Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Antoine Cervoise, Consultant Sécurité, Devoteam : Les zones de commentaires libres dans les applications

octobre 2012 par Antoine Cervoise, Consultant Sécurité, Devoteam

La CNIL vient de publier un article (http://www.cnil.fr/nc/la-cnil/actua...) sur les bonnes pratiques à observer dans l’usage des zones de commentaires libres utilisées dans de nombreuses applications. En effet, ces zones, lorsqu’elles concernent des données personnelles, sont comme le reste du contenu, soumises au droit d’accès de la personne concernée.

Ces bonnes pratiques sont les suivantes :

Règle n° 1 : Avoir à l’esprit, quand on renseigne ces zones de commentaires, que la personne qui est concernée peut exercer son droit d’accès et lire ces commentaires !

Règle n° 2 : Rédiger des commentaires purement objectifs et jamais excessifs ou insultants

Règle n° 3 : Ne pas inscrire d’informations se rapportant à des données sensibles (santé, vie sexuelle, opinions politiques, etc.), des infractions ou des condamnations

Règle n° 4 : Sensibiliser les utilisateurs

Règle n° 5 : Utiliser des outils conformes à la loi Informatique et Libertés

La CNIL avait d’ailleurs adressée un avertissement à Acadomia en avril 2010 (http://www.leparisien.fr/economie/l...) pour avoir utilisé à propos des élèves, parents mais aussi des enseignants, des termes portant "gravement atteinte à la vie privée des personnes concernées".

Nous pourrions reprocher à la CNIL de n’avoir pas correctement ciblé son action de communication. En effet, les trois premières règles sont à destination des utilisateurs et doivent être diffusées via des actions de sensibilisation (règle 4). Les deux dernières règles, quant à elles, sont à destination des décideurs. Cependant ces conseils de bon sens, qui ne sont pas évident pour tous, sont toujours bons à prendre.

Ce n’est pas la première fois que la CNIL publie ce type de conseils, elle l’avait déjà fait, par exemple, en juin sur l’utilisation du Cloud Computing (http://www.cnil.fr/la-cnil/actualit...). Il peut donc être intéressant de surveiller les publications faites sur leur site officiel (http://www.cnil.fr/) afin de pouvoir profiter de celles-ci.




Voir les articles précédents

    

Voir les articles suivants