Lettre d'information sur site personnel
Le
Stephan
Bonjour,
Je vais vous raconter une petite histoire. Sur un site personnel n'ayant
strictement rien à vendre donc à prospecter, une petite newsletter est
installée. Le programme est en php (Wanewsletter) les liens de
désabonnement sont installés, bref tout va bien. Jusqu'au jour où ..
Une personne s'inscrit et le jour où elle reçoit un mail porte plainte à
la CNIL pour spam et écrit également à l'hébergeur.
Vous allez me dire que c'est ridicule et que ça sent la jalousie et la
vengeance d'un Rambo des bacs à sable et vous aurez raison sauf que
La CNIL a bien enregistré la plainte et demande des explications.
Incroyable mais véridique.
Or, il n'y a aucun moyen de justifier qu'une personne s'est inscrite
volontairement à une newsletter. En effet, l'on s'est aperçu avec
l'hébergeur que pratiquement aucun programme ne renvoyait l'adresse IP
de la personne qui s'inscrivait.
Lors d'une demande de confirmation, c'est l'adresse IP de votre propre
serveur qui est renvoyée dans le mail de confirmation et non l'adresse
de la personne qui s'inscrit.
A partir de là, toutes les newletters devraient donc être déclarées
illégales par la CNIL
L'hébergeur, lui a bien compris que la démarche du type était ridicule
et n'a bien sûr pas donné suite. En accord avec lui, la newsletter a été
désactivée en attendant de trouver une solution légale.
Quand à la CNIL et bien on va attendre leur réponse.
Je vais vous raconter une petite histoire. Sur un site personnel n'ayant
strictement rien à vendre donc à prospecter, une petite newsletter est
installée. Le programme est en php (Wanewsletter) les liens de
désabonnement sont installés, bref tout va bien. Jusqu'au jour où ..
Une personne s'inscrit et le jour où elle reçoit un mail porte plainte à
la CNIL pour spam et écrit également à l'hébergeur.
Vous allez me dire que c'est ridicule et que ça sent la jalousie et la
vengeance d'un Rambo des bacs à sable et vous aurez raison sauf que
La CNIL a bien enregistré la plainte et demande des explications.
Incroyable mais véridique.
Or, il n'y a aucun moyen de justifier qu'une personne s'est inscrite
volontairement à une newsletter. En effet, l'on s'est aperçu avec
l'hébergeur que pratiquement aucun programme ne renvoyait l'adresse IP
de la personne qui s'inscrivait.
Lors d'une demande de confirmation, c'est l'adresse IP de votre propre
serveur qui est renvoyée dans le mail de confirmation et non l'adresse
de la personne qui s'inscrit.
A partir de là, toutes les newletters devraient donc être déclarées
illégales par la CNIL
L'hébergeur, lui a bien compris que la démarche du type était ridicule
et n'a bien sûr pas donné suite. En accord avec lui, la newsletter a été
désactivée en attendant de trouver une solution légale.
Quand à la CNIL et bien on va attendre leur réponse.
Poser une question
Ah ? Et les logs du serveur web ? L'hébergeur n'en a pas ? (LCEN ?)
Non. L'adresse IP du client qui a confirmé est clairement annoncée dans
les champs "Received:" du mail de confirmation. Ou sinon il faut pendre
l'administrateur par les c^genoux.
A partir de là, il suffit de croiser, entre l'adresse IP et la date (à
la seconde près) les logs du fournisseur d'accès correspondant,
moyennant une demande des enquêteurs, qui confirmera ou non que c'est
bien cette personne qui a effectué la confirmation.
Après, si c'est le petit frère qui a fait une blague sur le PC de la
personne, tant pis pour elle.
Non. Tout le monde garde des logs, et surtout les mails de confirmation,
et accessoirement logge également les demandes d'inscription.
Personnellement les cas que j'ai pu gérer sont gérés de manière
paranoïaque, car justement, les petits malins qui essayent d'inscrire
leurs ennemis, ça existe.
Donc on garde:
- les logs du serveur web
- on logge explicitement en plus les demandes d'inscription (en syslog
par exemple)
- on garde précieusement les mails de confirmation
- et on déclare le tout à la cnil (parce que les IP et tout ça, c'est
aussi nominatif tout ce bordel)
Eh bien elle peut très bien transmettre pour instruction (si c'est du
pénal, cela peut suivre son cours) ou s'auto-saisir (ce qui n'est jamais
arrivé, je crois)
Mais bon, si vraiment c'est le premier cas, et si la newsletter n'est
pas abusive, je vois mal la CNIL et/ou des enquêteurs perdre leur temps,
alors que des cas manifestes de spam bien gras impunis courent les rues.
L'hébergeur a autre chose à faire que d'aller fouiller dans ses logs.
C'est donc à l'utilisateur du programme de fournir la preuve.
A condition que le fournisseur soit dans l'obligation de le faire ce qui
est loin d'être le cas.
Pour un site perso, c'est trop lourd à gérer d'imprimer et de conserver
à chaque fois les mails avec les en tête, autant supprimer la lettre.
Pour les IP du mail de confirmation, désolé il n'y avait que les IP de
mon serveur ce qui me semble logique vu que c'est mon serveur qui me
renvoi la confirmation.Même la newsletter fournie par l'hébergeur avait
le même problème.
En plus si le site en question est hébergé à l'étranger, je ne vois pas
trop en quoi cela regarde la CNIL, mais c'est une autre histoire
C'est le premier et le seul cas et en plus, comble du comique cette
lettre informait les gens que toutes les inscriptions allaient être
détruites et que ceux qui voulaient recevoir de nouveau cette lettre
devaient se re inscrire.
Cette lettre était ancienne et à l'époque il n'y avait pas de demande de
confirmation de demandée.
On vit bien dans un monde de fous
Mauvais hébergeur, changer d'hébergeur.
Euh vous avez combien d'utilisateurs ? Parce que même avec dix mille
inscrits, cela ne fait pas lourd question taille.
Vous voulez dire qu'aucun mail n'est envoyé à l'utilisateur pour
confirmation, mais qu'il est inscrit d'office ?
C'est un très mauvais choix technique ; en général la procédure est:
1. utilisateur: demande d'inscription
2. serveur: envoi d'un mail de confirmation a l'adresse indiquée, avec
les détails techniques (IP qui a fait la demande, date exacte) dedans
3. utilisateur: confirmation (reply sur le mail de demande de confirmation)
4. serveur: inscription dès réception de la confirmation, et log des
détails techniques (IP du client, date, etc.)
C'est vous qui mettez en oeuvre le traitement, donc cela n'entre pas en
ligne de compte. Pire: il faudrait en théorie déclarer à la CNIL le fait
que des informations nominatives peuvent potentiellement sortir hors de
france (c'est prévu dans la déclaration).
Le problème peut être analysé sur le point de vue du type qui a reçu ce
mail:
Cas 1:
C'est un malade qui essaye de vous emmerder
Case 2:
C'est un étourdi qui a oublié qu'il s'était inscrit il y a deux ans, et
qui a réagi impulsivement (presque) de bonne foi
Cas 3:
C'est quelqu'un inscrit abusivement par une personne mal intentionnée,
dans le but de lui nuire, et il a réagi, en sachant qu'il a peut être
reçu des dizaines d'autres inscriptions similaires à côté.
L'absence de système fiable de confirmation/inscription et/ou de log est
donc problématique: dans quel cas vous trouvez-vous ?
Non, justement c'est un très bon hébergeur. Simplement ils ne veut pas
se prendre la tête et perdre son temps pour une histoire débile.
Moins que ça, mais je n'ai pas envie d'imprimer plus de 4000 mails juste
au cas où un abrutis se manifeste.
C'est bien ce que je dis les infos sont sur le serveur de l'hébergeur.
La plupart des scripts de newsletter sont comme ça.
Parce que juste une adresse mail chez Hotmail est nominative ? En plus
je ne met rien en traitement c'est le serveur de mon hébergeur qui s'en
charge.
Quand une personne donne son adresse mail ce n'est pas moi qui rentre la
donnée mais la personne elle même.
Cas numéro 1. Et en plus il n'habite même pas en France, ni dans le pays
de mon hébergeur.
Mon hébergeur se fiche de la Cnil vu qu'il se trouve à l'étranger et je
ne sais pas ce que c'est qu'un système fiable quand on a affaire à des
emmerdeurs.
Il suffit que l'email de confirmation mette un admin de la liste en CC.
Oui. Enfin, c'est une information personelle.
Non, ce n'est pas l'ordinateur qui décide, c'est toi.
Mais c'est toi le responsable d'un système de traitement de données
personnelles.