Lettre d'information sur site personnel

Le
Stephan
Bonjour,
Je vais vous raconter une petite histoire. Sur un site personnel n'ayant
strictement rien à vendre donc à prospecter, une petite newsletter est
installée. Le programme est en php (Wanewsletter) les liens de
désabonnement sont installés, bref tout va bien. Jusqu'au jour où ..

Une personne s'inscrit et le jour où elle reçoit un mail porte plainte à
la CNIL pour spam et écrit également à l'hébergeur.
Vous allez me dire que c'est ridicule et que ça sent la jalousie et la
vengeance d'un Rambo des bacs à sable et vous aurez raison sauf que

La CNIL a bien enregistré la plainte et demande des explications.
Incroyable mais véridique.
Or, il n'y a aucun moyen de justifier qu'une personne s'est inscrite
volontairement à une newsletter. En effet, l'on s'est aperçu avec
l'hébergeur que pratiquement aucun programme ne renvoyait l'adresse IP
de la personne qui s'inscrivait.
Lors d'une demande de confirmation, c'est l'adresse IP de votre propre
serveur qui est renvoyée dans le mail de confirmation et non l'adresse
de la personne qui s'inscrit.

A partir de là, toutes les newletters devraient donc être déclarées
illégales par la CNIL

L'hébergeur, lui a bien compris que la démarche du type était ridicule
et n'a bien sûr pas donné suite. En accord avec lui, la newsletter a été
désactivée en attendant de trouver une solution légale.

Quand à la CNIL et bien on va attendre leur réponse.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Xavier Roche
Le #14350931
Stephan a écrit :
Or, il n'y a aucun moyen de justifier qu'une personne s'est inscrite
volontairement à une newsletter. En effet, l'on s'est aperçu avec
l'hébergeur que pratiquement aucun programme ne renvoyait l'adresse IP
de la personne qui s'inscrivait.



Ah ? Et les logs du serveur web ? L'hébergeur n'en a pas ? (LCEN ?)

Lors d'une demande de confirmation, c'est l'adresse IP de votre propre
serveur qui est renvoyée dans le mail de confirmation et non l'adresse
de la personne qui s'inscrit.



Non. L'adresse IP du client qui a confirmé est clairement annoncée dans
les champs "Received:" du mail de confirmation. Ou sinon il faut pendre
l'administrateur par les c^genoux.

A partir de là, il suffit de croiser, entre l'adresse IP et la date (à
la seconde près) les logs du fournisseur d'accès correspondant,
moyennant une demande des enquêteurs, qui confirmera ou non que c'est
bien cette personne qui a effectué la confirmation.

Après, si c'est le petit frère qui a fait une blague sur le PC de la
personne, tant pis pour elle.

A partir de là, toutes les newletters devraient donc être déclarées
illégales par la CNIL



Non. Tout le monde garde des logs, et surtout les mails de confirmation,
et accessoirement logge également les demandes d'inscription.
Personnellement les cas que j'ai pu gérer sont gérés de manière
paranoïaque, car justement, les petits malins qui essayent d'inscrire
leurs ennemis, ça existe.

Donc on garde:
- les logs du serveur web
- on logge explicitement en plus les demandes d'inscription (en syslog
par exemple)
- on garde précieusement les mails de confirmation
- et on déclare le tout à la cnil (parce que les IP et tout ça, c'est
aussi nominatif tout ce bordel)

Quand à la CNIL et bien on va attendre leur réponse.



Eh bien elle peut très bien transmettre pour instruction (si c'est du
pénal, cela peut suivre son cours) ou s'auto-saisir (ce qui n'est jamais
arrivé, je crois)

Mais bon, si vraiment c'est le premier cas, et si la newsletter n'est
pas abusive, je vois mal la CNIL et/ou des enquêteurs perdre leur temps,
alors que des cas manifestes de spam bien gras impunis courent les rues.
Stephan
Le #14350921
Xavier Roche a écrit :


Ah ? Et les logs du serveur web ? L'hébergeur n'en a pas ? (LCEN ?)



L'hébergeur a autre chose à faire que d'aller fouiller dans ses logs.
C'est donc à l'utilisateur du programme de fournir la preuve.




A partir de là, il suffit de croiser, entre l'adresse IP et la date (à
la seconde près) les logs du fournisseur d'accès correspondant,
moyennant une demande des enquêteurs, qui confirmera ou non que c'est
bien cette personne qui a effectué la confirmation.




A condition que le fournisseur soit dans l'obligation de le faire ce qui
est loin d'être le cas.




Donc on garde:
- les logs du serveur web
- on logge explicitement en plus les demandes d'inscription (en syslog
par exemple)
- on garde précieusement les mails de confirmation
- et on déclare le tout à la cnil (parce que les IP et tout ça, c'est
aussi nominatif tout ce bordel)



Pour un site perso, c'est trop lourd à gérer d'imprimer et de conserver
à chaque fois les mails avec les en tête, autant supprimer la lettre.

Pour les IP du mail de confirmation, désolé il n'y avait que les IP de
mon serveur ce qui me semble logique vu que c'est mon serveur qui me
renvoi la confirmation.Même la newsletter fournie par l'hébergeur avait
le même problème.

En plus si le site en question est hébergé à l'étranger, je ne vois pas
trop en quoi cela regarde la CNIL, mais c'est une autre histoire



Mais bon, si vraiment c'est le premier cas, et si la newsletter n'est
pas abusive, je vois mal la CNIL et/ou des enquêteurs perdre leur temps,
alors que des cas manifestes de spam bien gras impunis courent les rues.



C'est le premier et le seul cas et en plus, comble du comique cette
lettre informait les gens que toutes les inscriptions allaient être
détruites et que ceux qui voulaient recevoir de nouveau cette lettre
devaient se re inscrire.
Cette lettre était ancienne et à l'époque il n'y avait pas de demande de
confirmation de demandée.
On vit bien dans un monde de fous
Xavier Roche
Le #14350911
Stephan a écrit :
L'hébergeur a autre chose à faire que d'aller fouiller dans ses logs.



Mauvais hébergeur, changer d'hébergeur.

- on garde précieusement les mails de confirmation


Pour un site perso, c'est trop lourd à gérer d'imprimer et de conserver
à chaque fois les mails avec les en tête, autant supprimer la lettre.



Euh vous avez combien d'utilisateurs ? Parce que même avec dix mille
inscrits, cela ne fait pas lourd question taille.

Pour les IP du mail de confirmation, désolé il n'y avait que les IP de
mon serveur ce qui me semble logique vu que c'est mon serveur qui me
renvoi la confirmation.



Vous voulez dire qu'aucun mail n'est envoyé à l'utilisateur pour
confirmation, mais qu'il est inscrit d'office ?

C'est un très mauvais choix technique ; en général la procédure est:
1. utilisateur: demande d'inscription
2. serveur: envoi d'un mail de confirmation a l'adresse indiquée, avec
les détails techniques (IP qui a fait la demande, date exacte) dedans
3. utilisateur: confirmation (reply sur le mail de demande de confirmation)
4. serveur: inscription dès réception de la confirmation, et log des
détails techniques (IP du client, date, etc.)

En plus si le site en question est hébergé à l'étranger, je ne vois pas
trop en quoi cela regarde la CNIL, mais c'est une autre histoire



C'est vous qui mettez en oeuvre le traitement, donc cela n'entre pas en
ligne de compte. Pire: il faudrait en théorie déclarer à la CNIL le fait
que des informations nominatives peuvent potentiellement sortir hors de
france (c'est prévu dans la déclaration).

On vit bien dans un monde de fous



Le problème peut être analysé sur le point de vue du type qui a reçu ce
mail:

Cas 1:
C'est un malade qui essaye de vous emmerder

Case 2:
C'est un étourdi qui a oublié qu'il s'était inscrit il y a deux ans, et
qui a réagi impulsivement (presque) de bonne foi

Cas 3:
C'est quelqu'un inscrit abusivement par une personne mal intentionnée,
dans le but de lui nuire, et il a réagi, en sachant qu'il a peut être
reçu des dizaines d'autres inscriptions similaires à côté.

L'absence de système fiable de confirmation/inscription et/ou de log est
donc problématique: dans quel cas vous trouvez-vous ?
Stephan
Le #14350881
Xavier Roche a écrit :

Mauvais hébergeur, changer d'hébergeur.



Non, justement c'est un très bon hébergeur. Simplement ils ne veut pas
se prendre la tête et perdre son temps pour une histoire débile.




Euh vous avez combien d'utilisateurs ? Parce que même avec dix mille
inscrits, cela ne fait pas lourd question taille.



Moins que ça, mais je n'ai pas envie d'imprimer plus de 4000 mails juste
au cas où un abrutis se manifeste.



Vous voulez dire qu'aucun mail n'est envoyé à l'utilisateur pour
confirmation, mais qu'il est inscrit d'office ?

C'est un très mauvais choix technique ; en général la procédure est:
1. utilisateur: demande d'inscription
2. serveur: envoi d'un mail de confirmation a l'adresse indiquée, avec
les détails techniques (IP qui a fait la demande, date exacte) dedans
3. utilisateur: confirmation (reply sur le mail de demande de confirmation)
4. serveur: inscription dès réception de la confirmation, et log des
détails techniques (IP du client, date, etc.)



C'est bien ce que je dis les infos sont sur le serveur de l'hébergeur.
La plupart des scripts de newsletter sont comme ça.




C'est vous qui mettez en oeuvre le traitement, donc cela n'entre pas en
ligne de compte. Pire: il faudrait en théorie déclarer à la CNIL le fait
que des informations nominatives peuvent potentiellement sortir hors de
france (c'est prévu dans la déclaration).



Parce que juste une adresse mail chez Hotmail est nominative ? En plus
je ne met rien en traitement c'est le serveur de mon hébergeur qui s'en
charge.
Quand une personne donne son adresse mail ce n'est pas moi qui rentre la
donnée mais la personne elle même.


Cas 1:
C'est un malade qui essaye de vous emmerder
L'absence de système fiable de confirmation/inscription et/ou de log est
donc problématique: dans quel cas vous trouvez-vous ?



Cas numéro 1. Et en plus il n'habite même pas en France, ni dans le pays
de mon hébergeur.
Mon hébergeur se fiche de la Cnil vu qu'il se trouve à l'étranger et je
ne sais pas ce que c'est qu'un système fiable quand on a affaire à des
emmerdeurs.
Patrick V
Le #14350871
Stephan a écrit :
3. utilisateur: confirmation (reply sur le mail de demande de
confirmation)
4. serveur: inscription dès réception de la confirmation, et log des
détails techniques (IP du client, date, etc.)



C'est bien ce que je dis les infos sont sur le serveur de l'hébergeur.



Il suffit que l'email de confirmation mette un admin de la liste en CC.

C'est vous qui mettez en oeuvre le traitement, donc cela n'entre pas
en ligne de compte. Pire: il faudrait en théorie déclarer à la CNIL le
fait que des informations nominatives peuvent potentiellement sortir
hors de france (c'est prévu dans la déclaration).



Parce que juste une adresse mail chez Hotmail est nominative ?



Oui. Enfin, c'est une information personelle.

je ne met rien en traitement c'est le serveur de mon hébergeur qui s'en
charge.



Non, ce n'est pas l'ordinateur qui décide, c'est toi.

Quand une personne donne son adresse mail ce n'est pas moi qui rentre la
donnée mais la personne elle même.



Mais c'est toi le responsable d'un système de traitement de données
personnelles.
Stephan
Le #14350861
Patrick V a écrit :


Il suffit que l'email de confirmation mette un admin de la liste en CC.




Oui, mais ce n'est pas prévu dans les scripts donc la plupart des
newsletters qui sont sur des sites personnels devraient être jugées
illégales par la CNIL et être enlevées des serveurs. Ensuite la personne
qui a voulu m'emmerder devra assumer ses actes
Les spameurs professionnels, eux, pourront continuer à oeuvrer en toute
tranquillité.
La CNIL c'est comme les flics. Au début leur mission consistait à
protéger les citoyens, maintenant elle consiste plus à les emmerder.

Maintenant concernant les déclarations, je rappelle juste qu'il s'agit
dans notre cas d'un site web personnel et qu'à ce titre il est exempté
de déclaration, même pour des forums ou des chats.

En attendant, merci pour les infos
Publicité
Poster une réponse
Anonyme