Telle que je comprends la proposition, elle cible les écrans de connexion qui indiquerait, en cas d’erreur de saisie, que le compte existe avec un e-mail mais que le mot de passe est erroné ; est-ce bien ça ?
Si oui, il faut préciser la formulation ; si non, je pense à un cas qui la met en porte-à-faux : quid d’une tentative de création de compte avec un e-mail qui est déjà associé à un compte ? Ça m’est arrivé dernièrement, et l’information de l’existence d’un compte avec mon e-mail m’a permis de le retrouver… Sans cette information, j’aurais été bloqué et aurais été forcé d’utiliser une autre adresse mail, et donc de disposer de deux comptes (élargissant encore plus la surface de vulnérabilité de mes informations personnelles).
Je pose la réflexion, je ne sais pas aller plus loin pour le moment :)
Je suis du même avis que Gaël, peut-on prévoir de traiter différemment l'écran de connexion du parcours de mot de passe oublié / réinitialisation de mot de passe ?
Je rebondis moi-même sur ma réflexion : est-ce que ça implique que dans le cas d’une création de compte avec un email déjà associé à un compte, la procédure devrait sembler avoir lieu normalement sur le site (donc respecter la règle énoncée ici) — mais que côté back, on gère le cas en envoyant un mail « Vous avez déjà un compte » au lieu de la confirmation de création de compte ?
Ça paraît logique, mais ça a de nombreuses implications et surtout, la règle présente ne couvre pas suffisamment.
Je tenterai bien quelque chose comme : « Le site envoi un mail d’information en cas de création de compte avec un email déjà utilisé » ? Et la divulgation d’information sur l’existence d’un compte utilisateur privé deviendrait un moyen de contrôle.
Qu’en dites-vous ?
Changement de libellé
[Le site ne communique pas d'information sur l'existence d'un compte utilisateur privé]
(ajout de privé)
Contexte à préciser. Avoir l'objectif aiderait peut-être à mieux cibler la règle. Est-ce que le problème est qu'on "communique" sur cette existence en général, ou bien qu'on "révèle" cette information à un public non-autorisé ?
Il s'agit bien de "révéler" (involontairement) qu'une adresse mail correspond bien à un compte existant sur un service, d'où problème de confidentialité des données personnelles.
Hmm. À préciser. Quid des forums et annuaires ? Préciser ?
"Le site ne communique pas d'information sur l'existence d'un compte utilisateur si celui-ci n'est pas publiquement mentionné dans les contenus du site". C'est lourdingue mais ça gagne en précision.
{Le site ne communique pas d'information sur l'existence d'un compte utilisateur privé} ?
