-s, une énième question sur le WIFI, mais que j'espère non redondante avec les précédentes ! Notre service informatique a enfin accepté d'installer le WIFI à la médiathèque (ouaou, de l'innovation...), que nous devrons gérer en créant un compte pour chaque personne sur un portail dédié. Apparemment, le nouveau cadre européen du règlement général sur la protection des données (RGPD) nous oblige a vérifier l'identité de chaque personne à qui un identifiant/motdepasse est délivré (il me semble que cela n'était pas le cas avant, vu le blog de Si.lex). Nous nous interrogeons donc sur la nécessité de demander une pièce d'identité justificative pour les non-inscrits (les autres l'ayant déjà fournie). Car il me semble que nous ne pouvons l'exiger. Est-ce ainsi que vous fonctionnez ? Pour les établissements où vous créez des comptes, est-ce que vous alignez la durée sur celle de l'inscription à la médiathèque ? Et enfin, ils vont faire comment au McDO ?! Merci d'avance, Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thomas Fourmeux Posté(e) le 31 mars 2018 Share Posté(e) le 31 mars 2018 9 minutes ago, Marion Hongasukidesu said: Apparemment, le nouveau cadre européen du règlement général sur la protection des données (RGPD) nous oblige a vérifier l'identité de chaque personne à qui un identifiant/motdepasse est délivré (il me semble que cela n'était pas le cas avant, vu le blog de Si.lex). Bonjour, Le rgpd ne prévoit absolument pas de vérifier l'identité de chaque personne à qui vous fournissez un identifiant/mot de passe. Quelle est votre source ? Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Marion Hongasukidesu Posté(e) le 31 mars 2018 Auteur Share Posté(e) le 31 mars 2018 Le directeur du service informatique de la collectivité ... Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thomas Fourmeux Posté(e) le 1 avril 2018 Share Posté(e) le 1 avril 2018 22 hours ago, Marion Hongasukidesu said: Le directeur du service informatique de la collectivité ... Je pense que votre DSI n'a pas bien compris les enjeux du RGPD. qui consistent à redonner une maîtrise aux individus sur leurs données. Le RGPD n'impose absolument pas de vérifier l'identité dans le cadre d'un accès wifi. Le RGPD défend l'idée du consentement préalable. Et un des points forts est la finalité du traitement au regard de la fourniture du service. Est-ce qu'il est indispensable de collecter l'identité pour donner accès au wifi ? Non, absolument pas. Vous citez vous-même l'exemple du McDO. C'est un abus de la part de votre DSI d'interpréter le RGPD de cette façon. En revanche, demandez à votre DSI si le wifi qui sera mis en place sera chiffré ou pas ? Si ce n'est pas le cas, c'est un manquement qui a déjà été pointé du doigt par la CNIL. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Marion Hongasukidesu Posté(e) le 1 avril 2018 Auteur Share Posté(e) le 1 avril 2018 C'est bien ce qu'il me semblait ... en tout cas merci Thomas, je vais pouvoir revenir vers mon DSI plus assurée ! Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
B. Majour Posté(e) le 1 avril 2018 Share Posté(e) le 1 avril 2018 Le 31/03/2018 à 12:14, Marion Hongasukidesu a dit : Le directeur du service informatique de la collectivité ... Je ne pense pas que le DSI ait mal compris le problème. Il est normal qu'il se pose des questions, surtout s'il lit Zdnet.fr (par exemple) Le responsable du traitement doit informer les personnes concernées de l'existence de ce droit, mais également préciser le type de données pouvant faire l'objet d'un transfert. Le responsable de traitement sera avisé de demander tout justificatif permettant de garantir l'identité du demandeur pour vérifier qu'il s'agit bien de la personne concernée et éviter les fraudes. Sa responsabilité pourrait être engagée en cas de transmission à un tiers non autorisé. http://www.zdnet.fr/actualites/ce-que-va-changer-le-rgpd-le-principe-de-portabilite-des-donnees-personnelles-39854008.htm Si le DSI est le responsable du traitement, il est normal qu'il veuille se couvrir. Cherchons à comprendre pourquoi il est concerné. (même lien) Quels types de données ? Il s'agit des données transmises volontairement par la personne (dans le cadre d'un formulaire par exemple) ou collectées du fait de son activité (l'historique des achats par exemple). Cela exclut les données générées par le traitement des données brutes initiales ce qui permet de protéger le savoir-faire des sociétés qui traitent ces données. Un consommateur qui remplit en ligne un formulaire sur un site de recherche d'emploi : l'éditeur du site sera tenu de restituer ou transférer les données transmises par lui (nom, prénom, expériences professionnelles, diplômes …) ou collectées du fait de son activité (types de recherche sur le site, annonces consultées …). Du fait de son activité sur le réseau Wi-Fi, un usager va effectivement laisser des données personnelles... dans son historique de connexion (et pas qu'un peu) Si on consulte les sites X, ou autres, ou même des sites médicaux sur certaines maladies, on laisse des traces partout. (et le provider est obligé par la loi de conserver ces données pendant trois ans) Comme le fournisseur d'accès pendant un an https://www.lenetexpert.fr/wifi-en-libre-acces-conseils-pour-ne-pas-se-faire-epingler-par-la-cnil-pour-des-manquements-recurrents/ Nouvel exemple : l’autorité administrative indépendante a contrôlé des points où internet est disponible en libre accès – restaurants, hôtels, bibliothèques – via le wifi ou des postes informatiques dédiés. Sans surprise, elle a découvert « des manquements récurrents » : de nombreux opérateurs « conservent des données portant sur le contenu des correspondances échangées ou des informations consultées (URL) alors qu’ils ne sont pas autorisés à le faire » ; ils ne doivent conserver que les données de connexion, pendant un an. Or, la plupart les gardent indéfiniment ; les utilisateurs sont mal informés ; plusieurs opérateurs utilisent « des outils de surveillance » des postes informatiques comme la « prise en main à distance » et le « contrôle de l’historique de navigation ». C’est-à-dire qu’ils ont accès, de fait à des données sensibles : « identifiants-mots de passe, numéros de compte bancaire, etc ». La Cnil aimerait qu’ils arrêtent. les réseaux wifi, sans chiffrement et facilement accessibles, sont de vraies passoires. Il n’est pas difficile d’en prendre le contrôle. Le fait de demander un identifiant et un mot de passe Et potentiellement ça : Pour les établissements où vous créez des comptes, est-ce que vous alignez la durée sur celle de l'inscription à la médiathèque ? va donc lier un compte et des connexions. Or la RGPD (re)donne la possibilité aux personnes d'obtenir la restitution des données transmises (par lui ou elle). Petit exemple. Je suis le papa de la petite Marion qui aime le hongaku. Je la soupçonne de regarder des vidéos coquines, je demande donc au responsable du traitement de me remettre tous les logs liés à l'identifiant concerné. (Bonjour la liberté) En tant que DSI, on doit prévoir ce cas... d'où l'idée de demander l'absolue identité de la personne... afin d'être sûr de transmettre l'information au tuteur légal et pas à un pédophile qui se ferait passer pour lui. Oui, merde, la responsabilité, ça va jusque-là... et les bibliothécaires n'imaginent pas jamais ? ce genre de problèmes. Sauf qu'ils sont bien réels ceux-là. On pourrait les retrouver dans la demande du papa de Marion qui veut savoir ce qu'elle a lu dans l'année. Merci de m'imprimer la liste. La RGPD, ça peut aller aussi se nicher là. (eh oui, traitement informatique oblige, il va falloir être prudent sur les effets collatéraux et penser aux cas chiants, et établir l'information destiné au public sur ces traitements avec une grande, une très grande attention. En particulier sur la communication à tiers parentaux) En connaissant cette problématique, on peut mieux comprendre la réponse du DSI. Reprenons maintenant tes questions Marion. Nous nous interrogeons donc sur la nécessité de demander une pièce d'identité justificative pour les non-inscrits (les autres l'ayant déjà fournie). Car il me semble que nous ne pouvons l'exiger. Exact. De plus, quelle est l'utilité de demander une carte d'identité ? Qui te garantit que c'est bien cette personne qui va utiliser cette connexion ? (on peut lui dérober son code, ou son ordinateur/tel portable) Est-ce que la carte d'identité garantit que les données seront bien "restituées" à la bonne personne ? A la place du DSI, c'est avant de restituer les données que j'exigerais la preuve que la personne est bien la vraie destinataire. C'est-à-dire, obligatoirement un rendez-vous physique, là avec carte d'identité et justificatif d'autorité parentale. (et des deux parents ! s'ils sont deux.) Il n'est pas indiqué que la restitution doit être facile, ou même que les données collectées soient compréhensibles par le profane. Au lieu de retransmettre les URL, on peut ne stocker que les adresses IP. Exemple 172.217.17.35 A chacun de s'amuser de les copier-coller dans sa barre des adresses. Est-ce ainsi que vous fonctionnez ? C'est ainsi que je fonctionnerais si j'étais responsable du traitement des données. Si j'offrais un service Wi-Fi, je l'organiserais autrement, en partant d'un autre principe. D'abord, je me pencherais sur l'offre Wi-Fi chez Macdo. (ou dans les hôtels) Est-ce qu'ils demandent un identifiant et un mot de passe ? Est-ce que leur connexion est liée à une durée d'inscription ? (ou bien est-ce qu'elle change régulièrement ? Si oui, il y a des raisons à ça.) Là, je ne sais pas, je ne vais plus chez MacDo, et je ne me connecterai jamais avec mon appareil personnel sur un Wi-Fi public, qui récupère automatiquement tout un paquet d'informations de connexion (qui vous identifient bien plus parfaitement qu'une carte d'identité, sachons-le. Et les sites, et surtout Google, Facebook le savent très bien puisqu'en plus ils vous géolocalisent en temps réel. Alors la carte d'identité papier... ah ah ah ) Je me pencherai doublement sur l'offre MacDo pour la raison supplémentaire suivante : - ils reçoivent tous les publics. (des ados jusqu'aux anciens) Et visiblement, chez eux, ça fonctionne. Plutôt bien. D'où, en tant que DSI, je convoquerais tous les bibliothécaires au Macdo du coin, avec exercice de connexion à la Wi-FI... parce que demain, c'est eux qui vont gérer la m... les problèmes de connexion. C'est également eux qui vont devoir réaliser la plaquette d'information destinée au public (et la corriger), et c'est eux qui vont s'amuser avec les connexions sur des matériels hétérogènes. (de l'ordinateur à la tablette, en passant par toute la gamme des téléphones portables). Là, ce serait histoire de leur montrer qu'ils ont voulu la Wi-FI à la bibliothèque, ils auront donc quelques petits plaisirs collatéraux... et aussi un Milkshake. Après cette expérience, nous reviendrions tous à la bibliothèque et je leur poserais la question : Bien, à présent, votre Wi-Fi, vous la voulez comment ? Si j'étais bibliothécaire, avec de la Wi-Fi à la bibliothèque, je n'agirais pas différemment. Je partirais du principe que si les gens y arrivent chez MacDo, alors en utilisant le même modèle, ils y arriveront aussi à la bibliothèque. L'expérience acquise n'est plus à acquérir. Et s'ils l'apprennent à la bibliothèque et peuvent s'en resservir ailleurs, alors la bibliothèque a bien servi de médiateur et rempli sa tâche. Si la connexion MacDo est ouverte à tout le monde, alors la connexion bibliothèque doit être ouverte à tout le monde. Pour toucher un maximum de public. Il s'agit d'offrir un véritable service à toute la population, et pas juste aux nantis qui peuvent s'offrir un abonnement à la bibliothèque. (et s'offrir un ordinateur, ou un portable, ou tout appareil qui permet la connexion Wi-Fi) En plus, on n'aura pas une solution usine à gaz, bien pourrie, comme savent trop bien les produire les services administratifs. Ce qui les rend souvent inutilisables. Voilà ce que je ferais. Et, au passage, je préviendrai les femmes enceintes qu'il y a de la Wi-Fi à la bibliothèque et qu'il vaut mieux qu'elles n'y restent pas trop longtemps, en particulier dans les zones d'émission des ondes. Parce que , là aussi, la responsabilité de la commune est engagée, et il sera bien beau de prétendre qu'on ne savait pas lorsque les problèmes seront là. La cigarette, l'amiante étaient aussi sans danger ! Comment limiter l'exposition ? En éloignant les sources d'émissions... Si la box Wi-Fi est sur votre bureau à la maison et que vous y passez beaucoup de temps, il est conseillé de l'éloigner à plus d'un mètre. Et pensez à débrancher le Wi-Fi quand vous ne vous en servez pas, la nuit par exemple. Évitez de l'installer dans la chambre de jeunes enfants. Pour tout ce qui est ordinateur portable et tablette connectés en Wi-Fi, il faudrait dans l'idéal les utiliser à distance de soi d'un mètre... En tout cas, on ne les pose pas sur ses genoux. « Ce conseil est d'autant plus capital pour les femmes enceintes, car il y a une suspicion d'effet thermique sur le liquide amniotique, avec un risque éventuel de fausse-couche » Bien sûr, je n'en mettrai pas dans les coins enfants. Hein. Rapport à ceci http://www.magicmaman.com/,wifi-pendant-la-grossesse-les-risques,396,3382315.asp Restons prudents et pédagogues. Et évitons de réinventer la roue. (ton DSI comprendra) Bernard Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ferris Posté(e) le 4 avril 2018 Share Posté(e) le 4 avril 2018 (modifié) supprimé Modifié le 3 août 2019 par Ferris Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thomas Fourmeux Posté(e) le 4 avril 2018 Share Posté(e) le 4 avril 2018 On 1/4/2018 at 5:49 PM, B. Majour said: et le provider est obligé par la loi de conserver ces données pendant trois ans) Quelle est votre source ? Cela dépend du type de données effectivement mais surtout du prestataire qui les collecte. La CNIL précise : Quote La durée de conservation est variable et dépend de la nature des données et des finalités poursuivies. Par exemple, Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées Les données figurant dans un dossier médical doivent être conservées 10 ans En revanche, concernant les fournisseurs d'accès et autres opérateurs de télécommunications, la durée n'est pas la même. Et la CJUE a même rendu une décision l'an dernier disant que les fournisseurs ne devaient pas collecter de façon généralisée les données de connexion afin de respecter des libertés fondamentales. On 1/4/2018 at 5:49 PM, B. Majour said: En tant que DSI, on doit prévoir ce cas... d'où l'idée de demander l'absolue identité de la personne... afin d'être sûr de transmettre l'information au tuteur légal et pas à un pédophile qui se ferait passer pour lui. Oui, merde, la responsabilité, ça va jusque-là... et les bibliothécaires n'imaginent pas jamais ? ce genre de problèmes. Sauf qu'ils sont bien réels ceux-là. Il n'est pas légale d d'exiger la pièce d'identité d'une personne. Depuis 1955 la CNI n'est plus obligatoire en France et donc on ne peut pas demander à une personne de la présenter. On 1/4/2018 at 5:49 PM, B. Majour said: Là, je ne sais pas, je ne vais plus chez MacDo, et je ne me connecterai jamais avec mon appareil personnel sur un Wi-Fi public, qui récupère automatiquement tout un paquet d'informations de connexion C'est bien pour ça que des VPN existent. Vous n'avez pas besoin de vous connecter à un hotpot WiFi pour récupérer automatiquement un paquet d'info de connexion. Je vous invite à regarder du côté d'Exodus Privacy pour voir combien votre téléphone suffit à vous trahir. On 1/4/2018 at 5:49 PM, B. Majour said: Au lieu de retransmettre les URL, on peut ne stocker que les adresses IP. Exemple 172.217.17.35 Les URLs ne doivent absolument pas être conservées article L. 34‑1 VI du CPCE Vous mélangez beaucoup de choses et apportez des éléments approximatifs ou faux. Thomas Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
B. Majour Posté(e) le 4 avril 2018 Share Posté(e) le 4 avril 2018 Bonjour Thomas Il y a 7 heures, Thomas Fourmeux a dit : Quelle est votre source ? Cela dépend du type de données effectivement mais surtout du prestataire qui les collecte. Ma source c'était la loi antiterrorisme. J'en étais resté là. Grâce à toi, je fouille un peu plus le sujet. En principe, ces informations doivent être effacées ou rendues anonymes. Cependant, certains textes législatifs et réglementaires permettent de déroger à cette règle et imposent au contraire de les conserver dans le but de permettre la recherche et la poursuite des infractions pénales. https://www.cnil.fr/fr/conservation-des-donnees-de-trafic-hot-spots-wi-fi-cybercafes-employeurs-quelles-obligations Donc, on en déduit que ça peut être à durée infinie, si les dérogation s'imposent. Intéressant. Je suis le lien que tu proposes. (sur l'arrêté de la CJUE) Si, à la suite de cet arrêt, plusieurs Etats membres ont revu leurs législations nationales afin de supprimer une telle obligation générale de conservation, d’autres sont restés « passifs » tels que la Suède, le Royaume-Uni et la France… Ok. Maintenant, je note que tu connais le problème. Donc tu vas peut-être pouvoir répondre à mes questions. Il y a 8 heures, Thomas Fourmeux a dit : Il n'est pas légale d d'exiger la pièce d'identité d'une personne. Depuis 1955 la CNI n'est plus obligatoire en France et donc on ne peut pas demander à une personne de la présenter. Tu le remarqueras, je n'ai pas parlé de la carte d'identité, mais seulement faire la preuve de son "absolue identité". (pas que la carte d'identité pour faire preuve de son identité. Cf. les demandes des grandes surfaces, ou même de la poste qui demande 2 preuves d'identité pour certains retraits) Maintenant ma question : Sachant que le responsable des traitements des données est responsable en cas de faute s'il transmet les données à tiers non autorisé... alors, comment peut-il s'assurer de l'identité de la personne en face de lui ? Jusqu'à présent, on ne fournissait pas ce genre de document de "restitution". Maintenant la loi va y obliger. La donne change, les obligations vont changer. Sauf si on passe par le maire pour traiter ce genre de demande. Lui est officier de police judiciaire, donc il peut demander la carte d'identité. Il y a 8 heures, Thomas Fourmeux a dit : Les URLs ne doivent absolument pas être conservées article L. 34‑1 VI du CPCE Oui, oui, tout à fait. Maintenant, peux-tu m'expliquer ce qu'est - un outil de surveillance et surtout le contrôle de l'historique de navigation ? plusieurs opérateurs utilisent « des outils de surveillance » des postes informatiques comme la « prise en main à distance » et le « contrôle de l’historique de navigation ». C’est-à-dire qu’ils ont accès, de fait à des données sensibles : « identifiants-mots de passe, numéros de compte bancaire, etc ». La Cnil aimerait qu’ils arrêtent. Tu peux expliquer ? Je ne voudrais pas apporter de nouveaux éléments faux ou approximatifs. Pour info : date de l'article : 22 décembre 2014 https://www.lenetexpert.fr/wifi-en-libre-acces-conseils-pour-ne-pas-se-faire-epingler-par-la-cnil-pour-des-manquements-recurrents/ Articles L 34-1 et L 34-1-1 CPCE - Protection de la vie privée des utilisateurs de réseaux Posté le 31 Janvier 2006 http://www.jurizine.net/2006/01/31/62-articles-l-34-1-et-l-34-1-1-cpce-protection-de-la-vie-privee-des-utilisateurs-de-reseaux Différentiel : 8 ans. (bon, tu me diras, la France n'obéit pas non plus la CJUE) Pour ce qui concerne les IP, tu pourras regarder ici Décret n° 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques (article 1) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000637071&categorieLien=id et sourire à l'expression « a) Les informations permettant d'identifier l'utilisateur ; « Les données relatives aux équipements terminaux de communication utilisés ; « c) Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ; identifier l'utilisateur, données relatives aux équipements terminaux, et caractéristiques techniques. C'est encore plus amusant ici https://www.cdse.fr/wifi-et-conservation-des-donnees Les données concernées sont, à titre d’exemple, les « log » de connexions (heures de connexion et durée de la connexion), l’adresse IP, … Merci pour Exodus Privacy, c'est une information intéressante. Et ok pour le VPN, tu as réussi à le négocier comment auprès de ta tutelle ? Pendant qu'on y est, je reviens ici https://www.cnil.fr/fr/conservation-des-donnees-de-trafic-hot-spots-wi-fi-cybercafes-employeurs-quelles-obligations Existe-t-il une obligation d’identifier l’utilisateur de l’ordinateur ? Non. Le cybercafé en question n’est pas obligé de relever et de conserver l’identité de ses clients pour fournir une connexion (ex : accès wifi ouvert). Il doit uniquement conserver les données techniques de connexion.En revanche, s’il fait le choix de procéder à l’identification préalable des utilisateurs, en leur faisant remplir une fiche d’inscription par exemple, il a l’obligation de conserver ces données pendant un an. Comme quoi, faire remplir une fiche d'inscription n'est sans doute pas la meilleure option. Nouvelle contrainte : qui va conserver ces données ? Et surtout qui va être responsable de leur éventuel défaut de présentation. Pas cool la future option de Correspondant Informatique et Liberté. Non, pas cool. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
janaba Posté(e) le 19 avril 2018 Share Posté(e) le 19 avril 2018 Renseignement sur le WIFI et RGDP Nous allons proposer le WIFI, c'est à dire que tout usager pourra se connecter librement sur notre WIFI aux heures d'ouvertures de la bibiothèque. Concrètement je me demande soit on est dans les clous par rapport au RGPD. merci de vos lumières par avance Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
olivier.riomco Posté(e) le 25 mai 2018 Share Posté(e) le 25 mai 2018 Le 01/04/2018 à 10:45, Thomas Fourmeux a dit : En revanche, demandez à votre DSI si le wifi qui sera mis en place sera chiffré ou pas ? Bonjour, pouvez-vous me préciser ce que vous entendez par wifi chiffré? Je souhaiterais en parler avec mon DSI mais j'ai envie de savoir de quoi je parle un minimum! Merci beaucoup Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
B. Majour Posté(e) le 25 mai 2018 Share Posté(e) le 25 mai 2018 Il y a 2 heures, olivier.riomco a dit : Bonjour, pouvez-vous me préciser ce que vous entendez par wifi chiffré? Bonjour Olivier En attendant que Thomas te donne des renseignements plus approfondis, tu peux regarder ici : https://www.leblogduhacker.fr/securiser-son-reseau-wifi-en-5-points/ 1. Chiffrer son réseau Wi-Fi On a vu qu’avec un réseau Wi-Fi, n’importe quelle donnée envoyée ou reçue peut être interceptée par n’importe qui disposant des outils nécessaires. Les renifleurs réseaux sont notamment utilisés pour lire le contenu en clair des messages qui transitent. Ces messages pouvant être des mots de passe et autres informations confidentielles. Le chiffrement permet donc de rendre illisibles ces données même si elles sont interceptées. Pour cela il faut mettre en place le protocole WPA2 et surtout pas le protocole WEP. Chiffré ou crypté (par une clef solide), c'est un peu la même chose. De manière, grossière, c'est l'équivalent d'une carte postale (ouverte) et d'une lettre fermée avec plusieurs couches de protections (avec un cadenas s'il le faut, chiffrement) qui rendent la lecture impossible, sauf par celui qui a la clef. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
olivier.riomco Posté(e) le 25 mai 2018 Share Posté(e) le 25 mai 2018 Merci B. Majour! Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.