Nous avons reçu sur la boîte mail de l’association un message d’une personne nous demandant de procéder à la suppression de sa page de profil sur le site car des informations personnelles y était affichées, sans qu’elle n’ait donné d’autorisation pour leur affichage.
Après avoir ouvert le profil, il s’agissait en fait d’une page vide, où seul était présent le nom d’utilisateur. Mais il se trouve que cet identifiant était formé du prénom et du nom de la personne.
J’ai relu les CGU et je les trouve assez floues à ce sujet.
Il n’y ait jamais indiqué que l’identifiant de connexion choisi est public, qu’il sera affiché sur les pages du site et référencé dans les moteurs de recherche.
Il est même dit :
Lors de son inscription, le membre choisit un identifiant et un mot de passe lesquels ont un caractère strictement personnel et confidentiel. Le membre est donc tenu de préserver la confidentialité de ces données et à supporter toutes les conséquences pouvant résulter de leur divulgation (qu’elle soit volontaire ou non).
Je voulais savoir ce que vous en pensiez et si une mise à jour de nos CGU vous semblait nécessaire.
Je passe rapidement. La clause que tu cites est habituelle dans les CGU et porte sur la divulgation du mot de passe. L’identifiant est lui public car il s’agit du pseudonyme. D’ailleurs, un contrat — et les CGU sont des contrats — ne se lit pas en sélectionnant uniquement la clause qui semble poser pépin. Le 3. énonce clairement ce qui est confidentiel dans les identifiants :
Identifiant et mot de passe : c’est l’ensemble des informations nécessaires à l’identification d’un membre sur le site. L’identifiant et le mot de passe permettent à l’utilisateur d’accéder à des services réservés aux membres du site. Le mot de passe est une information confidentielle.
Mis côte à côte, on comprend donc que si le nom d’utilisateur et le mot de passe sont nécessaires pour se connecter au site et participer, seul le mot de passe a une nature confidentielle.
La clause que tu cites est une clause utilisant un langage général et relativement flexible, fréquent dans les CGU, énonçant que les identifiants sont personnels (dans le sens où évidemment, on ne peut avoir deux membres utilisant exactement le même pseudonyme) et, tel qu’indiqué dans les définitions (d’où l’importance de comprendre que les CGU sont un "tout" et non un ensemble de clauses séparées), le mot de passe a — de plus — une nature confidentielle.
On peut toutefois mettre à jour les CGU pour mettre ce point de nouveau en exergue dans la définition (et la clause citée, éventuellement) et ainsi ajouter plus de précision, @entwanne. Ce n’est pas un souci. Il faudra cependant veiller, à l’avenir, à adapter la clause si une modification technique la rendait caduque 1.
J’avais de toute façon en tête de les mettre à jour en y ajoutant des références au RGPD.
Il n’y a pas "beaucoup d’autres problèmes" dans les CGU, elles ont été écrites sur la base d’un principe minimaliste. Outre les conditions de diffusion de contenus (ainsi que les licences y afférentes), le fait qu’on récupère peu de données et la politique ouverte de ZdS font que les CGU sont adaptées à un usage minimal. On ne fait que très peu usage des contenus publiés par les membres (et le texte est clair quant à la portée de cet usage), le reste est principalement des clauses très communes assurant un minimum de clarté contractuelle.
Par exemple, si un jour on décidait de séparer la notion de "nom d’utilisateur" et de "pseudonyme" avec un nom d’utilisateur qui serait confidentiel et masqué, et un pseudonyme public.
Je soupçonne un compte créé par Google ou Facebook : dans ce cas, le système ne te laisse pas vraiment le choix du nom d’utilisateur, et j’imagine que l’utilisateur lambda ne se rends pas immédiatement compte du fait qu’en se connectant par l’un de ces moyens il nous envoie des informations qu’il considère confidentielles.
D’une manière générale, je serais assez pour supprimer ces fonctionnalités (si on trouve un moyen de continuer à rendre utilisable les comptes associés).
Je ne voulais pas tout citer mais je suis d’accord avec ça.
Mais je trouve que ce qui se rapporte à l’identifiant est assez flou, rien ne dit clairement qu’il est public, pas même le paragraphe qui indique quelles données sont affichées sur la page de profil.
C’est sûrement un résidu de la première version des CGU dont on a pas tenu compte lors de la dernière màj. Tout comme le fait que les CGU mentionnent un formulaire de contact, que j’avais anticipé jadis lorsque j’ai rédigé les CGU sur la base de ce que nous nous sommes dit dans la mailing list mais ça n’a finalement pas eu lieu et ça n’a pas été modifié depuis (c’est mineur vu que le mail de contact est, lui, indiqué mais bon…).
On peut (devrait) le préciser, en effet. Ça ne casse pas trois pattes d’être plus précis sur ce point et ça évite des incompréhensions éventuelles.
Connectez-vous pour pouvoir poster un message.
Connexion
Pas encore membre ?
Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte