Bonjour,
Comme je le disais plus haut, je suis d'accord qu'il ne faut pas pousser les choses à l'extrême.
Je suis d'accord aussi que la "facilité" à remettre un nom sur quelque chose et ainsi de reconstituer des "données personnelles" (au sens RGPD) peut être prise en compte, mais je ne suis pas certain que RGPD, qui établit aussi la notion de "profilage", soit du même avis (là aussi, je ne suis pas assez juriste pour répondre à cette question).
Et Olivier, tu parles à plusieurs reprise de "hashage". Oui, cette technique permet d'empêcher de retrouver la valeur de la donnée qui a été "hashée". En effet, un "hashage" qui se respecte est basé sur des opérations mathématiques non réversibles (par exemple, principe du cryptage des mots de passe avant le stockage dans une base de données). Encore faudrait-il définir ce que l'on entend ici par "hashage".
Il se trouve que le problème que j'ai soulevé au début de cette discussion échappe justement à ce "hashage". Garder le prénom, le nom et l'adresse email d'un utilisateur en clair dans la base de données (donc avec le lien toujours établit entre ces trois données), cela après la suppression du compte de l'utilisateur et l'effacement des données validée par qui de droit (Admin du site ou DPO), me semble vraiment en dehors des clous de RGPD et ne me semble pas être une recherche de "petite bête". D'autant plus que cela est aussi le cas si c'est l’utilisateur qui demande d'exercer son droit à l'oubli, par une demande d'effacement de ses données.
Le prénom, le nom, l'adresse email et le lien entre elle sont tout de même des données assez personnelles, qu'il serait assez simple de "hasher" ou d'effacer complètement lors du processus d’effacement des données (sauf base juridique "supérieure" à RGPD, mais dans ce cas le "Registre de données" de Moodle est là pour régler cela).
Pour ce qui est des participations aux forum, wkiki,... dans lesquelles les participants collaborent à la construction de connaissances, qu'il peut être considéré comme dommage d'effacer, il y a là effectivement un nœud de questions pas faciles à concilier :
- si on garde les contenus sans le nom de l'auteur : on n'identifie plus la source de l'information ; ne peut-on pas être confronté à une question de droit d'auteur ?
- et RGPD permet aux auteurs de faire valoir leur "droit à l'oubli".
- Donc la seule solution juridiquement "inattaquable" serait de tout supprimer ? Même si cela peut s'avérer dommage pour la connaissance.
Pour conclure : il est clair que ce n'est pas toujours clair et que RGPD à apporté son lot de complexité, voir d’impossibilité, pour la conciliation d'une conformité réglementaire et d'une exploitation de terrain.
Bien à vous,
Jacques.