Règlement européen sur la protection des données (RGPD)

[saluts92]

Bonjour,
Je suppose que sur Webrankinfo, il y a beaucoup de très petites structures de 1 personne (voir 2) mais qui sont quand même concernées par la nouvelle loi RGPD qui doit s'appliquera en mai 2018.

J'ai lu quelques documents officiels sur Internet et à priori tout le monde est concerné (société de 1 personne ou multinationale) : comme si on avait tous les mêmes moyens....
Dans un premier temps, pouvez vous me confirmer cela ?
Puis savoir ce que vous comptez faire ? En effet les textes ne sont pas très concrets.

Je me pose surtout la question par rapport à l'utilisation des outils tiers tels que GG Analytics, ou Chat (zendesk,..) ou les outils liés à la publicité (Criteo, ..) que l'on embarque sur nos sites.

 

[Thiery31]

Tout le monde est concerné, sites entreprises ou persos.

Allez voir le site CNIL à ce sujet il y a énormément d'informations.

A partir du 25 mai il ne sera plus possible de poser un cookie (autre que ceux nécessaires au bon fonctionnement du site comme ceux liés aux connexions à un compte) sans l'accord de l'internaute qui devra pouvoir refuser chaque cookie individuellement ou tous. Donc plus possible de poser un cookie Analytics tant que l'internaute n'y aura pas consenti.

Et attention tous les boutons de "like" qui font du tracking sont normalement eux aussi concernés.

 

[saluts92]

Je doute que les petits sites soient en conformité avant longtemps, les travailleurs seuls n'auroant pas le temps et/ou les compétences et/ou l'argent pour le faire

ET concernant GG Analytics qui doit faire la gestion ? le site ou Google ?

 

[Thiery31]

C'est celui qui pose les cookies qui fait la gestion. Pour analytics c'est donc le possesseur du site.

 

[saluts92]

donc plus de suivi d'analyse ? a moins de développer un truc perso

c la mort des petites structures internet ce machin là

 

[Thiery31]

Ou d'utiliser un outil agréé CNIL comme Piwik.

 

[saluts92]

c pareil, il faut demander l'avis de l'utilisateur avant

il faudra 2 heures à l'utilisateur avant d'accéder au site avec toutes ces questions

 

[Thiery31]

Non il suffit d'aller sur le site de la CNIL qui explique que pour Piwik il n'est pas nécessaire de demander l'autorisation de l'internaute.

 

[saluts92]

ben si : https://ronan-chardonneau.fr/piwik-cnil-se-mettre-conformite/

 

[Thiery31]

Piwik est un outil (comme Xiti) qui avec un paramétrage correct est exempté du recueil du consentement. C'est clairement indiqué sur le site de la CNIL sur cette page.

En utilisant Piwik bien paramétré on peut poser le cookie lorsque l'internaute arrive sur le site sans lui demander son avis.

 

[saluts92]

ok mias de toute façon il n'y a pas que GG Analytics

comment gérer vous les choses qu'il faut installer en interne : protocole, etc ..

 

[Thiery31]

Je le redis pour la dernière fois, allez sur le site de la CNIL pour avoir des informations comme sur le consentement.

Et ensuite si besoin on fait appel à un avocat (eux ils sont contents de ce nouveau règlement qui va booster leur activité).

 

[gotcha5832]

@Thiery31
Existe t il un moyen de transferer les datas de analytics à piwik?

 

[Thiery31]

Je ne sais pas. Mais j'en doute.

 

[WebRankInfo]

je viens d'aller sur la page de la CNIL que tu as donnée. J'ai supprimé tous les cookies. Puis j'ai rechargé la page. Résultat : un bandeau me demande d'accepter les cookies, mais je constate que 5 cookies sont déjà déposés.
dois-je en conclure que la CNIL ne respecte pas ses propres règles ?

 

[Thiery31]

Je te laisse à tes hypothèses.

 

[WebRankInfo]

alors je fais poser la question autrement : qui connait un site qui respecte (déjà) tout le RGPD (y compris pour l'envoi de mailing) ?

 

[Thiery31]

Tu as regardé le type de cookie qui était posé avant acceptation ? Si par exemple il y a Piwik pas de problème.

 

[passion]

Si par exemple il y a Piwik pas de problème.

Lien provenant de la CNIL à cette adresse:
https://www.cnil.fr/fr/solutions-pour-les-cookies-de-mesure-daudience

Utilisateurs de PIWIK
https://www.cnil.fr/sites/default/files/typo/document/Configuration_piwik.pdf

 

[noren]

Le soucis j'ai l'impression :

- Xiti est je crois payant si on veut pouvoir avoir la version conforme au GDPR (à confirmer). Et ça m'a l'air très cher. Quelqu'un peu confirmer si Xiti free permet d'être conforme ?
- Piwik (Matomo) semble un peu plus complexe à mettre en place. Puisqu'on doit héberger nous même nos stats (donc bdd etc.). Il faut donc avoir sa propre bdd dédiée, penser à le mettre à jour etc. Sur mutualisé ça peut être plus laborieux à mettre en place il me semble, et à priori ça demande quelques paramétrages pas forcément compréhensibles pour tout le monde (sans oublier que c'est uniquement en anglais!).

Clairement, cette réglementation va bien emm*rder. Si je la comprend dans la forme, c'est dans sa mise en place que ça pose problème.
Faut vraiment que ça soit Google, facebook , Twitter etc. qui trouvent des solutions (options à cocher) pour qu'on puisse rester conforme sans avoir besoin de mettre de demandes d'autorisation sur nos sites. Ca n'a pas de sens de demander à un utilisateur d'accepter ou refuser les cookies à chaque fois qu'il va sur un site et pour les mêmes outils : google, facebook etc.
Confirmation qu'ils devront à nouveau effectuer plusieurs fois sur un même site : sur mobile, tablette, pc, si ils vident leurs cookies, si ils changent de navigateur etc.

C'est tout simplement absurde.

#WebRankInfo : Olivier as tu des infos la dessus ? sais tu si il est prévu qu'Analytics, Adsense et Youtube mettent en place un paramétrage qui permet d'être conforme sans avoir besoin de demander d'autorisation au près des internautes ? Les mails reçu d'Adsense, Analytics sont pour moi pas suffisamment clairs :/
Pour les réseaux sociaux ma solution sera tout simplement de virer les boutons like (par contre qu'en est-il des boutons/liens partage ?)

 

[noren]

J'ai contacté Xiti pour savoir si Xiti free était conforme à la nouvelle règlementation GDPR.
Voici leur réponse :

Bonjour,

Je vous confirme que tout est conforme par défaut sur votre interface Xiti Free. Il n'y aura donc aucune modification à faire de votre côté en ce sens.

Bien cordialement,

Est-ce que d'autres peuvent le confirmer ? car si c’est bien conforme, et si google ne fait rien sur Analytics pour nous éviter de mettre des demandes d'autorisation sur nos sites, je passerais donc sur Xiti.

De toute façon a quoi bon rester sur Analytics si c’est pour demander des autorisations et en fin de compte avoir des stats non exploitables.

 

[spout]

Où vous avez vu que Google ne fait rien ?
J'ai fini par vous croire mais ça s'est avéré être faux :

 

[saluts92]

est ce que quelqu'un connait un site qui a déjà mis en place la loi RGPD et ce genre d'interrogation du client pour accepter ou non le suivi (GG Analytics, PUB, etc ...)

 

[noren]

Où vous avez vu que Google ne fait rien ?
J'ai fini par vous croire mais ça s'est avéré être faux :

Pour ma part je n'ai jamais dis que GG faisait rien mais juste que pour le moment ce n'est pas très clair. Donc je cherche au cas ou des alternatives, pour ne pas être pris au dépourvu.
D'ailleurs dans mes messages sur un autre sujet mais également plus haut ici, je fais bien mention des mails envoyés par Google aussi bien pour adsense et analytics (et pour youtube qu'en est-il quand on met en iframe des video d'autres youtubeurs ? on a pourtant des cookies de déposés).

Mais je te l'accorde mes propos peuvent donner l'impression que je pense que GG ne fait rien.
Ca n'empêche que pour le moment à 30 jours de la date où la réglementation sera mise en place je trouve qu'on reste pas mal dans le flou.

Dans la phrase que tu as copié, je ne sais pas (mais j'imagine que oui) si ils parlent de la section "Conservation des données sur les utilisateurs et les événements" dans Analytics qui pour le moment permettra uniquement à partir du 25 mai d'indiquer combien de temps on souhaite conserver les données (14 mois ou plus). Le soucis, c'est de savoir si c'est suffisant pour éviter de mettre la demande de confirmation au près des internautes sur nos sites ? Puisqu'on récupère toujours les données personnelles mais on les conservent juste moins longtemps. Et normalement c'est pas 13 mois la durée légale de conservation des données ?

Je ne comprend pas non plus la section "Collecte des données dans le cadre des fonctionnalités de publicité", ni "User-id" (paramètres qui étaient d'ailleurs là depuis très longtemps sur Analytics, j,en ai aucune idée)

En gros pour le moment difficile de savoir comment on doit paramétrer Analytics pour être conforme, et si tout est déjà mis en place (mais pas actif avant le 25 mai). Même problème pour Adsense.

 

[WebRankInfo]

Pour être très concret, connaissez-vous des sites utilisant Google Analytics et déjà 100% conformes au RGPD ? Je serais curieux de voir ça.

 

[ortolojf]

Bonjour

J'ai contacté la CNIL il y a quelques semaines, pour leur demander si mon site ( perso ) relevait du RGPD.

Voici la réponse :

Bonjour Monsieur Jean François Ortolo,

Nous vous remercions de nous avoir contactés.

Vous souhaitez savoir si votre site personnel est soumis au Règlement européen sur la protection des données (RGPD).

Je vous indique que le RGPD ne s'applique pas au traitement de données à caractère personnel effectué par une personne physique dans le cadre d'une activité strictement personnelle ou domestique (article 2 2. c) du règlement 2016/679).

Au vu des éléments que vous nous avez communiqué, votre site internet n'est pas soumis au respect des dispositions du RGPD. 

Cordialement,

Voici message original :

Rappel de votre message :

      Objet : Demande d'information
Commentaire: Bonjour Monsieur Je suis le webmaster et propriétaire de mon site personnel : https://www.pronostics-courses.fr Ce site ne me rapporte rien, aucun revenu ni chiffre d'affaire, c'est un site personnel et d'accès entièrement gratuit, et il ne me rapporte rien que ce soit directement ou indirectement. Mon site a pour seules données éventuellement personnelles : - les noms et numéros des réunions et courses , - les noms de Chevaux, - les noms des jockeys, - les rangs d'arrivées des chevaux, Mais, les noms de jockeys ne figurent pas du tout sur mon site, il ne servent ( comme les autres données ), qu'à des fins statistiques pour des algorithmes exclusivement statistiques, pour classer les chevaux. Je pourrais crypter dans ma database, les noms de jockeys pour n'en mémoriser qu'un code unidirectionnel, qui ne me permettrait pas ( à moi ni à d'autres personnes ) de disposer des noms réels, donc d'identifier les jockeys même à partir de ma database. Je n'ai jamais communiqué ma database à qui que ce soit, et je ne le ferai pas dans le futur. Mon site est un site personnel et je suis un particulier. Ma question est : Ce site ci-dessus, est-il soumis au règlement Européen, : GDPR ? Si oui, est-ce que le fait de crypter de cette manière les noms de jockeys, m'exonère-t-il de la nécessité d'obtenir l'autorisation des jockeys ? Merci beaucoup de votre réponse. Très respectueusement.

 

[noren]

Sans utiliser de demande de confirmation (comme tarteaucitron) je ne vois pas trop comment un site peut être conforme au RGPD, pour cela il faudrait qu'Analytics mettent en place les outils pour. Et pour l'instant tout comme Adsense on a du vent.

Sinon les sites personnels, j'ai également du mal à comprendre pourquoi il serait exempt de cette réglementation, ça n'a là non plus aucun sens. Donc en gros un site personnel peut récupérer des stats analytics, collecter des infos personnels et se moquer de l'aspect sécurité de son site...

 

[ortolojf]

Bonjour noren

C'est vrai que j'ai mis tarteaucitron ( pour analytics aussi ), et que mes noms de Jockeys , n'apparaissent pas du tout sur le site.

En recevant ce mail de la CNIL, je me suis demandé s'il ne confondait pas "site personnel" avec "site local sur mon ordinateur".

Si les noms de Jockeys sont des données personnelles, et si mon site en fin de compte relève du RGPD, est-ce qu'il me suffit d'anonymiser définitivement dans ma bdd les noms de Jockeys avec une fonction unidirectionnelle bijective genre : hash('sha256', $nomjo), ou bien est-ce que les données sportives ne sont pas personnelles ?

Et aussi : Les autres données ( et lesquelles ) de courses hippiques sont-elles personnelles ou non ?

Quant à mon site partenaire, que va-t-il devenir ?

Son dirlo est injoignable depuis octobre 2016.

Que faire ?

Merci beaucoup pour vos réponses.

 

[Ervael]

Pour répondre à la question des sites personnels, le Youtubeur Cookie connecté a fait une vidéo en partenariat avec la CNIL où il donne des explications et répond à des questions. à 6 minutes de la vidéo il répond pour les sites personnels :

En gros du moment que l'activité du site est personnelle, le règlement ne s'applique. Cela ne concerne que les sites qui ont une activité qui génère des bénéfices ou dans le cas d'une association par laquelle transite de l'argent.

Donc je pense que si ton site est purement informatif, alors cela ne doit pas s'appliquer. Mais si tu gagnes 1 seul centimes alors là du coup oui.

Pour ma part, j'ai plus ou moins mes plans établis pour me mettre aux normes. Je suis sous Wordpress, j'ai repéré GPDR Extension qui génère tous les éléments de base nécessaire (bandeau d'acceptation, case à cocher formulaire, page mentions, effacement des données,...). Seul quid pour le moment j'attend comme tout le monde ce qui va en être côté Google Adsense et Analytics que c'est encore flou...

 

[spout]

GPDR Extension qui génère tous les éléments de base nécessaire (bandeau d'acceptation, case à cocher formulaire, page mentions, effacement des données,...).

 

[ortolojf]

Bonjour Ervael

Merci pour ces informations.

Je n'entends quasiment pas le Monsieur qui parle.

Est-ce que les données sportives sont suceptibles d'être personnelles ?

Respectueusement.

 

[noren]

D'ailleurs pour les scripts GG, il y a toujours ce problème. Les CGU de GG nous interdisent de modifier leurs scripts. Hors tarteaucitron les modifient.

@ortolojf, en plus je ne vois pas en quoi tu es concerné si tu conserves uniquement des noms de jockeys ! qui sont "publiques".
Même à titre professionnel tu pourrais te faire un bdd avec des noms de sportifs, de politiciens, d’acteurs etc. tu ne serais à mon avis pas concerné.

Les données sportives non strictement rien de personnelles !

 

[spout]

Commentaires de matchs de foot selon la RGPD et l'interprétation de @ortolojf :

• 1cbec737f863e4922cee63cc2ebbfaafcd1cff8b790d8cfd2e6a5d550b648afa fait la passe à
  95d64cacce0f0e5b0d1b843862f0accfadb787a4cabb8a88f7f1694ea232a5fc
• Reprise de volée de
  bc541a4c77cb127b443ab4a1295c9696c1eabf12b1c03da5af790b7cdb3bf6b3 qui envoie la balle à
  ac3bfc7d1baadd3f5d6b677a608fb79b0f64e69f0471c4965d8d152b7467af62
• ac3bfc7d1baadd3f5d6b677a608fb79b0f64e69f0471c4965d8d152b7467af62 tire et c'est buuuuuuut !

 

[valserine]

hahaha !!! j'ai bien ri ! merci !

 

[Ervael]

@sprout j'ai bien ri aussi merci, même si vu comme ça se présente, la réalité va pas être très loin de ça

 

[céline bonardot]

Pour être très concret, connaissez-vous des sites utilisant Google Analytics et déjà 100% conformes au RGPD ? Je serais curieux de voir ça.

Pour cela, faudrait déjà comprendre ce qu'il faut faire sur GA. Nous avons, à date, désigné une personnalité juridique pour nos sites & mis le délai de rétention des données à 26 mois. Et j'ai aussi blindé les CGU de mes différents sites concernant les cookies en ajoutant notamment un lien vers le module d'opt-out de Google, un vers la CNIL et plein de blabla totalement indigeste ( exemple ici si ça peut servir https://www.bricoleurdudimanche.com...conditions-generales-d-utilisation-54001.html )
Le tout dans une sorte de flou artistique vu que je n'ai pas encore eu le temps de lire toutes les docs RGPD, mais j'ai vu aussi qu'il y a des actions à mener sur adwords et adsense.

 

[Ervael]

@noren c'est ce que je me suis rendu compte en mettant tout en place chez moi. Pour l'heure je pense qu'il va falloir attendre quelques clarifications qui vont vite venir une fois le 25 passé avec la pratique. Pour ma part le seul point qui me bloque c'est le consentement de bas pour les adsenses du coup. D'un côté, comme tu dis, Google nous dit de ne pas toucher à leur code (et Tarte au citron est une usine à gaz), de l'autre je ne trouve pas d'extension Wordpress capable de bloquer en cas de consentement non-donné ou refusé les codes asynchrones d'Adense (ils ne reconnaissent que ceux avec la balise script javascript)

 

[ortolojf]

Bonjour

J'ai changé mes cgu.

Voici le lien : https://www.pronostics-courses.fr/php/cgu/mentions-legales.html

Je vais updater le lien sur la Loi "Informatique et Libertés" sous peu.

Merci de toutes critiques et suggestions.

Respectueusement.

 

[zikeur54]

Mais posez un cookie c'est quoi concrètement ?
Qui pose un cookie ?
Est-ce que je pose des cookies sans le savoir avec ma boutique ?
Je ne pense pas que je serai en règle à la date prévue mais, même pas peur.
De toute façon, je dois attendre que les développeurs sortent un addon spécifique.

Ah, j'oubliais, je vous entend tous flipper mais j'ai l'impression que RGPD est seulement en rapport avec vos outils anlytics et consort. Je n'ai aucun outil d'analyse pour ma boutique.

 

[Ervael]

@zikeur54 non pas que les outils d'analyse, le RGDP impacte aussi les contenus publicitaires, certains modules de partages sur les réseaux sociaux, les widgets des réseaux sociaux (comme les officiels proposés par Facebook) et toute autre extension ou script qui peut récolter des données comme les IP et/ou déposer des cookies. Cela aurait été bien plus simple si ce n'était que les Analytics and co

 

[noren]

Il impacte aussi le traitement des données dans nos BDD. On doit stocker uniquement le stricte minimum et informer les utilisateur des données personnelles récupérées à chaque formulaire et demander leur autorisation.

 

[mountain]

Petite question concernant les commentaires laissés sur un site : un commentaire posté il y a 2 ans est-il aussi soumis au RGPD ? concrètement l'auteur de ce commentaire peut-il demander à modifier ou supprimer ce commentaire ?
Merci ;-)

 

[saluts92]

si il est identifiable personnellement (nom, email, adresse IP, ...) OUI

 

[ortolojf]

Bonjour

J'ai Debian 9.

J'ai l'intention de virer les RS et GA de mon VPS.

Je verrai après s'il n'y a plus de cookies.

Est-ce que l'installation du package matomo va m'écraser des fichiers dans /etc/nginx/ ?

Merci beaucoup.

Respectueusement.

 

[ortolojf]

Et voilà

C'est fait.
Piwik est installé sur mon http://pronostics.courses

Site plus rapide que l'autre.
Vais voir les mesures demain.

Amicalement.

 

[ortolojf]

Beurk

Et LetsEncrypt cette après-midi.

Y a plus qu'à adapter la messagerie avec le certificat ssl.

J'ai résilié le précédent VPS.

Service Piwik, donc plus de RS, plus de GA.

Mais la Loi Darmanin ? Va-t-elle disparaître dans un ultime soubresaut en 2021 ?

Pour l'instant, près du GDPR.

Respectueusement.