[RGDP] Avis sur mes mesures prévues

[Ervael]

Bonjour à tous,

Comme beaucoup d'entre vous je regarde de près ce que je vais devoir mettre en place et j'aimerai avoir votre avis pour être sûr que ce que je prévois sera correct. Je veux dans ma démarche éviter d'utiliser des usines à gaz pour mes visiteurs et que leur expérience reste la plus fluide et que cela reste simple pour moi aussi. Donc si je peux éviter le bandeau qui fait sélectionner le type de choses affichées ou non au risque de voir plein de choses bloquées.

J'ai 2-3 questions aussi. Je précise que mon site est sous Wordpress.

Actuellement j'utilise ceci dans ce qui est affecté par la loi :
- Analytics
- Adsense
- AddThis
- extension Redirection
- extension Cookie notice
- page mentions légales
- vidéos Youtube

Et je prévois ceci déjà :
- Analytics => passage sous Xiti (pas le choix vu que Analytic continue de relever des données).
- Adsense => passage en pub non-personnalisées
- AddThis => changement pour un autre service, il existe déjà des extensions WP compatibles RGDP
- extension Redirection => désactivation de tous les journaux (je ne me sers pas de cette extension pour eux de toute)
- extension Cookie notice => elle pourrait me permettre de bloquer des scripts si l'utilisateur refuse, mais je je pense pouvoir la garder en fonctionnement simple en changeant le message affiché puisque mes mesures permettent de ne plus collecter de données non dans l'affichage du site
- formulaires de contact/commentaires/inscriptions => j'ai trouvé trois extensions WP, une qui gère tout cela ou sinon une pour les commentaires et pour les formulaires, Contact Form 7 que j'utilise va se mettre à jour apparemment. Pour les inscriptions je compte préciser en mention légales que sur simple demande un compte peut-être supprimé.
- page mentions légales => réécriture avec mentionné le type de services utilisés qui sont sous le coup de la loi et qui dans leur utilisation/ configuration ou par leur créateurs sont compatibles.
- vidéos Youtube => je vais changer les liens d'intégration avec le youtube-nocookie.com

Et maintenant ce qui reste sous question :
- Widgets Facebook et Google => sont-il concernés par le RGDP si utilisés ? Si c'est le cas je ferai un lien vers mes réseaux maison.

Merci d'avance pour votre aide et vos réponses

 

[spout]

- Analytics => passage sous Xiti (pas le choix vu que Analytic continue de relever des données).

 

[Ervael]

Je l'ai vu et regardé mais de ce que j'ai compris ce nouveau setting n'influe que sur la durée de conservation des données et pas le type de données de récoltées non ?

 

[noren]

Passage sous Xiti, tu penses à la version Free ou celle payante ? et si c'est la Free changes tu quelques chose pour que ça soit conforme?
Sinon effectivement pour le moment sur Analytics on peut jouer uniquement sur la durée de conservation des données. ce qui n'est pas suffisant. Si on ajoute ceci en plus ga('set', 'anonymizeIp', true) dans son code de suivi, ca permet peut être d'être conforme mais pour le moment j'ai un doute.

Pour Adsense désactiver les pubs personnalisées ne semble pas suffire, tu es toujours condamné à une demande d'autorisation.

Pour Youtube : cool, je ne connaissais pas ce Youtube-nocookie. Je viens de faire gaffe a cette case à coché dans youtube quand on veut intégrer une vidéo "Activer le mode de confidentialité avancé". Bon à savoir. Un problème de résolu.

POur les widgets facebook etc. oublis les boutons like, un lien partage ou vers ta page facebook fera l'affaire.

 

[Ervael]

Merci pour ton retour

Pour Xiti je pensais à la version free, on trouve d'ailleurs sur le site de la CNIL un lien qui explique comment être conforme sans consentement avec eux : https://www.cnil.fr/fr/solutions-pour-les-cookies-de-mesure-daudience

Après dans le cas d'Analytics j'ai trouvé entre temps le tag là poru la version que j'utilise mais qui rejoins ce que tu dis : https://developers.google.com/analytics/devguides/collection/gtagjs/ip-anonymization

Je pense que ça suffit parce que si on croise avec ce que dit la CNIL pour XITI, il suffit d'informer le visiteur, avoir une anonymisation des IP et proposer le opt-out. Donc ça doit être pareil pour Analytics. Du coup je me dis que ça ne vaut pas le coup finalement de passer à Xiti peut-être.

Adsense j'ai regardé leur guide sur ça : https://support.google.com/adsense/answer/142293?hl=fr

Et ils disent :
"Google ne tiendra pas compte des données relatives aux visites sur votre site pour déterminer les centres d'intérêt et les catégories démographiques des utilisateurs, et n'ajoutera pas ces informations à leur compte Google."
Cela me laisse penser que ça sera bon non ? Parce que dans le cas des pubs non-personnalisées, elles ne sont pas basées sur des données récoltées au préalable du visiteur. Mais cela voudrait dire alors que les non-personnalisées en récoltent si ce n'est pas valide

Pour Youtube j'y avais pas fais attention aussi, jusqu'à le voir mentionner sur un site donnant des conseils pour le rgdp. Pour cela au moins cela sera facilité.

Quand aux widgets, tu me confortes dans ce que je pensais, que la meilleure solution sera celle du simple lien. Ce qui ne sera pas plus mal, pour réduire le temps de chargement de la page, parce que mine de rien, ça prend pas mal

Par contre j'ai réalisé aussi qu'utilisant adsense recherche, il va falloir que je change ce système car il collecte forcément des données aussi.

 

[noren]

@Ervael : Pour Xiti Free je doute que l'on puisse effectuer les manips indiquées sur le site de la CNIL, mais si c'est le cas je serais curieux de savoir comment faire. En tout cas je ne comprend rien aux recommandations de la CNIL pour rendre Xiti Conforme. J'ai un compte Xiti Free et je ne vois aucun paramètre qui va dans le sens du RGPD. Donc si jamais tu as des infos je suis preneur.
Par contre je ne comprend pas bien cette histoire de Opt-out aussi bien pour Xiti que pour Analytics. Comment ça se présente, en quoi ça consiste et comment le mettre en place ?

Est-ce qu'il suffirait de mettre un simple message et de renvoyer les internautes dans le cas de Xiti sur cette page (http://www.xiti.com/fr/optout.aspx) si ils ne veulent pas être intégrés dans les données de Xiti ?

Pour Google, pubs personnalisées ou non, ils récupèrent tout de même des données personnelles pour le tracking et le contrôle d'après ce que j'ai compris, par conséquent à l'heure actuelle il sera toujours nécessaire de demander l'autorisation des internautes pour afficher les pubs, quelles soient personnalisées ou non.
En gros on devra demander aux internautes si on peut gagner de l'argent pour leur proposer un service gratuit.

Pour Youtube et les réseaux sociaux, ça se réglera assez vite et ça c'est cool.

 

[Ervael]

Je t'avouerai que pour XITI je penchais sur cette solution parce que certains sites disaient qu'ils étaient déjà prêts pour le RGPD. Après visiblement de ce que dit le guide de la CNIL pour eux on peut leur demander. Donc si tu n'as pas l'option en version free peut-être voir avec le support. Mais après avoir cherché vite fait c'est peut-être réservé à la version payante en effet. Dans mon cas chez Google il y a tout ce qu'il faut finalement, donc bon j'ai aps de raison de changer.

L'opt out, dans le cas de XITI, c'est un moyen pour proposer au visiteur de désactiver les scripts de XITI sur tous les sites pour une certaine durée. Tu as deux possibilités apparemment pour le mettre en place : soit avec un script qui fait pop une bandeau ou une pop-up, soit tu fais le liens vers cette option. Dans le cas de Google tu peux faire le lien vers leur outil de opt out, qui se présente sous la forme d'une extension pour navigateur.

Adsense je suis perplexe dans ce que tu dis, parce que j'ai lu à plusieurs reprises que les pubs non-personnalisées justement évitent le consentement. Parce que si elles récoltent des données bah alors pourquoi passer en non-personnalisées et moins gagner pour rien du coup ? C'est justement là l'intérêt de cette option
Quelqu'un en a parlé sur le forum d'ailleurs : https://www.webrankinfo.com/forum/t/rgpd-et-adsense-mise-en-conformite.193193/

 

[noren]

Pour adsense, ils avaient envoyé un email qui indiquait ceci :

Although non-personalized ads don’t use cookies or mobile ad identifiers for ad targeting, they do still use cookies or mobile ad identifiers for frequency capping, aggregated ad reporting, and to combat fraud and abuse. Therefore, you must obtain consent to use cookies or mobile ad identifiers for those purposes where legally required, per the ePrivacy Directive in certain EEA countries.

Et d'ailleurs j'en parle dans le lien que tu donnes. Donc oui, même en désactivant les pubs personnalisées on est pour le moment obligé d'intégrer le consentement.

Pour Xiti je les avais contacté pour leur demander si la version free était conforme au RGPD et si il était nécessaire de demander le consentement aux internautes. Ils m'avaient répondu que oui il était conforme mais ne m'ont rien préciser concernant le consentement.
Quoi qu'il en soit j'ai de gros doutes. Car sur la Cnil dans leur guide pour mettre Xiti en conformité il faut pouvoir configurer pour ne pas collecter des données autres que l'IP (données GPS etc.), rendre les IP anonymes, ne pas conserver les données plus de 13 mois etc.
Et je ne vois aucun moyen de paramétrer ça sur Xiti Free, et aucune aide. A moins que tout soit automatiquement respecté dans la version Free mais je ne sais aps comment on peut le savoir.
Et la version payante me semble pas vraiment envisageable : 355€ par mois... j'ai dû louper quelque chose

Merci j'ai trouvé le lien pour l'opt-out de Google.

 

[spout]

CNIL + chauvinisme français = pas étonnant qu'ils conseillent Xiti

 

[noren]

En même temps c’est ce qui se rapproche le plus d'Analytics : pas de scripts à télécharger, de BDD à créer etc. En gros assez simple d'utilisation vu que la gestion et le stockage des données est externalisé.

Tu en connais d'autres comme Xiti ou Analytics et qui soient gratuits (et en français) ? Et avec cette simplicité d'intégration ?

 

[spout]

https://alternativeto.net/software/google-analytics/

 

[noren]

Merci pour cette liste. Reste à voir dans le lot combien répondent à tous les critères du message précédent et combien sont facilement configurables pour être au norme vis a vis du RGPD ^^
Certains par exemple sont indiqués comme Free mais semblent très limités dans cette configuration.
Au premier abord Clicky semble intéressant et dispo en français également. Ou Yandrex mais pas en FR.

Par contre par rapport au RGPD, je me vois mal décortiquer tous ces outils (la plupart en anglais), alors qu'on a déjà du mal à y voir clair en français avec Analytics et Xiti.

 

[Ervael]

Alors pour Adsense j'ai trouvé un article qui explique la procédure et qui m'a l'air assez fiable :

https://www.arobasenet.com/2018/05/google-adsense-pour-RGPD-4681.html

Visiblement cela confirme ce que je pensais si c'est bien ça. Les pubs non-personnalisées ne sont pas concernées visiblement. On verra bien dans les jours à venir, ils vont sans doute plus communiquer sur cette option.

Malheureusement @noren, tu ne vas guère échapper au décorticage de tous les outils. Persos cela fait un mois que je passe en revue ce que j'utilise et que j'essaie de croiser les infos pour savoir ce qui est faisable ou non ou comment. Cette loi a ses avantages, mais dans les inconvénients on peut clairement pointer le manque de clarté et pour les éditeurs de sites.

 

[noren]

Ils viennent d'ajouter ce nouvel outil pour désactiver les pubs non personnalisées pour les utilisateurs de l'UE, jusqu'à présent on avait uniquement l'outils présent dans "Diffusion d'annonces", et GG avait bien précisé que le consentement était toujours nécessaires.
Cela dit en lisant ceci on voit que le consentement est toujours nécessaire :

https://support.google.com/adsense/...k&utm_campaign=ww-ww-et-asfe_#nonpersonalized

C'est vers cette page que GG nous envoi quand on clique sur "en savoir plus"

J'en parle ici (sujet consacré principalement à Adsense) :

https://www.webrankinfo.com/forum/t/rgpd-et-adsense-mise-en-conformite.193193/#post-1575143


Résultat, Adsense (quoi que ça ne semble pas encore très clair), les réseaux sociaux et Youtube réglé, reste plus qu'à régler le soucis d'Analytics et on aura plus besoin de consentement à la c*n. Et tant pis si le fait de désactiver les pubs non personnalisées fait perdre du pognon, au point où on en est... Du moins le temps de voir ce qu'on pourra faire de pas trop lourd en terme de consentement pour afficher les pubs personnalisées. mais leur histoire de choisir "les fournisseurs de technologie publicitaire" me gène un peu. Honnêtement je ne serais pas en mesure de savoir lesquels il faut choisir ou non.

Pour Analytics je pense que je vais mettre l'anonymisation des Ip, j'espère que la ligne suivante suffira :
gtag('config', '<GA_TRACKING_ID>', { 'anonymize_ip': true });
Puis je mettrais juste un petit bandeau (présent depuis un bon moment depuis la CNIL) afin de les renvoyer si ils le souhaitent vers le opt-out d'Analytics.
A moins que GG nous ponde aussi un truc clair dans les jours qui viennent comme pour Adsense. Ils sont obligé de faire quelque chose parceque là sur Analytics c'est trop confus.