Répondre aux demandes RGPD avec Discourse
lundi 8 mars 2021 à 10:40
Ceux qui aiment participer aux conversations sur ce site doivent forcément passer par la case création de comptes sur mon forum Discourse.
Discourse est un script de forum que j’affectionne particulièrement, car il est super simple à prendre en main pour les utilisateurs et pas du tout prise de tête à gérer pour les admins. Je vous invite d’ailleurs à lire mon article sur Discourse.
Il y a quelques jours, j’ai reçu un email très pompeux de la part d’un lecteur me citant tous les articles de loi concernant le RGPD et m’expliquant que je devais :
- Lui communiquer toutes ses données personnelles
- Lui expliquer à quoi étaient utilisées ses données perso
- Supprimer son compte et toutes ces données
Je vous passe le petit sentiment négatif qui me traverse quand je lis dans son mail ceci :
Selon l’article 12 (3), vous devez répondre à ma demande dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de cette demande. Passé ce délai, je porterai plainte auprès de l’autorité compétente.
Un internaute motivé
Utilisant Discourse, j’ai bien sûr tout ce qu’il faut pour répondre proprement à sa demande et je vais vous expliquer comment mettre ça en place sur votre propre forum Discourse.
Mettre au carré les CGU
Dans les paramètres de Discourse, vous pouvez indiquer une URL pointant vers vos conditions d’utilisation et votre politique de confidentialité. Alors pour rédiger tout ça vous pouvez faire appel à un avocat ou simplement copier-coller les CGU d’un site sérieux et l’adapter à vos besoins. Il y a également des tas de modèles de CGU / politique de confidentialité dispo gratuitement sur le Net. Ça se passe dans « Paramètres » -> « Legal ».
Forcer l’acceptation des CGU à l’inscription
Pour prouver que votre internaute a bien lu et accepté vos CGU, vous devez ajouter une case à cocher sur le formulaire d’inscription de Discourse.
Ça se trouve dans « Personnaliser » -> « Champs Utilisateurs » et là vous pouvez ajouter tous les champs dont vous avez besoin et rendre les cases à cocher obligatoires ou non.
Pouvoir supprimer un utilisateur
Discourse propose également différentes « possibilités » de supprimer un utilisateur et ses données personnelles. Pour cela, allez dans la zone d’Administration -> « Utilisateurs ». Choisissez l’utilisateur sur lequel vous voulez intervenir et allez tout en bas consulter son activité. Vous verrez alors différents boutons ROUGES (signalant qu’il faut être bien réveillé pour les utiliser).
Parmi ces boutons, il y a : « Rendre l’utilisateur anonyme » et « Supprimer l’utilisateur« .
Supprimer l’utilisateur, c’est simple, ça va supprimer le gars et toutes ses données et ce sera comme s’il n’avait jamais existé.
Rendre l’utilisateur anonyme, ça va laisser tous les messages et le compte de celui-ci, mais totalement anonymiser le compte. Plus d’email, plus d’IP, plus de mot de passe… etc. Ça permet de garder le contenu du forum tout en répondant à la demande de suppression de l’utilisateur.
Pour ma part, l’utilisateur m’ayant fait une demande RGPD n’ayant pas contribué de manière très intéressante aux discussions, j’ai carrément supprimé son compte.
Exporter les données d’un utilisateur
Malheureusement, Discourse ne permet pas aux utilisateurs d’exporter eux-mêmes leurs données et ne permet pas non plus à l’admin de le faire. Il faudrait pour cela exporter directement depuis la base de données. Mais vous vous doutez bien que ce besoin est fortement demandé.
Une boite de dev nommée Pavilion a mis à disposition un plugin Discourse baptisé Legal Tools qui permet au staff Discourse d’exporter en zip les données personnelles des utilisateurs qui en font la demande.
Les données exportées sont les suivantes :
- Les messages
- Les infos du profil
- La liste des comptes externes rattachés
- Les statistiques de l’utilisateur
- L’historique de connexions
- Les recherches effectuées
- Les sujets vus et enregistrés par l’utilisateur
- Les clics sur les liens
- Les vues du profil
- Toutes les actions effectuées par l’utilisateur.
- Tous les logs liés à l’IP de l’utilisateur
Que des données techniques donc exportées sous la forme d’un CSV.
Pour mettre en place ce plugin, je vous invite à lire mon article sur comment installer un plugin Discourse ou encore celui traitant de l’installation du plugin Discourse pour Cloudflare. C’est la même procédure et ça se fait hyper facilement.
Si le sujet vous intéresse, je vous invite d’ailleurs à consulter ce fil de discussion où les gens peuvent demander des améliorations du plugin d’export.
Vous saurez en tout cas que l’internaute qui m’a fait sa demande RGPD m’a ensuite répondu que j’étais le seul à avoir correctement répondu du premier coup à sa demande en respectant le RGPD.
Cool 💪.
A la recherche d’un DNS qui vous protège et respecte votre vie privée ?
Vie privée, contrôle parental, exceptions de filtrage…
NextDNS offre une grosse couche de sécurité qui vous permet de bloquer automatiquement la résolution de certains noms de domaine en fonction de listes fournies par différents acteurs. Vous pouvez par exemple bloquer les sites remontés par Google comme les sites fournissant des malwares ou proposant des pages de phishing. Tout ce qui est cryptojacking, c’est-à-dire les sites utilisant votre navigateur pour miner de la cryptomonnaie à votre insu, peut être également bloqué.
Le typosquatting vous connaissez ? Il s’agit de prendre un nom de domaine qui ressemble vraiment à un nom de domaine officiel et tromper les gens qui feraient des fautes de frappe ou en utilisant des caractères ASCII graphiquement proche de véritables lettres de l’alphabet. Et bien ici, même chose, NextDNS vous protège.