Non respect RGPD Mot de passe
Auteur : D Jacques
Visité 1293,
Followers 1,
Partagé 0
Bonjour à tous,
Question à 100 balles ?
J’ai des clients qui menacent entre guillemets de signalés au CNIL que je respect pas les conditions RGPD pour la cause suivante :
Ils ne peuvent pas modifiés leurs mots de passe sur mon Site WEB https://www.e-auxjusteprix.com/. Non respect des conditions RGPD « Plus de 5 appels en espace de 4 heures »
Que ce passe t’il en cas d’amende ?
Il font quoi les développeurs ?
En fait les développeurs d’Incomédia sont les seuls qui ont un programme de création de Site WEB, qui ne permets pas aux clients de modifiés leur MDP. Bravo !!!
Jacques
Posté le
Salut Jacques,
j'ai déjà lancé plusieurs alertes sur le sujet.
https://helpcenter.websitex5.com/fr/post/213676
https://helpcenter.websitex5.com/fr/post/186081
https://helpcenter.websitex5.com/fr/post/198395
Mais rien n'avance !
tu trouveras ici un paliatif, mais cela n'est pas notre rôle de faire cela.
http://wsx5.afsoftware.fr/viewforum.php?f=125
et ici sur le site demo:
https://wsx5demo.afsoftware.fr/user-profile.php
https://wsx5.afsoftware.fr
Auteur
Merci Axel,
Je suis entièrement d’accord sur ton point de vue, comme tu dis c’est aux développeurs d’intervenir sur l’ajout de cette fonction dans le programme. « Il est plus que temps qu’Incomédia intervient »
S’il le faut je vais envoyer un courrier au Siège d’Incomédia en Italie pour notifié le non respect des conditions RGPD dans leur programme WEBSITE X5 « En recommandé avec A.R »
Encor merci pour l’info.
Jacques
Ils passent leur vie à corriger des bugs qu'ils générent souvent eux mêmes. !!!!
Update Protection n'apporte pas de vrais nouvelles fonctionnalités sauf la v2019 avec changement de look & feel... Jamais demandé par les utilisateurs... Plaisir interne
Mais demandé depuis des mois, années .....
https://wsx5.afsoftware.fr
Auteur
Dans un premier temps je vais envoyer un email à la direction d’Incomédia « Mr Ranf… » Pour lui indiquée que le programme WebSite X5 est non-conforme aux conditions RGPD.
Sans réaction de la Direction Incomédia je contacterai le CNIL sans plus attendre.
Jacques
« Sil el CNIL intervient ils vont pleurés » je peux le garantir
Auteur
« Si le CNIL intervient ils vont pleurés » je peux le garantir.
- Petite correction d'orthographe
Good day to everyone
I would like to address both matters here separately as to dedicate the needed attention to each question:
1_ From an analysis of the official GDPR document, it doesn't seem to be stated that it is strictly required that the user should be able to edit his information on his own.
It is very much mandatory that, if required, the user might edit those. The user must have at least the possibility of contacting the owner of the website so that such information might be changed. If he wishes to change his data or have it deleted, he should be allowed to do so. It is not required that it should be autonomous.
Should you believe this information to be incomplete, I'd be more than willing to report this to the developing team but I would also need to have official GDPR information stating so.
2_ About the same can be said for the encrypted password matter. As I mentioned in the other topics linked here, the developers are well aware of the importance of such a security measure, but it is not stated as a mandatory requirement in the GDPR. Again, should you believe this information to be incomplete, I'd be more than willing to report this to the developing team but I would also need to have official GDPR information stating so.
Making sure to be 100% GDPR compliant is of course very important for the company but considering the high level of blurriness the actual document has had over the time, it is hard to determine what is in fact mandatory and what it is not.
I would be very pleased to know if you could please provide official information stating what needs to be done about this as to be able to forward the information to management
I thank you for your interest in this matter and wait to hear back from you
Thank you
Stefano
GOOGLE TRANSLATE ---
Bonjour à tous
Je voudrais aborder les deux questions ici séparément afin de consacrer l'attention nécessaire à chaque question:
1_ Une analyse du document officiel GDPR ne semble pas indiquer qu'il est strictement nécessaire que l'utilisateur puisse modifier lui-même ses informations.
Il est très impératif que, si nécessaire, l'utilisateur puisse les modifier. L'utilisateur doit au moins avoir la possibilité de contacter le propriétaire du site Web afin que ces informations puissent être modifiées. S'il souhaite modifier ses données ou les supprimer, il devrait être autorisé à le faire. Il n'est pas nécessaire qu'il soit autonome.
Si vous estimez que ces informations sont incomplètes, je serais plus que disposé à en informer l’équipe de développement, mais j’aurais également besoin des informations officielles du RGPD.
2_ On peut dire à peu près la même chose pour l’importance du mot de passe crypté. Comme je l'ai mentionné dans les autres rubriques citées ici, les développeurs sont bien conscients de l'importance d'une telle mesure de sécurité, mais cela n'est pas indiqué comme une obligation dans le RGP. Encore une fois, si vous estimez que ces informations sont incomplètes, je serais plus que disposé à en informer l’équipe en développement, mais j’aurais également besoin d’avoir les informations officielles du GDPR.
S'assurer de la conformité à 100% aux normes GDPR est bien sûr très important pour l'entreprise, mais compte tenu du niveau élevé de flou observé depuis le début du document, il est difficile de déterminer ce qui est en fait obligatoire et ce qui ne l'est pas.
Je serais très heureux de savoir si vous pourriez s'il vous plaît fournir des informations officielles indiquant ce qu'il faut faire à ce sujet afin de pouvoir transmettre les informations à la direction.
Je vous remercie de votre intérêt pour cette question et attends d'avoir de vos nouvelles
Je vous remercie
Stefano
Stefano,
Je ne suis pas d'accord avec toi....
Incomedia doit respecter le "Privacy by Design" imposé dans le RGPD.
Travaillant moi même dans la cybersecurity je sais très bien de quoi je parle.... Je parle RGPD assez souvent avec des clients.
ici la définition: https://cnpd.public.lu/fr/dossiers-thematiques/nouvelles-tech-communication/privacy-by-design.html
Donc le fournisseur de solution comme Incomedia doit "... offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données.... " comme indiqué dans le lien.
Aujourd'hui et depuis des mois cela n'est pas fournit par Incomedia et je l'ai aussi réclamé !!!
Si nous develeppons un site web pour un client qui lui même possède ses clients, alors notre client n'a pas la possibilité de modifier les données personnelles de son client.
Nous sommes dans ce cas des developpeurs de solutions et il n'est pas de notre rôle de modifier dans une base de données, les données de clients finaux... Nosu vendons un site Web et pas de l'administration des inscrits sur ce site.
L'outil doit proposer cette option pour que chaque inscrit puisse modifier ses propres données... cela existe sur TOUS les sites Internet.... "Modifier son profil"
Donc chaque inscrit sur un site web crée par Website ne pouvant pas modifier ses propres données, le niveau le plus haut possible de sécurité n'est pas offert !!!!! c'est illégal aujourd'hui....
Pour le mot de passe en clair dans la base de données et dans l'email du mot de passe perdu, cela est exactemant la même chose... " ..... Le plus haut niveau de sécurité des données personnelles...." Incomdea ne fournit pas ici le plus haut niveau...
Stefano, si cela n'est pas écrit clairement dans la documentation RGPD il faut savoir investiguer les termes:
Depuis plus d'an an j'ai alerté Incomédia...Qui ne fait rien... j'ai même donné les fonctions PHP pour encoder les mots de passe. Rien de plus simple...
RIEN N'EST FAIT depuis plus d'un an ... Que font les développeurs !!!!!!
Donc si Jacques demande à la CNIL t'intervenir en indiquant que Website n'est pas conforme, je suis persuadé que l'amende sera lourde et justifiée... et je l'espère ...
Vous vendez un produit qui n'est pas conforme...à la loi européenne !!!!!!
Peut être que UPDATE PROTECTION peut servir à corriger des vrais problèmes... et pas des bugs ajoutés par les quelques nouveautés d'Incomédia.
Cordialement
https://wsx5.afsoftware.fr
Auteur
Merci Axel pour ton appui c'est sympa,
Stefano à l’air de le prendre à légère « RGPD », je vais prochainement contacter la CNIL
Jacques
Good day everyone
I would like to assure you that we fully understand the importance of the security of data, but I would like to emphasize the following matter:
In the official GDPR document, no specific and technical indication of any security measure to be adopted is mentioned. It provides but simple guidelines about adequate protection according to the type of data which is stored without specifying detailed measure to be taken.
As I mentioned before, the matter of encrypted passwords is still important to us, but it has many implications through the logics of the software, for which it is to be considered a major rework. This matter has no been forgotten
The same goes for the data that can be changed for the user. The document specifies that each user has the right to have his data changed and deleted, but nowhere it is specified that this change must be autonomous.
Of course, should you believe this to be wrong and should you be able to provide an actual extract from the official documentation that mentions otherwise, I'd be more than happy to forward it to the developers for further investigation and implementations
I apologize for all the trouble these matters might be causing, but since the document provides simple but blurry guidelines it might be very hard to exactly understand what seems to be mandatory compared to what is but a general advice
I thank you for your patience as we keep on working towards improving the software
Stefano
GOOGLE TRANSLATE ---
Bonjour
Je tiens à vous assurer que nous comprenons parfaitement l'importance de la sécurité des données, mais je tiens à souligner le point suivant:
Le document officiel du RGPD ne mentionne aucune indication technique spécifique concernant les mesures de sécurité à adopter. Il ne fournit que des directives simples sur la protection adéquate en fonction du type de données stockées sans spécifier les mesures à prendre.
Comme je l’ai mentionné précédemment, la question des mots de passe cryptés est toujours importante pour nous, mais elle a de nombreuses implications dans la logique du logiciel, pour laquelle il doit être considéré comme une retouche majeure. Cette affaire n'a pas été oubliée
Il en va de même pour les données pouvant être modifiées pour l'utilisateur. Le document spécifie que chaque utilisateur a le droit de voir ses données modifiées et supprimées, mais il n'est spécifié nulle part que cette modification doit être autonome.
Bien sûr, si vous pensez que cela est faux et si vous êtes en mesure de fournir un extrait de la documentation officielle qui mentionne le contraire, je serais plus qu'heureux de le transmettre aux développeurs pour une investigation et une mise en œuvre plus poussées.
Je m'excuse pour tous les problèmes que ces problèmes pourraient causer, mais puisque le document fournit des directives simples mais floues, il pourrait être très difficile de comprendre exactement ce qui semble être obligatoire par rapport à ce qui n'est qu'un conseil général.
Je vous remercie de votre patience alors que nous continuons à améliorer le logiciel.
Stefano
Bonjour,
Stefano G. voir texte ci-dessous
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000035142451&fastReqId=898883081&fastPos=1
La CNIL refuse tout stockage en clair ou réversible
Le II. 3 de la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe dispose que :
Fernand
Auteur
Bonjour Stefano,
Préférais-vous que ça soit la CNIL qui intervient ?
Si vous n’êtes pas d’accord avec les réponses obtenues qui vous indiques que la CNIL est stricte sur les conditions d’utilisation des données voir INTERDIT !!!
Je contacterai sans plus attendre les services compétents…
Jacques
Hello Stefano
Quelques exemples d'amendes pour des données pas suffisamment protégées !
Bonne lecture
http://wsx5.afsoftware.fr
Good day to everyone
Thank you @Fernand for the helpful link. This link contains useful information about mandatorily technical improvements that France specifically demands that be implemented inside the software. Even though this is not specifically GDPR, I can surely understand the urgency given the fact that this is official law by France
I've forwarded said link and all the helpful information connected to this to the designated Staff members so that this matter can be investigated further in order to verify what can be done to assess the situation
I thank you for your cooperation in trying to improve the software
Stefano
GOOGLE TRANSLATE ---
Bonjour à tous
Merci @Fernand pour le lien utile. Ce lien contient des informations utiles sur les améliorations techniques obligatoires que la France demande spécifiquement à mettre en œuvre dans le logiciel. Même si ce n'est pas spécifiquement le GDPR, je peux certainement comprendre l'urgence compte tenu du fait qu'il s'agit d'une loi officielle de la France
J'ai transmis ledit lien et toutes les informations utiles s'y rapportant aux membres du personnel désignés afin que cette question puisse faire l'objet d'une enquête plus approfondie afin de vérifier ce qui peut être fait pour évaluer la situation.
Je vous remercie de votre coopération pour essayer d'améliorer le logiciel
Stefano
Auteur
Bonjour Stefano,
La CNIL est international « Se n’est pas que la France »
https://www.cnil.fr/fr/en-europe-et-dans-le-monde
En cas ou ?