Les naufragés du RGPD

S’il-vous-plaît, activez les cookies pour nous dire que vous ne voulez pas de cookies.

Les traitements de données à caractères personnelles pour des raisons légales ne sont pas concernés par le consentement.

Il faut donc autoriser les cookies de base, mais le site “propre” ne doit pas stocker d’autres cookies , qui eux nécessitent le consentement.

C’est comme les STOP SMS ou les désinscription mails: il faut garder le numéro de téléphone et le mail, pour des raisons légales d’opposition, même si la personne veut qu’on supprimer ces données.

Je pense que tous navigateurs modernes contiennent l’option de refus des cookies tiers et/ou l’acceptation des cookies de même nom de domaine. Au pire une simple url à saisir …

Le RGPD n’est pas une loi anti-cookie, mais une loi sur la protection des données personnelles.
Il n’y a pas de données personnelles en jeu quand tu stockes dans TON ordinateur un indicateur disant “je ne veux pas que mes informations de navigation soient transmises à Facebook”.

Si j’acceptais les cookies primaires, j’en aurais vite des centaines (si ce n’est des milliers) et j’aurais un mal fou à faire le ménage en gardant la douzaine qui m’est utile.

Je n’ai aucune confiance dans les belles paroles, d’autant que ce qui se passe en arrière-cuisine est totalement opaque.

Mais dans ce cas, si tu refuses qu’un site mémorise tes choix, faut pas s’étonner qu’il le redemande dans arrêt (vu que c’est une obligation légal)

Un site où je ne suis pas enregistré n’a rien à mémoriser sur moi. J’accepte les conséquences amusantes de ce choix.

Bah si légalement, il doit mémoriser que que tu veux rien laisser comme données personnelles.

(à titre purement personnelle, je préfère l’opt out “fort”: par défaut tout est à non, pas autorisé. Et seulement quand l’utilisateur fait la démarche de dire oui, sans ses options / comptes, alors ça peut etre oui.)

Si tu veux, j’ai pas envie de signer une déclaration pour chaque site web que je visite. Le web, ça doit pas devenir la préfecture.

Je fais aussi remarquer qu’il y a des moyens moins bourrins (ceux qu’on peut ignorer) pour recueillir le consentement. Je fais enfin remarquer que si un site se rend invisitable sans déclaration préalable, c’est qu’il vit de l’exploitation de données personnelles et que je le sanctionne en lui interdisant mon écran

Ben voila. Je pratique l’opt-out fort.

Malheureusement, on est n’est pas encore la
Ca “peut” le devenir pour le téléphone fixe, avec le manque de sanction / Bloctel (du moins, c’est évoqué)
Ca l’est déja pour les mails et les SMS
Mais pour tout ce qui est “tracking” de façon large, vente des habitudes de consommation, profilage, etc… on en est assez loin.

Ben si, j’y suis. Aucun site ne peut déposer de cookie sans que je l’y ai préalablement autorisé.

Tu peux le faire techniquement. Mais légalement, ils sont pas obligé de le faire (d’où le joli rappel à chaque visite, voir pour les plus chiant à chaque page du site)

Je trouve ça très con, car un même appareil peut être utilisé par différente personne, dont les choix sont différents. Ca devrait pas être rattaché “à l’appareil” mais “à la personne” (vu qu’il s’agit … des données personnelles)

Donc le meilleur moyen techniquement, c’est bel et bien tout interdit par défaut, et obligation d’avoir un compte / espace client personnel sur le site, pour aller activer soit même ce qu’on veut.

On est d’accord.

Néanmoins, c’est un combat d’arrière-garde car il y a longtemps que le marketing utilise des méthodes bien plus furtives que les cookies (et les CNIL et RGPD devraient bien s’en pénétrer).

C’est ton droit de ne pas avoir confiance. Quant à l’arrière-cuisine, avec le RGPD, elle devra être beaucoup plus transparente qu’elle ne l’a jamais été.
(Optical Center vient de se prendre 250.000 euros d’amende pour non sécurisation de ses données - et encore, ça c’est avant le RGPD).

Un site où tu n’es pas enregistré enregistrera o-bli-ga-toi-re-ment des choses sur toi : le fichier log de ton parcours sur le site enregistré par le serveur Web (Apache, IIS, Nginx, …)

Absolument pas.
Sur le site web de mon club de sport, j’utilise Piwik afin d’établir des statistiques de consultation, le nombre de fois où les gens reviennent, quel temps ils passent sur le site, quels sont les parcours sur le site, … Le RGPD m’oblige à leur demander leur autorisation préalable pour que je puisse enregistrer ces données.
Il n’est absolument pas question pour moi d’exploiter des données personnelles au niveau individuel, mais de connaître le comportement global afin de rendre l’utilisation de mon site plus efficace : cela m’a permis de voir quelles pages mettre en avant en fonction de la période de l’année.

Piwik fait partie des solutions que la CNIL préconise, à condition de la configurer pour anonymiser les données (par exemple, l’IP complète n’est pas gardée)

Là, franchement, j’ai un doute.

Les traitements du webmaster à des fins techniques, sur des données qui ne seront jamais communiquées à personne, qui ne serviront jamais vendre des tongs, ce n’est pas l’esprit du RGPD.

Si tu vas par là, n’importe quel Apache, n’importe quel Postfix doit demander le consentement (parce que, m’voyez, ça enregistre des données personnelles).

A l’origine, il y a bien longtemps (jusqu’au début des années 2000 de mémoire), si on voulait faire les choses vraiment dans les règles, il fallait faire une déclaration CNIL pour à peu près n’importe quel site web à cause de ça (la moindre base de données aussi)

Ca été assouplie en gros plus besoin de le faire pour les sites persos. Et maintenant, la CNIL précise même qu’avec le RGPD, faut plus le faire, être en conformité avec le RPGD suffit, sauf certains cas précis (en gros, le secteur de la santé)

(faire des stats sur les pages vues, temps passé, … ne sont pas des données"à des fins techniques", ce n’est pas nécessaire au fonctionnement normal technique du site, contrairement par exemple à un cookie de panier pour un site marchand, ou une session utilisateur, etc…)

Appelle ça comme tu veux mais savoir quelles sont les pages vues, dans quelles tranches horaires et depuis quels réseaux, c’est tout de même pas la même chose que filer tes stats à doubleclick pour que déterminer que tu es une femme de 25 à 30 ans aimant les tongs à fleur récemment mariée à qui on va pouvoir proposer de la layette.

L’interprétation du RGPD par Pollux1 me paraît excessive. Encore une fois, les données ne sortiront pas de chez lui et il ne s’en servira pas pour tenter de vendre des tongs à fleurs. Le RGPD est là pour protéger des abus, pas des applications innocentes.

Cherche pas, il n’y a aucun doute. Je bosse sur le sujet avec le responsable sécurité de ma boîte depuis plusieurs mois (et j’en profite pour appliquer à mon usage perso) : il est obligatoire de demander l’autorisation de tracker les gens. Quelque soit la finalité de l’utilisation de ces données de tracking : de simples stats ou des utilisations commerciales. Pourquoi ? Parce que justement ces données peuvent être utilisées soit de manière “innocente” (stats globales), soit en exploitant des données personnelles. Et ça, l’internaute ne peut pas le savoir a priori. Il faut donc lui demander en expliquant le pourquoi du comment : m’autorisez-vous à conserver des données sur votre parcours sur le site afin de faire des traitements statistiques ?

Eh bien oui, il le faudrait. Imagine un hébergeur comme OVH qui a accès aux logs Apache de millions de site. Tu imagines la mine d’or qu’ils ont dans les mains. Pouvoir savoir que l’IP 1.2.3.4 a visité telles et telles pages de tel et tel site !

Maintenant, toi, en tant que webmaster d’un seul site Internet, tu as peu de chance de faire des croisements. Et il y a de fortes chances que tu fasses des stats soit avec Google Analytics, soit avec Piwik, pour lesquels tu as demandé une autorisation. Mais imagine que tu fasses des stats à partir des logs serveur, tu serais obligé d’exclure les IP des personnes qui ont refusé l’autorisation. Et tu serais obligé de prouver formellement que tu ne les prends pas en compte. Je te dis pas le bordel.
D’où le fait que les logs techniques (en plus d’être difficiles à exploiter : 1 page web affichée peut être égale à plusieurs lignes de log) ne sont pas utilisées (ne sont plus utilisées) pour des stats fonctionnelles basées sur du javascript, des cookies et des bases de données spécifiques.

Le RGPD est là pour protéger l’internaute. Et l’internaute, il ne sait pas ce que tu fais de ses données. Donc, tu es obligé de le lui dire : j’utilise vos données pour faire ceci ou cela. Est-ce que vous me le permettez ?

Maintenant, il ne faut pas être con non plus. C’est sûr que la CNIL va davantage s’intéresser aux gros sites marchands qu’aux sites d’associations sportives ou culturelles. Mais il suffit de tomber sur un chieur…

Tout dépend du sens qu’on donne à tracker. Pour moi, faire des stats sur les logs, c’est pas tracker. Se livrer à des mesures pendant que tu lis (souris, timing, plugins, historique, …) c’est tracker.

En gros, tant que les informations que tu manipules ne dépassent pas “telle ip à demandé tel uri à telle heure”, et que tu ne t’en sers pas pour voir si éventuellement tu pourrais lui vendre des tongs à fleurs, tu n’as pas à te préoccuper du RGPD.

Techniquement, c’est pourtant la même chose (du trackage, et non un besoin technique de fonctionnement du service). La seule différence, c’est l’usage / finalité de ce trackage.

L’IP a longtemps été considéré comme une donnée personnelle, soumis à déclaration CNIL.
C’est plus “aussi simple”, la CJUE considère que c’est une donnée personnelle sous conditions (en gros, seule, c’est pas le cas, faut que le “service” puisse recoupé l’IP avec autre chose pour ça le soit… genre pour un FAI c’est une donnée personnelle, car il peut recoupé l’IP à telle heure avec l’abonnement / personne. Pour un site lambda… recouper l’IP avec le compte utilisateur ^^)

Tu te trompes de point de vue. Il faut absolument que tu te places dans la peau de l’usager d’un site Internet : ce site tracke mes informations, pourquoi fait-il ça ?

Donc, moi, en tant que webmaster, quelque soit le site, quelque soit l’usage du tracking, je suis obligé de me préoccuper du RGPD pour répondre à mes visiteurs : je tracke vos données (préciser lesquelles) pour faire ceci ou cela avec VOS données, puis demander à l’utilisateur s’il m’autorise ou pas à le faire avec ses données.

Pour des “petits” sites, ce n’est pas forcément très compliqué, ce n’est pas forcément très contraignant, mais il faut le faire. La loi l’oblige à le faire, tout comme elle oblige à certaines mentions légales sur la page “A propos”. Mais bien entendu, les autorités compétentes ont autre chose à foutre que vérifier que le site de l’alliance sportive de Berrichou-les-patates respecte ou pas ces obligations. Mais d’un autre côté, ça montre le sérieux du club s’il montre qu’il respecte la loi : c’est aussi de la com.

Et comme tout com, faut que ça soit bien faite…

Faut voir le nombre de clients qui le font sur un “ton”: mon dieu, on a peur ! Alors que c’est au contraire une occasion de dire “voila, nous, on est propre, voila ce qu’on fait et comme ça !”

Après, même une association peut se faire emmerder assez méchamment en tombant sur “un con borné hyper pointilleux” (même si sur le principe, elle ne fait rien de “mal”). Y’a beaucoup moins de chance qu’un Google par exemple, de part sa taille, mais ça arrive à certains, et ça leur fait tout drôle…

D’ailleurs le sénat voulait une “exception” pour les administrations / collectivités, notamment car tout ce qui est mairie de village et compagnie, bah lis sont dans le même bateau que les associations: toute petite taille, ni les moyens ni le budget pour faire tout “exactement” dans les règles (et en si peu de temps)

Un peu de grain à moudre : https://www.numerama.com/tech/385026-le-parametrage-du-navigateur-nest-pas-un-mode-valable-dopposition-au-depot-de-cookies.html

Faut pas déconner non plus.
Les administrations ne sont pas de petite taille.
Quant aux mairies, elles passent par des prestataires externes : il y a déjà des coûts de maintenance pris en compte. Le RGPD ne sort pas d’un chapeau il y a 1 mois, elles ont eu tout à fait le temps d’inclure les coûts dans les budgets.

Y’a de tout. Y’a du très gros / lourds, comme du très petits…

Les prestataires externes, t’en parlera aux mairies des villages… Déja pour des taches “courantes”, ils cherchent régulièrement des bénévoles… Si y’a pas le budget pour changer le PC qui a 10 ans, il n’est pas la non plus pour faire appel à ce genre de prestataire

Les grosses administrations, c’est du niveau de pas mal de multinationales
Les petites structures, c’est du niveau d’une assos de quartier…

Je rebondis un peu sur les deux derniers messages, (Pollux1 & Chitzitoune) l’un faisant remarquer à l’autre que budget …etc, et l’autre que bien souvent, hors bénévolat …

Ça me fait penser aux gros enc@*%¨^ type “le puy du fou” qui fonctionnent avec 80% de bénévoles et 510% d’assurances pour se couvrir contre les conneries qui ne manqueront pas d’arriver …

Au niveau du Puy du fou, on ne peut plus appeler cela une petite asso, je pense … Et ce qui existe dans le monde des intermittents du spectacle se répand également dans le monde des prestataires de services info avec des conséquences désastreuses pour la sécurité comme pour l’emploi …

Léger HS:

(oui, je sais pas comment on peut appeler ça un spectacle à but non lucratif… )

Ce n’est pas parce qu’une association est à but non lucratif qu’elle n’a pas le droit de recevoir de l’argent, ni d’avoir des salariés, ni de faire des bénéfices.

Bien sur. Le but non lucratif implique seulement qu’il nn’y est pas d’enrichissement personnel.

Hors le puy du fou,c’est est une association cumulé avec une SAS… En ayant le status d’actionnaire, y’a implicement un enrichissement personnel. Ils sont pas “simplement” salarié, bénévoles, etc… l’argent ne sert pas que “à l’association”.

C’est aussi:par exemple une agence de voyage (Puy du Fou évasion en 2013), une activité de tourisme d’affaires (Puy du Fou congrès)., des dizaines d’hotels et restaurants…

On est quand même très loin d’une association sans enrichissement personnel pour personne…

Et alors ?
Une association en vit pas hors du monde.
Elle peut tout à fait être partenaire d’entreprises.
Tiens, je vais prendre un exemple plus trivial : mon club de sport organise tous les ans un tournoi sportif départemental. Nous invitons des magasins sportifs du coin pour qu’ils tiennent des stands où ils vendent leurs produits durant ce week-end.
Où est le souci ?

Déja l’éthique par exemple, mais après tout on s’en fout hein
Ensuite, si c’est vous qui organisez tout, avec de tels magasins “invités”, alors ça sort d’une pratique “non lucrative”, on est en plein dans le commerce classique…

Il est où le HS ?? Dans le fait que tu ne comprends pas l’enjeu ?

Se mettre la loi par dessus l’épaule en prétendant n’engager que des bénévoles aux places qui reviennent de droit aux intermittents du spectacle … Mais tu vas surement me sortir que les intermittents bénéficient d’un statut privilégié depuis Tonton et Jack Lang … Allez, vas-y je t’attend …

Qui n’a pas grand chose à voir abec le RGPD

Bah bien sur.
Si ils avaient le même status “général”, ça serait… tout simplement soit des CDD / intérim, soit de la prestation à leur compte, comme entreprise personnelle, soit comme salarié dans une société de service qui “loue” leurs compétences. (attention, je dis pas que c’est génial comme statut, mais c’est nettement mieux que ça devrait être pour être à “égalité” avec les autres, où ça devrait exactement au même niveau que le gars qui enchaine les CDD courts / intérim pendant des années et des années dans différentes entreprises…)

Vas y, développe qu’on rigole un peu.

On ne gagne pas un sou sur ces ventes. C’est donc parfaitement non lucratif.

Une association sans but lucratif, mais qui met en place des commerces “privés”, ça peut être légale dans les statuts, mais c’est on est dans le contournement de l’esprit de la loi.

C’est une “optimisation fiscale” classique (auquel tu rajoutes en plus les dons de l’entreprise à l’association, défiscalisé, et ensuite réinjectés dans l’entreprise par l’association, c’est un moyen d’avoir des subventions publiques “déguisés”, sans opposition ni contestation possible d’attribution)

cf la différence entre les status juridique et l’esprit de la loi: L’assoc en elle même non, les commerçants qu’elle va gèrer si

Elle ne met rien en place.

Tu parles de quoi, là ? quels dons ? quelles réinjections ? quelles subventions déguisées ?
Ta propension à parler sans rien savoir d’un sujet et à partir en délire total est absolument fabuleuse.

Bien entendu. L’esprit et la lettre de la loi obligent un commerçant à gagner de l’argent.
Et on ne gère rien.

Juste un truc : lors de ces manifestations, le club tient une buvette. On achète donc des boissons au supermarché, du jambon et des saucisses à un charcutier et du pain à un boulanger. On leur fait donc gagner de l’argent, c’est dingue non ?
Tu crois qu’il faudrait qu’on élève nos cochons nous-même et qu’on ait nos champs de blé, nos moulins et nos fours pour le pain ?

Si tu vois pas la différence majeure entre payer un prestataire pour vous fournir un service, et se mettre aux services d’entreprises en leur fournissant des services de votre coté, je peux pas grand chose…

Développe “vous vous mettez au service des entreprises”.
Je sens que je vais bien rire.

[quote]Tiens, je vais prendre un exemple plus trivial : mon club de sport organise tous les ans un tournoi sportif départemental. Nous invitons des magasins sportifs du coin pour qu’ils tiennent des stands où ils vendent leurs produits durant ce week-end.
[/quote]

Vous leur fournissait un espace de vente avec du public
Chose totalement sans aucun rapport avec l’activité d’un club de sport…

Ce n’est pas un prestataire choisie de façon neutre pour les besoins de fonctionnement de l’association, mais l’association, qui copine avec des intérêts privés pour qu’ils développent leur activité.

J’arrête là direct la discussion, quand on ne connait pas le sujet on fait camembert . Si c’est pour lire de la prose de réactionnaire … Pas la peine …

L’égalité des droits, c’est sur, c’est très réac comme principe…