AirBnB et RGPD : Envoyer un scan de ma CI pour faire supprimer mon compte, vraiment ?

Répondre
Partager Rechercher
Je vous explique le contexte :

Depuis environ 2 semaines, mon compte AirBnB, qui n'a aucune activité depuis presque 3 ans, est attaqué d'une façon ou d'une autre. Résultat, je suis spammé, sur mon téléphone et sur mon mail, d'alertes de sécurité provenant de AirBnb, avec un code de sécurité à entrer sur le site.
Je ne suis pas trop inquiet, j'ai changé de CB depuis ma dernière activité, aucun moyen qu'on se paie des locations sur mon dos ...
J'essaie de changer mon mot de passe, sans succès : trop de tentatives, veuillez patienter.

Je contacte AirBnB via messenger, ils répondent assez rapidement, me disent qu'ils ont fait le nécessaire et de me connecter pour changer mon mort de passe. Résultat, trop de tentatives, impossible d'accéder à mon compte.
Après 2-3 jours de nouveaux échanges et tentatives (et de spam), toujours pas moyen, je leur demande donc de supprimer définitivement le compte.

Je suis donc redirigé vers leur service en Irlande, qui me demande de leur envoyer une preuve d'identité ...


Bref, les gars sont incapables de re-sécuriser mon compte, et pour qu'ils le suppriment avec les données associées, je dois leur envoyer des informations personnelles supplémentaire ?
Je leur donne mon nom complet, ma date de naissance, mon email et mon numéro de téléphone ...
Re-réponse, non, ils veulent un scan de ma carte d'identité.

Est-ce légal vis-à-vis de l'application de la Loi ?
Puis-je avoir confiance en AirBnB ?
Oui, ils ont le droit de verifier que c'est bien toi qui demande. C'est normal, sinon je pourrais faire le gros relou, et mass mail des demandes de suppression RGPD a plein de boites :P
C'est pour prouver ton identité.

Parfois dire ta ville/date de naissance, adresse etc ça suffit, mais ça correspond à un niveau de sécurité d'à peu près 0/20.

Et tkt pas que Airbnb monétise déjà la data que tu leurs a filé à travers ton compte, pas besoin de ta CI
C'est normal pour la carte, faut bien vérifier que tu es en droit de faire la demande.
Quand à leur faire confiance, par défaut je dirais non, c'est quand même la boite qui a proposé des outils de fraude fiscale et des cartes bancaires dans un paradis fiscal pour ses bons clients. Ils vont effacer ton data mais il est déja stocké dans une filiale hors europe.

Dernière modification par La Pelle du 18 Juin ; 22/07/2019 à 19h08.
Juste pour info - Y a vraiment peu de chances qu'ils deletent ta CI une fois que tu leur donne en PJ.
Elle restera en PJ dans les archives de leur outil CRM.

Je ne connais pas une seule boite qui delete ses tickets reçus. C'est trop important d'avoir des données historiques pour faire des projections de volume.

Je sais que ça ne va pas te rassurer mais je préfère que tu aies toutes les cartes en main.

Par contre, tu as parfaitement le droit de "sanitize" (censurer ?) les informations non nécessaires à la vérification de ton identité histoire que même si AirBnB se fait pirater, ta CI en PJ sera inutilisable.

Concernant le GDPR, il n'y a pas une seule entreprise en Europe qui est 100% compliant. Et le but d'ailleurs n'est pas d'être 100% compliant mais de l'être assez pour survivre un audit potentiel.

Et très honnêtement, être 100% compliant serait un enfer, on pourrait plus bosser convenablement et au final, ce sont les clients qui morfleront.
Citation :
Publié par Jyharl (#30665430).
Et très honnêtement, être 100% compliant serait un enfer, on pourrait plus bosser convenablement et au final, ce sont les clients qui morfleront.
À la fois oui... A la fois non

Perso je suis dans l'email et y'a des solutions connus et autorisés par la CNIL permettant le partage des données par exemple qui existe alors qu'honnêtement ça devrait pas exister, au final les "clients" se retrouve exactement dans la même situation et du côté de l'entreprise ça l'a juste obligé à se réinventer un petit peu mais rien de ouf
Citation :
Par contre, tu as parfaitement le droit de "sanitize" (censurer ?) les informations non nécessaires à la vérification de ton identité histoire que même si AirBnB se fait pirater, ta CI en PJ sera inutilisable.
Ils ont le droit de refuser un fichier retouché aussi.

Pour le GDPR et les grosses boites, c'est faisable, mais c'est un long projet, chez moi on s'y est mis plus d'un an avant la mise en application. Les boites qui se réveillent deux semaines avant c'est mort.
Citation :
Publié par GrosCadeau
À la fois oui... A la fois non

Perso je suis dans l'email et y'a des solutions connus et autorisés par l'ACNIL permettant le partage des données par exemple qui existe alors qu'honnêtement ça devrait pas exister, au final les "clients" se retrouve exactement dans la même situation et du côté de l'entreprise ça l'a juste obligé à se réinventer un petit peu mais rien de ouf
Si tu veux être à 100% compliant, en théorie il faudrait faire une demande officielle et écrite (JIRA, Email, Etc) au "Data Protection Officer" ou à minima à ton département IT/Data en justifiant pourquoi tu en as besoin.

C'est juste du grand n'importe quoi. T'en as besoin pour quasi chaque tickets que tu reçois. Ca rallongerait tout le process et le temps d'attente serait long au delà de l'acceptable pour le client.

Ajoute à ça si tu travaille avec des BPOs et ça devient un bordel monstre.

Fort heureusement, même les auditeurs ne s'attendent pas du 100%. Juste des efforts acceptables pour protéger les données clients et jusqu'à présent, ils comprennent aussi les obligations des métiers.

Sur GDPR ça va. Là où ça rigole pas, par contre (et avec raison) c'est sur le PCI Compliance (cartes bancaires).


Citation :
Publié par La Pelle du 18 Juin (#30665445)
Ils ont le droit de refuser un fichier retouché aussi.
Pour le GDPR et les grosses boites, c'est faisable, mais c'est un long projet, chez moi on s'y est mis plus d'un an avant la mise en application. Les boites qui se réveillent deux semaines avant c'est mort.
Ca fait aussi 1 an qu'on y bosse. Mais je te garantie que chez toi non plus c'est pas 100%. Vous pourriez plus bosser sinon.
Pour le refus d'un document officiel "sanitized", à mon avis là par contre y a recours possible. Cacher les informations sensibles non nécessaires sur les documents d'identités c'est quand même très courant. Certaines boites d'ailleurs conseille même à leur clients de le faire.

Refuser ça c'est un gros manque d'esprit service client.
Citation :
Si tu veux être à 100% compliant, en théorie il faudrait faire une demande officielle et écrite (JIRA, Email, Etc) au "Data Protection Officer" ou à minima à ton département IT/Data en justifiant pourquoi tu en as besoin.
Tu peux définir ca pour une tache précise avec ce que tu peux demander et une durée de conservation , t'es pas obligé de faire une demande à chaque ticket sont pas cons non plus.
Honnêtement j'en ai un peu rien à faire qu'ils utilisent les données de mon compte, du moment qu'ils le bloquent et que je ne me fait plus spam d'alerte de sécurité, ce que je leur demandais à la base ...

J'ai envoyé un scan du recto de ma CI (belge), en effaçant le numéro de carte par précaution, on verra ce qu'ils répondent.
Il n'y a juste pas moyen que je leur file mon numéro de carte et mon numéro de registre national, faut pas déconner ...

Merci pour les réponses.
Citation :
Publié par Jyharl
Si tu veux être à 100% compliant, en théorie il faudrait faire une demande officielle et écrite (JIRA, Email, Etc) au "Data Protection Officer" ou à minima à ton département IT/Data en justifiant pourquoi tu en as besoin.

C'est juste du grand n'importe quoi. T'en as besoin pour quasi chaque tickets que tu reçois. Ca rallongerait tout le process et le temps d'attente serait long au delà de l'acceptable pour le client.

Ajoute à ça si tu travaille avec des BPOs et ça devient un bordel monstre.

Fort heureusement, même les auditeurs ne s'attendent pas du 100%. Juste des efforts acceptables pour protéger les données clients et jusqu'à présent, ils comprennent aussi les obligations des métiers.

Sur GDPR ça va. Là où ça rigole pas, par contre (et avec raison) c'est sur le PCI Compliance (cartes bancaires).




Ca fait aussi 1 an qu'on y bosse. Mais je te garantie que chez toi non plus c'est pas 100%. Vous pourriez plus bosser sinon.
Yes bien sûr je vois ce que tu veux dire et je suis d'accord. C'était juste pour rebondir sur certains points de la RGPD qui sont assez absurde, qui sont là juste pour dire "hey on a fait cette mesure on est conscient des problèmes" alors que derrière ça change rien.

Après mine de rien y'a d'autres points qui ont été plutôt efficace, y'a des grosses entreprises qui ont retirés leurs solutions dès que la RGPD est apparu, mais le truc c'est que là les entreprises sont plus dans l'optique de "comment contourner la RGPD en bonne et du forme" et ne prennent pas conscience du pourquoi de la RGPD
Citation :
Publié par La Pelle du 18 Juin
Tu peux définir ca pour une tache précise avec ce que tu peux demander et une durée de conservation , t'es pas obligé de faire une demande à chaque ticket sont pas cons non plus.
Et c'est en ça que je dis que les auditeurs sont relativement "flex' sur le sujet tant que l'entreprise fait montre de bonne foi.
Mais il y a une différence entre la Loi stricte et les auditeurs.

Et pour la loi stricte, non, tu peux pas dire "nos agents de service client doivent avoir accès à tout car parfois ils reçoivent des tickets qui demandent ces infos là". Fort heureusement, ce n'est pas (encore) imposé car oui, les auditeurs ne sont pas cons.

Je me suis tapé une formation GDPR à plein temps par des avocats spécialisés, j'ai pas kiffé.
L'application de la rgpd est plutôt souple pour le moment car c'est très neuf. Ça deviendra sûrement plus stricte au fur et à mesure. Sur pci c'est pareil, les nouvelles règles sont contrôles avec plus de souplesse que celles présentes depuis des années. Un auditeur te retirera pas la certif pour une double authent forte manquante sur un serveur oublié, pour un stockage de pan en clair accessible largement ça sera pas pareil.

Mais bon faut pas abuser, pour tes tickets jira, une règle de durée de stockage / procédure de modif / qui a accès est suffisante et le restera, pas besoin d'une validation indicoduelle.
Message supprimé par son auteur.
Quels services? Parce qu'on ne m'a jamais demandé de copie de pièce d'identité quand j'ai voulu clore mes compte sur différents sites, heureusement d'ailleurs.
Citation :
Publié par Bali
Quels services? Parce qu'on ne m'a jamais demandé de copie de pièce d'identité quand j'ai voulu clore mes compte sur différents sites, heureusement d'ailleurs.
Si t'as encore accès au compte ça pose pas de problème forcement. Ça t'es demander pour vérifier ton identité si tu n'as plus accès et que tu veux supprimer les donnees.
Message supprimé par son auteur.
pour adwords aussi, ils sont infernal chez google
Même avec un nom prénom, numéro de compte, adresse du site, ils veulent pas te donner l'adresse email que tu as utilisé pour ton compte !! Et sans adresse email tu peux pas avoir accès. Et ils refusent que tu envoi une copie de ta pièce d'identité pour prouver que c'est bien toi !!
Alors en pratique c'est plus compliqué que ça.

Le règlement n'importe pas à la personne de prouver son identité, mais au détenteur de l'information personnelle d'être en mesure de démonter qu'il s'agit bien de la personne :


Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

  1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens.
  2. Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l'article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d'exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu'il n'est pas en mesure d'identifier la personne concernée.
En fait, il n'y a pas eu encore de jurisprudences sur la question, donc aucune interprétation légale de ces deux paragraphes. On peut considérer que soit :

Demander une CI pour toute demande d’exercice d'un droit RGPD est l’interprétation normale du devoir du responsable du traitement car sinon il ne serait pas en mesure d'identifier la personne concernée.

Soit, le fait que la demande ai été réalisée par l'adresse mail associée au compte est une preuve d'identité suffisante, et le fait de demander un justificatif supplémentaire porte atteinte au second paragraphe car il ne facilite pas l’exercice des droits donnés et n'est pas proportionné au but recherché.

My 2cents, demander un scan de la CI est clairement un abus d'interprétation, d'abord car le mail est ajd communément admis comme un moyen d’identification d'accès aux comptes personnels, ensuite car cela fourni encore plus d'infos personnelles au responsable de traitement : Quid du mail contenant la copie de la CI, s'il est sauvegardé il va à l'encontre de la demande de la personne, s'il est supprimé il va à l'encontre du règlement qui impose de conservé les demandes d'accès aux droits...
Juste les boites essaient de trouver tous les moyens pour détourner la loi et faire de la rétention en bloquant inutilement le processus d'accès. Mais bon il va falloir attendre qu'une ou deux entreprises se fassent condamner pour que ça change...

Tu peux tjrs les contacter avec ces articles pour leur forcer la main, tout en menaçant de porter plainte, ça marche plutôt bien, et qui sait, tu feras peut être un pas pour aider à interpréter la loi correctement .
Les entreprises n'accepteront jamais qu'un simple email suffise, vu comment il est facile de phisher le gogo. Elles auraient alors à gérer les conséquences de la fuite de données, ce qui coute une fortune en support. Imaginez que les chinois ne se contentent plus de voler des comptes wow mais aient accès aux données client airbnb en faisant de fausses demandes via des emails au mdp acquis via les moyens habituels.
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés