Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus récentes, veuillez consulter la Documentation en anglais.
 

 

Politique GitHub de Retrait des Informations Privées

Contenu de cet article

Nous proposons ce processus de retrait des informations privées en tant que service exceptionnel, uniquement pour les contenus à haut risque qui violent les Conditions Générales d’Utilisation de GitHub, par exemple lorsque votre sécurité est menacée par des informations d’identification d’accès exposées. Ce guide décrit les informations dont GitHub a besoin de votre part pour traiter une demande de retrait d’informations privées d’un dépôt.

Que sont les Informations Privées ?

Aux fins du présent document, les « informations privées » désignent le contenu qui (i) aurait dû rester confidentiel, et (ii) dont la disponibilité publique présente un risque de sécurité spécifique ou ciblé pour vous ou votre organisation.

Le « risque de sécurité » désigne une situation impliquant une exposition à un danger physique, une usurpation d’identité ou une probabilité accrue d’accès non autorisé à des installations physiques ou à des réseaux.

Les demandes de retrait d’informations privées sont appropriées dans les cas suivants :

  • Informations d’identification, comme les noms d’utilisateur associés à des mots de passe, les jetons d’accès ou autres secrets sensibles qui peuvent donner accès au serveur, au réseau ou au domaine de votre organisation.
  • Jetons AWS et autres informations d’identification similaires qui accordent l’accès à un tiers en votre nom. Vous devez être en mesure de démontrer que le jeton vous appartient bien.
  • Documentation (comme les diagrammes réseau ou l’architecture) qui présente un risque de sécurité spécifique pour une organisation.
  • Informations liées à, et posant un risque de sécurité pour, vous en tant qu’individu (comme les numéros de sécurité sociale ou autres numéros d’identification gouvernementaux).

Les demandes de suppression d’informations privées ne sont pas approprié pour :

  • Noms de serveur, adresses IP et URL internes, individuellement. Vous devez être en mesure de démontrer que leur utilisation dans un fichier ou un morceau de code particulier constitue une menace pour la sécurité.
  • Simples mentions de l’identité, du nom, de la marque, du nom de domaine ou d’autres références à votre entreprise dans des fichiers sur GitHub. Vous devez être en mesure d’expliquer pourquoi l’utilisation de l’identité de votre entreprise constitue une menace pour la sécurité de votre entreprise.
  • Des fichiers ou des dépôts entiers qui ne présentent pas de risque particulier pour la sécurité, mais qui, selon vous, sont autrement répréhensibles.
  • Demandes de retrait de contenus susceptibles de porter atteinte à vos droits d’auteur ou à ceux de votre organisation. Si vous avez des questions sur la manière dont GitHub traite les questions liées au droit d’auteur ou si vous souhaitez signaler un contenu potentiellement illicite, veuillez consulter notre Politique de retrait DMCA. Le processus de retrait des informations privées n’est généralement pas destiné à supprimer des fichiers ou des dépôts complets, mais uniquement les éléments spécifiques d’informations privées contenus dans ces fichiers. Bien qu’il puisse y avoir des cas où les dossiers sont entièrement remplis d’informations privées, vous devez justifier le risque de sécurité pour la suppression de ces dossiers, ce qui peut augmenter le temps nécessaire pour traiter votre demande.
  • Litiges relatifs aux marques commerciales. Si vous avez des questions sur la manière dont GitHub traite les questions relatives aux marques commerciales ou si vous souhaitez signaler un contenu contenant les marques commerciales ou de service de votre organisation, veuillez consulter notre Politique en matière de marques commerciales.
  • Plaintes relatives à la confidentialité. Si vous souhaitez accéder à vos informations personnelles sur GitHub, les transférer, les modifier ou les supprimer, veuillez nous contacter via notre formulaire de contact sur la confidentialité.
  • Contenu régi par notre Charte de la Communauté, comme les logiciels malveillants ou les outils polyvalents. Si vous avez des questions sur notre Charte de la Communauté ou si vous pensez que le contenu de GitHub pourrait enfreindre nos règles, vous pouvez utiliser un Signaler du contenu pour nous contacter.

Ce qu’il faut savoir

Demandez d’abord gentiment. Une excellente première étape avant de nous envoyer une demande de retrait de données est d’essayer de contacter l’utilisateur directement. Celui-ci a peut-être ajouté des coordonnées de contact sur la page publique de son profil ou dans le fichier README ou Support du dépôt, ou vous pouvez le contacter en créant une « issue » ou une « pull request » dans le dépôt. Ceci est une recommandation, non une obligation.

Absence de bots. Vous devez avoir un professionnel qualifié pour évaluer les faits de chaque demande que vous envoyez. Si vous confiez vos efforts à un tiers, assurez-vous que vous connaissez son mode de fonctionnement et qu’il n’utilise pas de bots automatisés pour soumettre des plaintes en masse. Ces plaintes portent souvent sur des données qui ne présentent aucune menace pour la sécurité et ne sont pas accompagnées d’explications suffisantes, ce qui nécessite des échanges supplémentaires et entraîne des retards, même lorsque la plainte est valable.

Envoyez une demande appropriée. Comme indiqué ci-dessus, nous proposons ce processus de retrait des informations privées en tant que service exceptionnel, uniquement pour les contenus à haut risque. Nous ne sommes pas en mesure d’utiliser ce processus pour retirer d’autres types de contenus, comme des contenus potentiellement contrefaits. En outre, nous ne pouvons pas traiter d’autres types de demandes de retrait simultanément au traitement des demandes de retrait d’informations privées. Nous serons en mesure de vous aider plus rapidement si vous envoyez vos demandes de retrait d’informations privées séparément de toute demande de retrait de contenu potentiellement illicite. Si vous n’êtes pas sûr que votre demande concerne uniquement des informations privées ou qu’elle porte également sur d’autres questions juridiques, veuillez consulter un conseiller juridique.

Temps de traitement. Bien que nous traitions les demandes de retrait d’informations privées aussi rapidement que possible, en raison du volume de demandes que nous traitons, l’examen de votre demande peut prendre un certain temps. Les demandes supplémentaires, ou les demandes multiples provenant de points de contact supplémentaires, peuvent entraîner des retards.

Comment cela fonctionne-t-il réellement ?

  1. Le plaignant enquête. Il appartient au demandeur de mener sa propre enquête et de nous fournir les détails dont nous avons besoin, le plus important étant d’expliquer en quoi les données présentent un risque pour la sécurité. GitHub n’est pas en mesure de rechercher ou de prendre des décisions initiales concernant des informations privées au nom d’un individu ou d’une organisation.

  2. Le plaignant envoie une demande de retrait d’informations privées. Après avoir mené une enquête, le plaignant prépare et envoie une demande de retrait d’informations privées à GitHub. Si la demande n’est pas suffisamment détaillée pour démontrer le risque de sécurité et pour permettre à GitHub de localiser les données, nous vous répondrons et demanderons des informations supplémentaires.

  3. GitHub demande à l’utilisateur d’apporter des modifications. Dans la plupart des cas, nous contacterons l’utilisateur qui a créé le dépôt afin de lui donner la possibilité de supprimer ou de modifier les informations privées spécifiées dans la demande ou de contester la réclamation.

  4. L’utilisateur notifie GitHub des modifications. Si l’utilisateur choisit d’effectuer les modifications spécifiées, il doit nous en informer dans le délai qui lui a été accordé. Dans le cas contraire, nous désactiverons le dépôt. Si l’utilisateur nous informe qu’il a effectué des modifications, nous vérifierons que les modifications ont été effectuées et en informerons le plaignant.

    OU

  5. L’utilisateur peut contester la demande. Si un utilisateur estime que le contenu en question n’est pas une information privée soumise à la présente Politique, il peut contester la demande. Dans le cas contraire, nous laissons généralement au plaignant le soin de contacter l’utilisateur et de régler les choses directement avec lui, dans la limite du raisonnable.

  6. Le plaignant vérifie les modifications apportées. Si l’utilisateur apporte des modifications, le plaignant doit les examiner. Si les modifications sont insuffisantes, le plaignant doit fournir à GitHub des détails expliquant pourquoi. GitHub peut désactiver le dépôt ou donner à l’utilisateur une chance supplémentaire d’effectuer les modifications.

  7. L’utilisateur peut demander une fenêtre supplémentaire pour apporter des modifications. Si l’utilisateur a manqué l’occasion de supprimer les informations privées spécifiées dans l’avis, nous pouvons lui accorder un délai supplémentaire d’environ un jour ouvrable, sur demande, pour effectuer ces modifications. Dans ce cas, GitHub en avisera le plaignant.

Qu’en est-il des forks ? (ou qu’est-ce qu’un fork ?)

L’une des meilleures fonctionnalités de GitHub est la possibilité pour les utilisateurs de « forker » les dépôts des autres. Qu’est‑ce que cela signifie ? En substance, cela signifie que les utilisateurs peuvent faire une copie d’un projet sur GitHub dans leurs propres dépôts. Si la licence ou la loi l’autorise, les utilisateurs peuvent alors apporter des modifications à ce fork, soit pour le réintégrer dans le projet principal, soit pour le conserver comme leur propre variante du projet. Chacune de ces copies est un « fork » du dépôt d’origine, qui peut à son tour être appelé le « parent » du fork.

GitHub ne désactive pas automatiquement les forks lors de la désactivation d’un dépôt parent. En effet, les forks appartiennent à des utilisateurs différents et peuvent avoir été modifiés de manière significative. GitHub ne mène pas d’enquête indépendante sur les forks. Nous attendons de ceux qui envoient des demandes de retrait d’informations privées qu’ils mènent cette enquête et, s’ils pensent que des forks contiennent également des informations privées, qu’ils incluent expressément les forks dans leur demande.

Si, au moment où vous avez soumis votre notification, vous avez identifié tous les forks existants de ce dépôt, nous traiterons une réclamation valable contre tous les forks de ce réseau au moment où nous traitons la notification. Nous ferions cela étant donné la probabilité que tous les forks nouvellement créés contiennent le même contenu. En outre, si le réseau signalé qui contient le contenu signalé contient plus de cent (100) dépôts et qu’il serait donc difficile de l’examiner dans son intégralité, nous pouvons envisager de désactiver l’ensemble du réseau si vous indiquez dans votre notification que, sur la base du nombre représentatif de forks que vous avez examinés, vous pensez que la totalité ou la plupart des forks contiennent le contenu signalé dans le dépôt parent.

Envoi d’une demande de retrait d’informations privées

En raison du type de contenu hébergé par GitHub (principalement du code logiciel) et de la manière dont ce contenu est géré (avec Git), nous avons besoin que les plaintes soient aussi spécifiques que possible. Pour que nous puissions vérifier qu’un utilisateur a complètement retiré les informations privées signalées, nous devons savoir exactement où chercher.

Ces recommandations sont conçues pour rendre le traitement des demandes de retrait d’informations privées aussi simple que possible.

Votre demande doit inclure :

  1. Un lien fonctionnel et cliquable vers chaque fichier contenant des informations privées. (notez que nous ne sommes pas en mesure de travailler à partir de résultats de recherche, d’exemples ou de captures d’écran).
  2. Les numéros de ligne spécifiques dans chaque fichier contenant les informations privées.
  3. Une brève description de la manière dont chaque élément que vous avez identifié pose un risque de sécurité pour vous ou votre organisation. Il est important que vous fournissiez une explication de la manière dont les données posent un risque pour la sécurité au-delà de la simple déclaration de ce risque.
  4. Si vous êtes un tiers agissant en tant qu’agent pour une organisation confrontée à un risque de sécurité, incluez une déclaration indiquant que vous avez le droit légal d’agir au nom de cette organisation.
  5. FACULTATIF : faites-nous savoir si votre demande est particulièrement urgente, et pourquoi. Nous répondons à toutes les demandes de retrait d’informations privées aussi rapidement que possible. Cependant, si cette demande est particulièrement urgente, notamment en cas d’exposition très récente d’informations d’identification, veuillez expliquer pourquoi.

Comment envoyer une demande

Vous pouvez soumettre votre demande de retrait d’informations privées via notre formulaire de contact. Veuillez inclure une version en texte brut de votre demande dans le corps de votre message. L’envoi de votre demande dans une pièce jointe peut entraîner des retards de traitement.

Litiges

Si vous avez reçu de notre part une demande de retrait d’informations privées, vous pouvez la contester en répondant à notre courrier électronique et en nous indiquant, de manière aussi détaillée que possible, pourquoi vous pensez que le contenu en question n’est pas une information privée soumise à la présente Politique.