Development #26907
Mis à jour par Benjamin Dauvergne il y a plus de 5 ans
Ce ticket vise à mettre en application nos obligations CNIL/RGPD et aussi améliorer l'ergonomie concernant:
* vis à vis de la suppression des comptes pour inactivité
* la suppression des comptes soit demandé par les utilisateurs
* les rappels de mot de passe
* le changement de mot de passe (surtout dans le cadre de l'utilisation d'une autre méthode d'authentification type FC/BeID) l'utilisateur soit du à l'expiration d'un délai.
J'y lierai les différents tickets techniques reliés, mais la roadmap est globalement :
* pour la suppression des comptes:
** authentic supprime aussi vite que possible les comptes quand c'est nécessaire
** * il notifie les applications comme il peut sinon les applications viennent l'interroge pour vérifier que la clé de fédération est encore relié à un compte
** * chaque application est responsable du cycle de vie du compte de son coté et n'a pas à le supprimer immédiatement (w.c.s. par exemple ou des demandes non terminés peuvent encore exister)
Pour le reset:
* tenir au maximum l'utilisateur au courant (sans fournir d'oracle) de ce qui se passe
Pour le changement de mot de passe:
* ne le permettre que lorsque c'est nécessaire (i.e. l'interdire pour un compte purement FranceConnect, n'en parler qu'en cas de déliaison)
* vis à vis de la suppression des comptes pour inactivité
* la suppression des comptes soit demandé par les utilisateurs
* les rappels de mot de passe
* le changement de mot de passe (surtout dans le cadre de l'utilisation d'une autre méthode d'authentification type FC/BeID) l'utilisateur soit du à l'expiration d'un délai.
J'y lierai les différents tickets techniques reliés, mais la roadmap est globalement :
* pour la suppression des comptes:
** authentic supprime aussi vite que possible les comptes quand c'est nécessaire
** * il notifie les applications comme il peut sinon les applications viennent l'interroge pour vérifier que la clé de fédération est encore relié à un compte
** * chaque application est responsable du cycle de vie du compte de son coté et n'a pas à le supprimer immédiatement (w.c.s. par exemple ou des demandes non terminés peuvent encore exister)
Pour le reset:
* tenir au maximum l'utilisateur au courant (sans fournir d'oracle) de ce qui se passe
Pour le changement de mot de passe:
* ne le permettre que lorsque c'est nécessaire (i.e. l'interdire pour un compte purement FranceConnect, n'en parler qu'en cas de déliaison)