Le 14 mai 2018 11:04:42 GMT+02:00, frsag@jack.fr.eu.org a écrit :
(je ne suis pas juriste ..)
On 05/14/2018 10:37 AM, Vincent Duvernet wrote:
- Pour les backups par exemple :
- Mme Michu (encore et toujours elle) te demande de lui envoyer ses
données et de les supprimer. Ce que tu fais
- Mer... tu dois restaurer un ancien backup suite à un travail de
stagiaire restaurant par la même occasion les datas de Mme Michu.
- Wtf ? Il faut refaire la procédure me direz-vous. Donc, il faut
garder un fichier contenant la liste des personnes à re-virer en cas de restauration de backup. Et donc ce fichier contient une donnée personnelle. Et on ne peut pas forcément détruire rétroactivement dans tous les backups.
Absolument pas ! Mme Michu de demande de supprimer ses données, tu dois supprimer ses données, c'est à dire être dans l'impossibilité de les récupérer Autrement dit, tu dois supprimer les données "live" mais également les données contenu dans les backup La procédure pour mettre ceci en application n'est pas précisée ..
La solution chez Google a priori, c’est que les backups sont chiffrés avec une clé différente pour chaque utilisateur, sur une demande de suppression des données ils détruisent la clé (une partie des backups étant offline, ce serait trop contraignant d’aller chercher partout). Je n’ai aucune idée de comment c’est implémenté en pratique, mais ça doit pas être trivial.
Notez que c’est pas parfait non plus, dans 20 ans quand la crypto utilisée sera cassée d’une manière ou d’une autre, les données seront à nouveau lisible dans l’absolu. Mais je suppose qu’au moins ça montre que des efforts sont faits.