Données personelles Flashcards
La politique de confidentialité et de respect de la vie privée est disponible sur toutes les pages
Rassurer les utilisateurs sur l’utilisation de leurs données
Pourquoi ?
-Permettre aux utilisateurs de connaitre les conditions de conservation de leurs données personnelles
-Renforcer la confiance des utilisateurs sur l’utilisation de leurs données
Comment ?
Indiquer ou rendre dispo sur chaque page
La procédure d’accès et de rectification des données personnelles est décrite
Important de se demander quelle est la pérénnité des données collectées
Pourquoi ?
-Informer l’utilisateur sur l’utilisation de ses données personnelles
-Faciliter la gestion des demandes liées aux données personnelles
-Renforcer la confiance des utilisateurs sur l’utilisation de leurs données
Comment?
Indiquer procédure ou moyens de contact pour l’accès ou rectification des données personnelles
La création de compte est possible sans recours à un système d’identification tiers
La co par Google, Facebook, LinkedIn, etc. c’est pratique que quand on a bien encore un compte
Pourquoi ?
-Laisser à l’utilisateur le choix d’utiliser ou non un service tiers
-Fournir un moyen alternatif d’accès au service
-Fournir un moyen d’accès maitrisé par les administrateurs du service
-Limiter la dépendance à un acteur tiers dont la politique et stratégie commerciale ou technique ne manqueront pas d’évoluer avec le temps
-Renforcer la confiance des utilisateurs sur l’utilisation de leurs données
Comment ?
Permettre de créer un compte par saisie ou création d’un mdp propre au service
La création d’un compte est soumise à un processus de confirmation
Vérification par courriel ou n’importe qui peut s’inscrire à mon insu
Pourquoi ?
-Réduire les risques d’inscription de l’utilisateur à son insu
-Renforcer la confiance des utilisateurs sur l’utilisation de leurs données
Comment ?
Avant activation du compte créé en ligne, mail de confirmation automatique
Le site propose un mécanisme de prévention des usurpations de compte ou d’identité
Ex: authentification à double facteur
Pourquoi ?
-Renforcer la sécurité et la confiance de l’utilisateur
-Prévenir les risques d’usurpation d’identité
-Limiter les coûts de traitement d’usurpation
-Renforcer la confiance des utilisateurs sur l’utilisation de leurs données
Comment ?
Authentification à double facteur ou autre truc fort
Les comptes ou abonnements ouverts en ligne peuvent être fermés par le même moyen
Pouvoir fermer son compte aussi facilement qu’il est possible de l’ouvrir
Pourquoi ?
-Faciliter la gestion des comptes utilisateurs
-Éviter à l’utilisateur une recherche de contact
-Conforter la confiance dans le site ou le service
-Renforcer la confiance des utilisateurs sur l’utilisation de leurs données
Comment ?
Faire en sorte de pouvoir clore ou contrôler la cloture de son compte de la même manière que son ouverture (auto = auto, différée = différée)
Si le site propose un espace personnel ou abonné, il est possible de télécharger les contenus personnels
Un problème technique ca arrive donc aider à sauver ses données c’est cool
Pourquoi ?
-Permettre l’archivage des contenus créés par l’utilisateur
-Éviter à l’utilisateur d’éventuelles saisies redoublées en cas de réutilisation des contenus
-Permettre la réutilisation des documents précédemment ajoutés
-Renforcer la confiance des utilisateurs sur l’utilisation de leurs données
Comment ?
Pouvoir exporter les contenus personnellement saisis ou créés dans un format standard
La connexion à tous les services proposés est possible avec les mêmes identifiants
Pire ex (ou meilleur contre ex) : l’Ecole Multimédia x’)
Pourquoi ?
-Permettre aux utilisateurs d’utiliser et de mémoriser des identifiants uniques
-Accélérer la connexion et améliorer l’expérience utilisateur
-Renforcer la confiance des utilisateurs sur l’utilisation de leurs données
Comment ?
Si plusieurs services, même jeu d’identifiants/mdp + même système authentification pour tous
Il est possible de se déconnecter des espaces privés
Éviter que ma grand mère accède à ce que je fais en ligne
Pourquoi ?
-Permettre à l’utilisateur de protéger ses données et contenus personnels
-Limiter les risques d’usurpation d’identité
-Renforcer la confiance des utilisateurs sur l’utilisation de leurs données
Comment ?
Permettre de pouvoir se déconnecter globalement de toutes les connexions actives, sur tous les périphériques différents
Le site accepte les alias mail contenant le signe +
Selon Wikipédia, un alias ou alias e-mail est une adresse électronique qui redirige vers une autre préexistante. Les messages envoyés à l’alias sont directement transférés, sans passer par une boîte de courrier électronique. Cette bonne pratique veille à ce que les adresses mail de la forme nom+xxx@domaine.fr soient acceptées par le site. Cela permet aux utilisateurs d’utiliser un mail dédié à un usage spécifique sans créer de compte mail supplémentaire.
Pourquoi ?
-Permettre aux utilisateurs d’utiliser des comptes mail dédiés à un usage spécifique
-Permettre aux utilisateurs de tracer la diffusion de leurs adresses mail
-Renforcer la confiance des utilisateurs sur l’utilisation de leurs données
Comment ?
Accepter les adresses du type foo.bar+truc@example.com
Les entêtes envoyées par le serveur spécifient la politique de communication des referrers
Les serveurs Web passent leur temps à enregistrer tout un tas d’informations sur les utilisateurs. Ces données sont inscrites dans ce l’on appelle des fichiers logs. C’est très pratique voire vital pour analyser l’audience, pour repérer des erreurs et c’est essentiel pour les développeurs. En revanche, parmi les infos qui sont transmises en permanence, il y a la page d’origine.
Comment ?
-Protéger les utilisateurs d’éventuelles informations sensibles concernant leur navigation
-Sécuriser le chargement des ressources externes
-Maîtriser les infos transmises par le serveur
-Renforcer la confiance des utilisateurs sur l’utilisation de leurs données
Pourquoi ?
Pour chaque page du site, configurer le serveur pour envoyer l’entête HTTP Referrer-Policy avec comme valeur, par ordre de préférence :
no-referrer same-origin strict-origin strict-origin-when-cross-origin
Les liens externes qui ouvrent une nouvelle fenêtre ne partagent pas d’infos de contexte
Veiller à ce que les informations de contexte ne circulent pas entre les sites d’origine et de destination. Cette précaution peut éviter des problèmes de sécurité et de performance.
Pourquoi ?
-Prévenir la transmission de données personnelles
-Prévenir l’exécution de codes malicieux
-Prévenir les baisses de performance liées au partage de ressources dans de multiples fenêtres
-Renforcer la confiance des utilisateurs sur l’utilisation de leurs données
Comment ?
Doter chaque lien ayant un attribut target=”_blank” d’un attribut rel=”noreferrer noopener”.
Les échanges de données sensibles sont sécurisés et signalés comme tels
Il est parfaitement possible, pour un informaticien de niveau moyen, d’intercepter des données circulant sur le réseau. Le chiffrement des données constitue une mesure minimale de sécurité.
Pourquoi ?
-Conforter la confiance de l’utilisateur
-Permettre à l’utilisateur de saisir des données sensibles en sachant qu’elles seront protégées
-Minimiser les risques d’utilisation frauduleuse des données de l’utilisateur
-Renforcer la confiance de l’utilisateur sur l’utilisation de leurs données
(https ou cadenas)
Comment ?
-certificat de sécurité information en version récente
-service tiers d’authentification décentralisée style Open ID
Les données sensibles ne sont pas transmises en clair dans l’url
Ex: https://domaine.com/index.html?motpasse=lapin
Pourquoi ?
-Éviter que des données sensibles ne soient publiques et stockées en clair aux différentes étapes de l’accès à la page (FAI, proxy, serveur Web, historique du navigateur, services tiers…)
-Permettre à l’utilisateur de saisir des données sensibles en sachant qu’elles seront protégées et confidentielles
-Renforcer la confiance de l’utilisateur dans l’utilisation de ses données
Comment ?
Envoyer les données de formulaire sensibles par la méthode POST.
+ Ne pas inscrire de données sensibles dans l’URL d’un lien.
L’objectif des cookies et les limitations inhérentes à leur refus sont expliquées
Cookie = un fichier qu’un site web dépose sur son poste et qui est soit un moyen de tracer son utilisation du Web, soit une technique potentiellement très efficace pour améliorer la navigation, mémoriser des options, proposer des contenus ciblés.
Pourquoi ?
-Informer les utilisateurs sur les cookies
-Expliquer leur rôle et leur utilité
-Renforcer la confiance de l’utilisateur sur l’utilisation des ses données
Comment ?
Préciser si cookies + si oui, quelles données, pourquoi, comment désactiver
