Les naufragés du RGPD

rgpd
fail
Tags: #<Tag:0x00007f9211866960> #<Tag:0x00007f9211866758>

#1

S’il-vous-plaît, activez les cookies pour nous dire que vous ne voulez pas de cookies.

yahoo_1

yahoo_2


#2

Les traitements de données à caractères personnelles pour des raisons légales ne sont pas concernés par le consentement.

Il faut donc autoriser les cookies de base, mais le site “propre” ne doit pas stocker d’autres cookies , qui eux nécessitent le consentement.

C’est comme les STOP SMS ou les désinscription mails: il faut garder le numéro de téléphone et le mail, pour des raisons légales d’opposition, même si la personne veut qu’on supprimer ces données.


#3

Je pense que tous navigateurs modernes contiennent l’option de refus des cookies tiers et/ou l’acceptation des cookies de même nom de domaine. Au pire une simple url à saisir …

image


#4

Le RGPD n’est pas une loi anti-cookie, mais une loi sur la protection des données personnelles.
Il n’y a pas de données personnelles en jeu quand tu stockes dans TON ordinateur un indicateur disant “je ne veux pas que mes informations de navigation soient transmises à Facebook”.


#5

Si j’acceptais les cookies primaires, j’en aurais vite des centaines (si ce n’est des milliers) et j’aurais un mal fou à faire le ménage en gardant la douzaine qui m’est utile.



https://blog.xot.nl/2013/10/04/tracking-across-multiple-websites-using-only-first-party-cookies/

Je n’ai aucune confiance dans les belles paroles, d’autant que ce qui se passe en arrière-cuisine est totalement opaque.


#6

Mais dans ce cas, si tu refuses qu’un site mémorise tes choix, faut pas s’étonner qu’il le redemande dans arrêt (vu que c’est une obligation légal)


#7

Un site où je ne suis pas enregistré n’a rien à mémoriser sur moi. J’accepte les conséquences amusantes de ce choix.


#8

Bah si légalement, il doit mémoriser que que tu veux rien laisser comme données personnelles.

(à titre purement personnelle, je préfère l’opt out “fort”: par défaut tout est à non, pas autorisé. Et seulement quand l’utilisateur fait la démarche de dire oui, sans ses options / comptes, alors ça peut etre oui.)


#9

Si tu veux, j’ai pas envie de signer une déclaration pour chaque site web que je visite. Le web, ça doit pas devenir la préfecture.

Je fais aussi remarquer qu’il y a des moyens moins bourrins (ceux qu’on peut ignorer) pour recueillir le consentement. Je fais enfin remarquer que si un site se rend invisitable sans déclaration préalable, c’est qu’il vit de l’exploitation de données personnelles et que je le sanctionne en lui interdisant mon écran

Ben voila. Je pratique l’opt-out fort.


#10

Malheureusement, on est n’est pas encore la :frowning:
Ca “peut” le devenir pour le téléphone fixe, avec le manque de sanction / Bloctel (du moins, c’est évoqué)
Ca l’est déja pour les mails et les SMS
Mais pour tout ce qui est “tracking” de façon large, vente des habitudes de consommation, profilage, etc… on en est assez loin.


#11

Ben si, j’y suis. Aucun site ne peut déposer de cookie sans que je l’y ai préalablement autorisé.


#12

Tu peux le faire techniquement. Mais légalement, ils sont pas obligé de le faire (d’où le joli rappel à chaque visite, voir pour les plus chiant à chaque page du site)

Je trouve ça très con, car un même appareil peut être utilisé par différente personne, dont les choix sont différents. Ca devrait pas être rattaché “à l’appareil” mais “à la personne” (vu qu’il s’agit … des données personnelles)

Donc le meilleur moyen techniquement, c’est bel et bien tout interdit par défaut, et obligation d’avoir un compte / espace client personnel sur le site, pour aller activer soit même ce qu’on veut.


#13

On est d’accord.

Néanmoins, c’est un combat d’arrière-garde car il y a longtemps que le marketing utilise des méthodes bien plus furtives que les cookies (et les CNIL et RGPD devraient bien s’en pénétrer).


#14

C’est ton droit de ne pas avoir confiance. Quant à l’arrière-cuisine, avec le RGPD, elle devra être beaucoup plus transparente qu’elle ne l’a jamais été.
(Optical Center vient de se prendre 250.000 euros d’amende pour non sécurisation de ses données - et encore, ça c’est avant le RGPD).

Un site où tu n’es pas enregistré enregistrera o-bli-ga-toi-re-ment des choses sur toi : le fichier log de ton parcours sur le site enregistré par le serveur Web (Apache, IIS, Nginx, …)

Absolument pas.
Sur le site web de mon club de sport, j’utilise Piwik afin d’établir des statistiques de consultation, le nombre de fois où les gens reviennent, quel temps ils passent sur le site, quels sont les parcours sur le site, … Le RGPD m’oblige à leur demander leur autorisation préalable pour que je puisse enregistrer ces données.
Il n’est absolument pas question pour moi d’exploiter des données personnelles au niveau individuel, mais de connaître le comportement global afin de rendre l’utilisation de mon site plus efficace : cela m’a permis de voir quelles pages mettre en avant en fonction de la période de l’année.


#15

Piwik fait partie des solutions que la CNIL préconise, à condition de la configurer pour anonymiser les données (par exemple, l’IP complète n’est pas gardée)


#16

Là, franchement, j’ai un doute.

Les traitements du webmaster à des fins techniques, sur des données qui ne seront jamais communiquées à personne, qui ne serviront jamais vendre des tongs, ce n’est pas l’esprit du RGPD.

Si tu vas par là, n’importe quel Apache, n’importe quel Postfix doit demander le consentement (parce que, m’voyez, ça enregistre des données personnelles).


#17

A l’origine, il y a bien longtemps (jusqu’au début des années 2000 de mémoire), si on voulait faire les choses vraiment dans les règles, il fallait faire une déclaration CNIL pour à peu près n’importe quel site web à cause de ça (la moindre base de données aussi)

Ca été assouplie en gros plus besoin de le faire pour les sites persos. Et maintenant, la CNIL précise même qu’avec le RGPD, faut plus le faire, être en conformité avec le RPGD suffit, sauf certains cas précis (en gros, le secteur de la santé)

(faire des stats sur les pages vues, temps passé, … ne sont pas des données"à des fins techniques", ce n’est pas nécessaire au fonctionnement normal technique du site, contrairement par exemple à un cookie de panier pour un site marchand, ou une session utilisateur, etc…)


#18

Appelle ça comme tu veux mais savoir quelles sont les pages vues, dans quelles tranches horaires et depuis quels réseaux, c’est tout de même pas la même chose que filer tes stats à doubleclick pour que déterminer que tu es une femme de 25 à 30 ans aimant les tongs à fleur récemment mariée à qui on va pouvoir proposer de la layette.

L’interprétation du RGPD par Pollux1 me paraît excessive. Encore une fois, les données ne sortiront pas de chez lui et il ne s’en servira pas pour tenter de vendre des tongs à fleurs. Le RGPD est là pour protéger des abus, pas des applications innocentes.


#19

Cherche pas, il n’y a aucun doute. Je bosse sur le sujet avec le responsable sécurité de ma boîte depuis plusieurs mois (et j’en profite pour appliquer à mon usage perso) : il est obligatoire de demander l’autorisation de tracker les gens. Quelque soit la finalité de l’utilisation de ces données de tracking : de simples stats ou des utilisations commerciales. Pourquoi ? Parce que justement ces données peuvent être utilisées soit de manière “innocente” (stats globales), soit en exploitant des données personnelles. Et ça, l’internaute ne peut pas le savoir a priori. Il faut donc lui demander en expliquant le pourquoi du comment : m’autorisez-vous à conserver des données sur votre parcours sur le site afin de faire des traitements statistiques ?

Eh bien oui, il le faudrait. Imagine un hébergeur comme OVH qui a accès aux logs Apache de millions de site. Tu imagines la mine d’or qu’ils ont dans les mains. Pouvoir savoir que l’IP 1.2.3.4 a visité telles et telles pages de tel et tel site !

Maintenant, toi, en tant que webmaster d’un seul site Internet, tu as peu de chance de faire des croisements. Et il y a de fortes chances que tu fasses des stats soit avec Google Analytics, soit avec Piwik, pour lesquels tu as demandé une autorisation. Mais imagine que tu fasses des stats à partir des logs serveur, tu serais obligé d’exclure les IP des personnes qui ont refusé l’autorisation. Et tu serais obligé de prouver formellement que tu ne les prends pas en compte. Je te dis pas le bordel.
D’où le fait que les logs techniques (en plus d’être difficiles à exploiter : 1 page web affichée peut être égale à plusieurs lignes de log) ne sont pas utilisées (ne sont plus utilisées) pour des stats fonctionnelles basées sur du javascript, des cookies et des bases de données spécifiques.


#20

Le RGPD est là pour protéger l’internaute. Et l’internaute, il ne sait pas ce que tu fais de ses données. Donc, tu es obligé de le lui dire : j’utilise vos données pour faire ceci ou cela. Est-ce que vous me le permettez ?

Maintenant, il ne faut pas être con non plus. C’est sûr que la CNIL va davantage s’intéresser aux gros sites marchands qu’aux sites d’associations sportives ou culturelles. Mais il suffit de tomber sur un chieur…