Le RGPD fait iech. Billet d'humeur (méchante)


#1

Enfin, le RGPD est une bonne chose. Mais son applications aux cookies est juste un naufrage.

Pour commencer, il y a les sites qui ont décidé de bloquer les requêtes venant de chez nous. On peut dire que s’ils font ça, c’est qu’ils font du sale avec nos données personnelles et que c’est tant mieux.

Je pense surtout que leurs responsables on dit “on va pas se faire iech avec leur bouton CERFA qui pose un cookie pour dire qu’on veut pas de cookie”. Un peu comme Google a atomisé ses news quand la Presse lui a trop cassé les bonbons.

Et puis il y a cet encadré omniprésent qui vous suit partout tel un caniche en chaleur. Plus personne ne le clique, ou bien tout le monde le clique de lassitude. Mais il faut supporter son assaut poisseux à chaque visite (ah ben oui parce qu’en fermant le navigateur, on a effacé le cookie qui disait qu’on voulait pas de cookie).

On a fait encore plus fort. C’est l’overlay qui cache l’article tant qu’on n’a pas cliqué le bouton qui pose un cookie pour dire qu’on veut pas de cookie. Ça c’est le ponpon.

Visiter sur un site web, c’est devenu aussi agréable que rendre visite à un fonctionnaire des impôts, prenez votre ticket, bureau B 2ème étage, ouvert les lundi de 10h à 10h45 et les mercredi de 15h30 à 16h, n’oubliez pas de vous munir de l’imprimé 112B qu’il faudra composter à l’entrée, est-ce que vous avez la déclaration 14 bis, non, parce que sinon il faut aller la chercher au bureau F, 1er étage, ascenseur à droite, ouvert le jeudi.

Donc l’overlay, boum, option nucléaire avec UBlock, le bouton re-boum, les cookies c’est niet de toutes façons, et si insistes, j’écris un plugin pour atomiser les boutons de consentement. Parce que je consens pas, jamais, sauf exception.

L’étape d’après, c’est quoi ? Je verrais bien le contrat de lecture à signer. Je sous-signé gnagna déclare accepter le chargement de cette page sur mon ordinateur et renonce à toute poursuite en cas de ballonnement ou trouble au cul l’air.

Bravo les énarques.


#2

Le plus gênant de mon point de vue, c’est:

  • d’un coté, t’as un bouton accepter tout
  • de l’autre, souvent cacher, une option “avancée” de personnalisation pour refuser… qui dans le pire des tas t’envoies sur x formulaire différents à désactiver un par un, pour chaque partenaire, et à refaire sur chaque page du site

Soit tu acceptes tout sans rien lire en quelques secondes, soit on t’emmerde pendant 10 minutes, et encore si t’as le courage de bien tout lire pour faire un jeu de cache cache avec toutes les options à désactiver

Alors que les cookies techniques / légaux n’ont pas besoin d’autorisation, un bouton tout refuser et aussi simple qu’un bouton tout accepter à gérer et mettre en place.


#3

Et d’ailleurs, on se demande bien pourquoi on accepterait les cookies non techniques, genre “oui oui, enfonce-moi bien tas sonde, j’aime ça”.

Je suis curieux de connaître l’efficacité réelle de ces dispositions, à part satisfaire quelques juristes pervers.


#4

Ca c’est ton choix, tu peux définir de garder les cookies même en fermant le navigateur.


#5

Des cookies pour dire que je ne veux pas de cookies. Les shadocks auraient adoré.

Par ailleurs, ce cookie est lui-même un traceur potentiel. Ceux qui le veulent vraiment sauront contourner mon choix. Je n’ai aucun moyen de vérifier que les sites tiennent leurs promesses, sauf par une analyse technique approfondie. Et encore je ne sais pas ce qui se passe derrière le rideau, entre serveurs.

C’est juste de a poudre aux yeux.


#6

Jamais dit le contraire, j’ai juste souligné que tu pouvais choisir de garder les cookies en mémoire, même en fermant le navigateur, le bandeau d’acceptation des cookies tu peux ne le voir qu’une fois dans ta vie.


#7

Si tu veux, plus philosophiquement, je n’ai pas envie de garder une relation quelle qu’elle soit avec une site web une fois que la page est fermée. Je veux juste qu’il m’oublie.

Je n’ai pas besoin, par exemple, qu’il soit “personnalisé”. Cette personnalisation crée des bulles, nous le savons. “Youpi mon site est premier dans Google”. Oui, ton site est premier dans Google, parce que tu l’as consulté 1000 fois et que tu as laissé Google personnaliser tes résultats.

Si chacun a un résultat différent à une même requête, différent selon son historique, différent selon le navigateur, différent selon la machine … quelque chose me dit que l’outil est gravement inconsistent.

Combien de fois on t’as dit “troisième résultat dans Google”, ou “deuxième image de la quatrième rangée” sans réaliser ce fait. J’aime les trucs qui donnent la même sortie à une même entrée, quelle que soit la vitesse du vent et l’âge du capitaine.

Donc aujourd’hui, le défaut non personnalisé, non biaisé dirais-je, c’est de supporter un questionnaire à l’entrée. Le RGPD a, implicitement, entériné ce concept de lien permanent site-visiteur. Que je refuse.


#8

Et c’est ton choix, maintenant faire un choix en tout conscience puis râler à cause des conséquences, c’est pas très mature et responsable comme position.


#9

On a toujours dit que HTTP était stateless, et je trouve ça très bien.

“Donne-moi ce fichier, merci, au revoir”.

Là-dessus, on a construit un semblant de session. Ça permet de gérer un panier d’achat ou de commenter sur Numerama. C’est un bricolage qui me rend service, je n’ai rien contre.

Mais que 12 millions de sites aient besoin d’écrire un truc chez toi “au cas où tu reviendrais” ou je-ne-sais-quoi, c’est non.

Je ne sais pas si tu as vu les cookies après seulement une journée de navigation sans préservatif. Ce sont des centaines qui grouillent, certains dont tu n’as même pas idée d’où ils sortent.

C’est accepter ça que je trouve immature.


#10

Je n’ai jamais dit que c’était une bonne pratique. Ceci dit si c’est fait juste dans le but personnaliser un service sans avoir à se connecter ça peut être compréhensible (et c’est moins contraignant qu’une inscription qui demande une adresse mail valide presque à chaque fois maintenant), l’embêtant c’est que ce n’est rarement utilisé que pour ça.

Ça va pas ou quoi ? J’suis pas maso, et oui je regarde de temps les logs des bloqueurs et c’est rigolo, même si ce sont les bloqueurs de pubs / js qui empêchent déjà la création de pas mal de cookies tiers bien chiants.

Non ce que je trouve immature c’est d’en même temps se prémunir / protéger des cookies et de se plaindre des tentatives des états pour être protégés.
Alors oui le formulaire pour accepter ou non les cookies est une aberration ergonomique, encore plus parce qu’il impose de créer un cookie pour signaler que l’utilisateur n’en veut pas (haha). Je grince des dents chaque fois qu’on doit en mettre un en place.

Et oui il aurait été plus ergonomique et préférable d’obliger à ne pas écrire de cookies que si l’utilisateur l’indique en cochant une case cachée dans une page de paramétrage. Mais ça aurait demandé pas mal de courage politique, bien plus que ce que peut se permettre nos états en ce moment.
Surtout qu’on ne va pas se leurrer : pas besoin de cookies pour te tracer : les logs de connexion du serveur suffisent si on veut vraiment (mais bon c’est plus complexe à analyser qu’un simple cookie c’est sûr) et dedans il y a bien plus sensible que ce qu’un cookie peut mettre.

Ceci dit les choses vont dans le bon sens, et même si ce n’est pas encore parfait un pas a été fait, surtout que les cookies ce n’est qu’une infime partie de la RGPD.

Pour avoir aidé des entreprises à être en conformité avec la RGPD, le problème des données utilisateurs (donc des gens qui ont eu la démarche de s’inscrire sur le site) est bien plus vaste et complexe, les cookies c’est vraiment qu’un à côté.


#11

La seule pratique “saine” à mon sens, c’est l’optin:

Par défaut, le site doit considérer que c’est non pour tout, et être fonctionnel, sans aucun pop up, ou bizarrerie de ce genre.

Et, par choix et action de l’utilisateur, à lui d’aller se créer un compte sur le site si il le désire et s"inscrire à ce qui l’intéresse, par lui même

(mais tu te doutes bien que ça emmerderait pas mal toutes ces entreprises qui œuvrent à nous pourrir de pub… heu pardon, a améliorer le monde et l’expérience utilisateur)


#12

L’efficacité est ou pas, c’est un moyen de remplire les caisses en verbalisant les proprio des sites non-conforme aux règles de l’RGPD. Des bons logiciels ou appli coûtent cher, la plupart des sites se cache derrière des trucks inefficace et encombrants, genre 10 pages à lire etc. Car si on les épluche bien - ils ne sont pas conforme! :thinking:


#13

Pas certain que les cookies soient concernés par cela dans le RGPD. Les mails et SMS oui mais les cookies ?
D’autre part, si il y a déjà eu un acte commercial avec le site visité, le consentement n’est des fois plus nécessaire.


#14

A la lumière des progrès du féminisme, ce consentement devrait être renouvelé chaque fois.


#15

Le RGPD concerne tous les traitements des données personnelles, peu importe le support, que ça soit par mail, SMS, cookie ou sur un rouleau de PQ

De plus, le contentement n’est pas nécessaire si il y a une relation commerciale en cours, et non si y’en eu par le passé. Certaines entreprises, pour contourner cela, ce sont mis à “donner” des extensions de garanties, ou des services fournies pendant 5 ou 10 ans, afin de pouvoir contacter les clients.

Dès qu’il n’y a plus de relation commerciales en cours, le contentement n’existe plus.

Tu achètes une voiture en cash; tu sors de la concession, tu n’es plus client, y’a plus de consentement.
Tu l’as acheté à crédit, ils ont toute la durée du crédit
Tu l’as acheté avec un contrat de maintenance sur 10 ans, ils peuvent le faire pendant 10 ans


#16

Je déterre.
Une question que je me pose (je n’y connait rien en dev web, rien en standards web, et pas grand chose en législation) :
Pourquoi ce n’est pas un paramètre que l’on définirait une bonne fois pour toute dans le navigateur cette histoire de cookies ?
Question bis : Est-ce que ce n’était pas censé servir à ça le mode “navigation privée” ?


#17

1 ) Tu peux refuser les cookies, mais alors les sites ne pourront pas enregistrer le cookie qui dit que tu ne veux pas de cookies et te poseront la question à chaque page.

2 ) Les cookies ne pouvant pas être partagés entre domaines, on ne peut pas imaginer un cookie unique qui serait partagé par tous les sites.

3 ) On pourrait imaginer que la demande de consentement soit normalisée et que le navigateur soit instruit de répondre oui ou non. Autant rêver.

“Privé” ici est dans le sens de te protéger contre les indiscrétions des autres utilisateurs du même poste, ou en cas de vol. Ton historique et tes cookies sont détruits en fermant la page. En particulier, le cookie qui dit que tu ne veux pas de cookies est perdu, et le site te redemandera la prochaine fois.

Il n’y a pas à dire, c’est brillant.


#18

Le consentement n’est pas requis pour les cookies techniques nécessaire au fonctionnement du site ou pour des raisons légales.

Un site peut très bien déposer un cookie “il veut pas”, sans demander l’avis

(mais idéalement sur le principe, ça derait etre: y’a pas de cookie, ça veut dire non, et j’ai pas à demander, c’est à l’utilisateur de signaler qu’il veut changer)


#19

Et comment il sait qu’il veut pas, sans lui demander son avis ?


#20

Sans demander l’avis pour stocker le cookie (pour la deuxième visite)