Répondre aux demandes RGPD avec Discourse

Publié initialement à : Répondre aux demandes RGPD avec Discourse – Korben

Ceux qui aiment participer aux conversations sur ce site doivent forcément passer par la case création de comptes sur mon forum Discourse.

Discourse est un script de forum que j’affectionne particulièrement, car il est super simple à prendre en main pour les utilisateurs et pas du tout prise de tête à gérer pour les admins. Je vous invite d’ailleurs à lire mon article sur Discourse.

Il y a quelques jours, j’ai reçu un email très pompeux de la part d’un lecteur me citant tous les articles de loi concernant le RGPD et m’expliquant que je devais :

  1. Lui communiquer toutes ses données personnelles
  2. Lui expliquer à quoi étaient utilisées ses données perso
  3. Supprimer son compte et toutes ces données

Je vous passe le petit sentiment négatif qui me traverse quand je lis dans son mail ceci :

Selon l’article 12 (3), vous devez répondre à ma demande dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de cette demande. Passé ce délai, je porterai plainte auprès de l’autorité compétente.

Un internaute motivé

Utilisant Discourse, j’ai bien sûr tout ce qu’il faut pour répondre proprement à sa demande et je vais vous expliquer comment mettre ça en place sur votre propre forum Discourse.

Mettre au carré les CGU

Dans les paramètres de Discourse, vous pouvez indiquer une URL pointant vers vos conditions d’utilisation et votre politique de confidentialité. Alors pour rédiger tout ça vous pouvez faire appel à un avocat ou simplement copier-coller les CGU d’un site sérieux et l’adapter à vos besoins. Il y a également des tas de modèles de CGU / politique de confidentialité dispo gratuitement sur le Net. Ça se passe dans « Paramètres » -> « Legal ».

Forcer l’acceptation des CGU à l’inscription

Pour prouver que votre internaute a bien lu et accepté vos CGU, vous devez ajouter une case à cocher sur le formulaire d’inscription de Discourse.

Ça se trouve dans « Personnaliser » -> « Champs Utilisateurs » et là vous pouvez ajouter tous les champs dont vous avez besoin et rendre les cases à cocher obligatoires ou non.

Pouvoir supprimer un utilisateur

Discourse propose également différentes « possibilités » de supprimer un utilisateur et ses données personnelles. Pour cela, allez dans la zone d’Administration -> « Utilisateurs ». Choisissez l’utilisateur sur lequel vous voulez intervenir et allez tout en bas consulter son activité. Vous verrez alors différents boutons ROUGES (signalant qu’il faut être bien réveillé pour les utiliser).

Parmi ces boutons, il y a : « Rendre l’utilisateur anonyme » et « Supprimer l’utilisateur« .

Supprimer l’utilisateur, c’est simple, ça va supprimer le gars et toutes ses données et ce sera comme s’il n’avait jamais existé.

Rendre l’utilisateur anonyme, ça va laisser tous les messages et le compte de celui-ci, mais totalement anonymiser le compte. Plus d’email, plus d’IP, plus de mot de passe… etc. Ça permet de garder le contenu du forum tout en répondant à la demande de suppression de l’utilisateur.

Pour ma part, l’utilisateur m’ayant fait une demande RGPD n’ayant pas contribué de manière très intéressante aux discussions, j’ai carrément supprimé son compte.

Exporter les données d’un utilisateur

Malheureusement, Discourse ne permet pas aux utilisateurs d’exporter eux-mêmes leurs données et ne permet pas non plus à l’admin de le faire. Il faudrait pour cela exporter directement depuis la base de données. Mais vous vous doutez bien que ce besoin est fortement demandé.

Une boite de dev nommée Pavilion a mis à disposition un plugin Discourse baptisé Legal Tools qui permet au staff Discourse d’exporter en zip les données personnelles des utilisateurs qui en font la demande.

Les données exportées sont les suivantes :

  • Les messages
  • Les infos du profil
  • La liste des comptes externes rattachés
  • Les statistiques de l’utilisateur
  • L’historique de connexions
  • Les recherches effectuées
  • Les sujets vus et enregistrés par l’utilisateur
  • Les clics sur les liens
  • Les vues du profil
  • Toutes les actions effectuées par l’utilisateur.
  • Tous les logs liés à l’IP de l’utilisateur

Que des données techniques donc exportées sous la forme d’un CSV.

Pour mettre en place ce plugin, je vous invite à lire mon article sur comment installer un plugin Discourse ou encore celui traitant de l’installation du plugin Discourse pour Cloudflare. C’est la même procédure et ça se fait hyper facilement.

Si le sujet vous intéresse, je vous invite d’ailleurs à consulter ce fil de discussion où les gens peuvent demander des améliorations du plugin d’export.

Vous saurez en tout cas que l’internaute qui m’a fait sa demande RGPD m’a ensuite répondu que j’étais le seul à avoir correctement répondu du premier coup à sa demande en respectant le RGPD.

Cool 💪.

1 « J'aime »

Je ne sais pas comment ça marche concrètement, n’ayant jamais administré un Discourse, mais le forum de Rust par exemple permets de récupérer ses données personnelles très facilement :

image

Ce qui déclenche l’export des données et fait répondre l’utilisateur système peut après avec un lien contenant l’archive en question.

Peut-être un plugin spécifique ?