Journal [RGPD] Qq1 peut-il m'expliquer ce choix entre cookie et cookie pour une vidéo YouTube sur france24 ?

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
12
29
mar.
2021

Hello,

Je clique sur ce lien indiqué sur le Standblog et intitulé « Réparer le futur : le numérique peut-il être écolo ? »

Pour lire la vidéo on me soumet à un « choix » :

  • J'autorise la mesure d'audience par YouTube
  • J'autorise tous les cookies YouTube

Vous comprendrez mon étonnement. Comment est-ce possible ? Ou bien j'ai loupé qqch ?

Capture d'écran sur site france24.com affichant une vidéo hébergée par YouTube

  • # À part ça

    Posté par  (site Web personnel) . Évalué à 4 (+2/-1).

    À part ça, je l'ai lue dans FreeTube (installé en Flatpak sur ma Debian Testing)

  • # Je tente

    Posté par  . Évalué à 7 (+5/-0).

    Dans le premier cas, tu autorise uniquement la mesure d'audience, dans l'autre c'est open bar, ils peuvent en mettre autant qu'ils veulent.

    La question subsidiaire est donc, puisque tu n'as pas le choix que de l'activer, Google considère-t-il que la mesure d'audience est une fonctionnalité nécessaire au fonctionnement de YouTube ?

    • [^] # Re: Je tente

      Posté par  . Évalué à -1 (+1/-4).

      C'est grâce à ça qu'ils font des revenus, sans revenus, plus de youtube. Ça semble cohérent.

      • [^] # Re: Je tente

        Posté par  (site Web personnel) . Évalué à 10 (+13/-1).

        Ou alors la fonctionnalité essentielle pour laquelle viennent les gens est la mesure d'audience, mais le site joue aussi des vidéos.

      • [^] # Re: Je tente

        Posté par  (site Web personnel) . Évalué à 10 (+12/-1).

        C'est grâce à ça qu'ils font des revenus, sans revenus, plus de youtube. Ça semble cohérent.

        Ça ne marche pas comme ça, si tu considères que le service c’est d’héberger des vidéos, les mesures d’audience ne sont pas nécessaires à l’hébergement de vidéo. Si tu considères que le service c’est de te proposer une playlist personnalisée, les mesures d’audiences sont nécessaires à l’élaboration d’une playlist personnalisée.

        Le fait que la collecte de données personnelles sont nécessaires au profit de ton commerce de données personnelles, ça ne compte pas.

        Précisément, le RGPD a visé ça. Lorsqu’il est entré en application on a justement vu des entreprise chialer parce que ça signifiait que leur business n’était pas possible, bah oui c’était le but.

        Sinon c’est trop facile, je déclarerai que mon commerce c’est de vendre des vidéos de voyeurisme en posant des caméras dans les douches des hôtels, et que vu que c’est comme ça que je ferai mon revenu, ce serai un usage nécessaire, et hop, approuvé RGPD, c’est beau la vie. Ah et puis la vente de stupéfiants serait nécessaire aux revenus de mon entreprise aussi, donc je pourrais prétendre à un dérégulation complète plutôt qu’une exploitation encadrée (type médical ou autre).

        ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: Je tente

      Posté par  . Évalué à 7 (+4/-0). Dernière modification le 30/03/21 à 08:03.

      Le cheminement pour arriver à ça est croustillant :

      Affichage d'un panneau demander d'accepter ou de choisir la possibilité de paramétrer !

      cookies youtbe

      Lorsqu'on refuse tout, comme sur la capture d'écran, on se dit "OK, c'est RGPD compliant", un peu pénible mais c'est ok. OK ? Ben non : une fois le refus des cookies "enregistré" on obtient la demande, en incrustation sur la vidéo, que l'on voit dans la capture d'écran du journal : celle de Youtube cette fois ..

      On pourrait se dire que France 24 n'est pas clean de faire ça, mais c'est bien Youtube : depuis un navigateur non connecté ni à Google ni à Youtube, et depuis Youtube directement, le panneau habituel de Google s'affiche, celui ne laissant comme choix que "Accepter" ou "Autres paramètres". Dans ces "autres paramètres", au moins un ne peut être choisi sans être connecté à un compte Youtube.

      La question subsidiaire est donc, puisque tu n'as pas le choix que de l'activer, Google considère-t-il que la mesure d'audience est une fonctionnalité nécessaire au fonctionnement de YouTube ?

      Visiblement, oui.
      A force de s'habituer à youtube-dl et autres outils permettant de s'affranchir de ces problèmes de non-conformité au RGPD (perso j'utilise containeurs firefox + cookie auto-delete + AdNauseam & youtube-dl en dehors de ff) je ne me rends plus compte à quel point le RGPD est détourné, les services ne surfent que sur sa frontière, et finalement on laisse un peu faire ?

      Peut être qu'une solution légale serait d'imposer aux navigateurs une installation "mode privé" par défaut ? (Après tout nous avions bien le 'ballot screen' pour imposer un choix de navigateur.) Et que l'activation du stockage, comprenant les éléments nécessaires au suivi et à la proposition de 'personnalisation de l'expérience' ne soit activée par l'utilisateur que sur son acte volontaire ?

  • # bah

    Posté par  . Évalué à 10 (+16/-0).

    sur Internet , il y a deux types de cookies : les bons cookies, y servent au site web, et y'a les mauvais cookies aussi, y servent au site web …

    … mais c'est pas pareil …

  • # audience

    Posté par  (site Web personnel) . Évalué à 1 (+0/-1).

    Comment est-ce possible ? Ou bien j'ai loupé qqch ?

    Je dirais que ça dépend de comment c'est fait. Si c'est de la mesure d'audience qui est correctement anonymisée ça doit pouvoir être autorisé sans même de choix (enfin avec le choix du moins) non ?
    On peut très bien avoir un cookie qui permet juste de ne pas te compter deux vues sans pour autant te tracker.

  • # RGPD howto

    Posté par  (site Web personnel) . Évalué à 7 (+5/-0).

    Si tu considères que tes droits RGPD sont enfreints, la procédure à suivre se trouve ici : https://www.cnil.fr/fr/adresser-une-plainte

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Et la vidéo ?

    Posté par  . Évalué à 4 (+2/-0).

    Sinon, la vidéo valait la peine ?

    Surtout, ne pas tout prendre au sérieux !

  • # Mur de cookies

    Posté par  . Évalué à 6 (+5/-0).

    J'allais écrire "ta troisième option, non énoncée, c'est de ne pas regarder la vidéo".

    Mais cet article dit ceci :

    Le CEPD a apporté des précisions sur les cookies :

    L’article 7.4 du RGPD précise que conditionner la fourniture d’un service à une collecte de données non indispensable à celle-ci fait obstacle au recueil d’un consentement libre. Ainsi, la consultation du site ne peut pas être « bloquée » en cas de refus de dépôt de cookies.

    Le Comité européen de la protection des données le confirme dans ses lignes directrices du 4 mai 2020 : « Pour que le consentement soit donné librement, l’accès aux services et fonctionnalités ne doit pas être conditionné au consentement de l’utilisateur au dépôt de traceurs, ou à l’accès à des traceurs déjà enregistrés, dans le terminal de l’utilisateur » : il interdit donc les « murs de cookies » qui bloquent l’accès à un site sauf consentement global de l’internaute.

    Comme ça je dirais que tu es face à un mur de cookie, et qu'il y a un problème, car la mesure d'audience n'est pas indispensable au service (qui est de diffuser une vidéo).

    • [^] # Re: Mur de cookies

      Posté par  . Évalué à 4 (+2/-0).

      C'est d'autant plus problématique que tu n'as pas besoin de cookie pour mesurer l'audience au final.

  • # Encore plus fort que Youtube

    Posté par  . Évalué à 10 (+7/-0). Dernière modification le 30/03/21 à 08:18.

    Encore plus fort que Google pour son Youtube. Prenez une "revue de presse de l'April", cliquez sur un lien vers ZDNET.

    Obtenez un beau panneau proposant un choix pour les cookies. Cela fait très RGPD compliant, ça a l'air bien ! Cliquez sur "refusez" et obtenez ceci :

    zdnet rgpd

    Un autre bel exemple où un site surfe sur la frontière du RGPD : si tu ne te connectes pas avec un compte personnel zdnet, alors tu ne peux pas refuser les cookies si tu veux lire l'article. Magnifique.

    • [^] # Re: Encore plus fort que Youtube

      Posté par  . Évalué à 5 (+2/-0).

      En comparaison : 01NET a une pratique respectueuse du règlement et de l'esprit du règlement.

      Doit on bannir l'usage de ZDnet ?

  • # Intérêt légitime

    Posté par  (site Web personnel) . Évalué à 1 (+1/-0).

    J'arrive un peu après la bataille, mais je vais essayer de donner une explication.

    Ici, le cookie est posé pour effectuer un traitement de données qui ressort de l'intérêt légitime du responsable du traitement. La mesure d'audience (a ne pas confondre avec le profilage) est considérée par la CNIL (et les autres autorités européennes) comme un intérêt légitime du site et donc est exempté de demande de consentement. A condition que la mesure d'audience soit anonyme. Cela ne veut pas dire qu'il n'y a pas de cookie. Il peut y avoir un cookie pour différencier les visiteurs uniques par exemple. Il faut par contre que le traitement ne permette pas d'obtenir des information sur des visiteurs uniques et que le collecte ne soit pas multisite (ex: le bouton like facebook n'est pas un intérêt légitime. L'intérêt légitime ne doit pas contrevenir au respect de la vie privé. Si tel est le cas, il doit y avoir consentement.

    Le RGPD autorise certain traitements sans demande de consentement, comme les traitement indispensable à la fourniture du service (par exemple être identifier pour obtenir un service payant, ou stocker le panier d'un site marchant), les traitements imposé par la loi (ex: garder les logs), ou l'intérêt légitime. Mais dans tous les cas, même si il n'y a pas a demander le consentement, il faut prévenir l'utilisateur que ce traitement va être fait. Je pense que c'est ce que ce bouton est là pour indiquer. La plus part des autres sites masque ça sous une case a coché non décochable par exemple.

    Par contre, là ou c'est un peu borderline, c'est que tu es sur le site de France 24. Donc pour toi le responsable du traitement, c'est France 24. C'est à France 24 que tu devrais donner le consentement pour que son prestataire (Youtube) puisse effectuer le traitement. Je pense que comme tu as refusé de donner le consentement à France 24, la vidéo ne devrait même pas s'afficher (avec un message t'expliquant que tu as refusé d'autoriser ce traitement et que donc pour respecter ton choix, la vidéo doit être bloquée. Mais comme elle s'affiche quand même du coup, c'est Youtube qui te demande le consentement… Bref, là, c'est pas clair qui est le responsable de traitement pour moi. Les incrustations dans les sites, c'est encore une belle zone d'ombre dans le RGPD (par exemple, les redirects sur les bannières de pub, le site qui affiche la pub est responsable, mais n'a pas le contrôle).

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.