Journal J'accepte

Posté par  . Licence CC By‑SA.
Étiquettes :
32
9
nov.
2019

Avez-vous compté combien de fois par jour vous cliquez sur un bouton "J'accepte" à propos du traitement qui est fait à propos de vos données (cookies) ?
Avez-vous conscience de l'effet psychologique produit par le fait d'accepter activement des traitemens sur vos données dont vous n'avez aucune idée de la teneur ?
Pensez-vous que ces actions inlassablement répétées jour après jour soit neutre sur notre cerveau et notre capacité à dire non, à refuser l'innadmissible ?

Pensez-vous vraiment que le comportement généré n'a pas d'intérêt pour nous asservir à accepter tout et n'importe quoi ?

Pensez-vous vraiment que ces confirmations que l'on donne activement et inlassablement ne sont pas souhaitées par des entreprises qui monnaient nos données personnelles, ou bien des services de renseignement/surveillance/espionnage étatique ?

Alors la prochaine fois que l'on vous demande d'accepter ou de confirmer que vous avez bien compris… Posez vous la question de l'effet produit sur votre cerveau.

Ce qui pouvait passer pour une alerte intempestive mais bien intentionnée au début, n'est-ce pas devenu un remède (l'asservissement) bien pire que le mal (les cookies) ?

  • # Mon petit doigt me dit...

    Posté par  . Évalué à -1. Dernière modification le 09 novembre 2019 à 07:47.

    Salut,

    Je suppose que tu sais quelle est la raison de ce bandeau : le RGPD.

    Avant, c'était certes un peu le far-ouest. Il y avait cependant des règles, mais moins de sanctions.

    Cela étant, le RGPD n'est qu'un début. Fichtre, diantre, puisqu'« on » vous dit que c'est pour votre bien.

    Jusque là, on en est au moindre mal : on clique sur pas ok ou ok, et voilà. A la limite, si on est d'humeur taquine et que le site est bien fait, on va voir dans la liste proposée pour "piocher" dans les tierces parties pour qui on accepte ou non. A supposer aussi que l'écran du terminal utilisé pour butiner le permette.

    Enter sandman Privacy Shield (ou e-Privacy pour les intimes), dans un futur pas si lointain. Bien, bien. Ce n'était qu'un début, donc, ce bandeau.

    A l'avenir, mon petit doigt me dit qu'un certain nombre de sites ne seront juste plus utilisables par exemple sur mobile, car il y aura trop de boutons à cliquer et pas assez de place pour les afficher. Pas juste un je refuse ou j'accepte, toute une ribambelle de cases.

    Alors voilà, ce n'est pas très grave, cela a été souhaité et directivé en loi. Soit, puisque c'est ainsi, alors appliquons au détriment de l'expérience utilisateur. C'est le législateur qui a forcément raison (sinon panpan les doigts, voir les fesses).

    Note en mode « le saviez-tu ? » : Si on s'est gaufré et surfé sans protection, ou si on change d'avis, ou pour n'importe quelle autre (bonne) raison on souhaite se faire déréférencer d'une base de donnée, et bien il vous en coûtera au moins un scan de CNI ou autre papier attestant de votre identité réelle. Et oui, pour redevenir « anonyme », il faut s'identifier de manière beaucoup plus forte qu'avant (c'était mieux à vent :p).

    Conclusion : tu n'es pas rendu au bout de tes peines avec le RGPD, le pire est à venir. L'industrie publicitaire en souffre un peu, va en souffrir encore plus (on parle de transposition locale de lois globales, donc il y a encore un peu de temps pour s'adapter et voir venir).

    Mon sentiment personnel : on est passé d'un mode "far-ouest" comme je le disais au début, ou effectivement il y avait des abus, à un mode "stasi", ou, pour se protéger d'une dénonciation, les sites vont vous en faire baver des boutons à cliquer. Bravo au(x) légistareurs·ices (ouais, y'a pas de raison de ne pas être inclusif là, et puis c'est à la mode) de ne pas avoir su placer la barre au milieu.

    M'enfin ?

    Matricule 23415

    • [^] # Re: Mon petit doigt me dit...

      Posté par  (Mastodon) . Évalué à 10. Dernière modification le 09 novembre 2019 à 09:29.

      Ce n'est pourtant pas si compliqué : il suffirait que les navigateurs soient obligés de refuser cookies et données locales par défaut. (ou le fassent d'eux mêmes …) Voilà c'est tout.

      Ensuite on peut imaginer des contres-mesures, telles que :
      - Que l'activation soit côté navigateur, ne soit jamais plus globale mais domaine par domaine ;
      - Que les navigateurs utilisent une chaine de partage pour ces données (hors cookies d'authentifications légitimes sur un service) normalement stockées localement, empêchant complètement l'identification unitaire et individuelle ;
      - Que la gestion du stockage des données authentifiantes soit déléguée au système.

      • [^] # Re: Mon petit doigt me dit...

        Posté par  . Évalué à 5.

        Salut,

        Ce n'est pourtant pas si compliqué

        Ah, une solution technique.

        Parfait, en voilà une autre : il suffirait que les applications web désservent une page 404 à qui n'a pas donné son consentement.

        Problem solved.

        Retour à la case départ, vous ne gagnez pas 20.000 francs.

        Matricule 23415

        • [^] # Re: Mon petit doigt me dit...

          Posté par  (Mastodon) . Évalué à 10. Dernière modification le 09 novembre 2019 à 09:08.

          il suffirait que les applications web desservent une page 404 à qui n'a pas donné son consentement.

          Moi ça me va.
          Complètement.

          • [^] # Re: Mon petit doigt me dit...

            Posté par  . Évalué à 1.

            Salut,

            Moi ça me va.
            Complètement.

            Oui, moi aussi. Mais je crois qu'on est ici dans un échange technique, pas d'un usage pratique. Je peux me tromper, mais je crois qu'il y a une légère déviation dans la force par rapport au 'nal initial qui parlait plus d'inféodation.

            Entre gens bien pensants, si c'est non des deux côtés, évidemment que le désaccord est conclu (tout comme si c'est oui des deux côtés, et dans ce cas, accord).

            La solution technique échangée et sur laquelle on semble tomber d'accord remet en cause un certain nombre de principes que j'ai, comme le droit à l'accès à l'information, le partage.

            Ce sont des principes que j'estime plus intéressants que la situation de désaccord où chacun boude dans son coin (pan !). Et voilà. Forcer la main dans un sens ou dans l'autre ne me semble aucunement une situation gagnante pour la plupart des utilisateurs. Car techniquement, c'est juste forcer la main nos solutions, hein :)

            Matricule 23415

    • [^] # Re: Mon petit doigt me dit...

      Posté par  . Évalué à 6.

      Faire des sites qui ne passent pas leur vie à espionner leurs utilisateurs pour optimiser la publicité ciblée ? Parce que pour avoir de simples stats pas trop intrusive, il n'y a pas besoin de mettre de bandeau. Reste le cas du suivi des utilisateurs pour savoir qui revient et combien de fois, mais l'essentiel de la toile doit pouvoir vivre sans ça, non ? Et faire des sites utilisables.

  • # Réponse : 0

    Posté par  . Évalué à 10.

    Avez-vous compté combien de fois par jour vous cliquez sur un bouton "J'accepte" à propos du traitement qui est fait à propos de vos données (cookies) ?

    Le secret : I don't care about cookie. Bien configuré pour refuser les demandes de chaque site.
    Mais c'est vrai que le Web est devenu bien moche depuis le RGPD, même si on nous dit que c'est pour notre bien…

  • # Classique.

    Posté par  (site web personnel) . Évalué à 8.

    Avez-vous compté combien de fois par jour vous cliquez sur un bouton "J'accepte" à propos du traitement qui est fait à propos de vos données (cookies) ?

    zéro.

    Ce qui pouvait passer pour une alerte intempestive mais bien intentionnée au début, n'est-ce pas devenu un remède (l'asservissement) bien pire que le mal (les cookies) ?

    Bien sûr que si, et ça n'a rien de nouveau, à ranger dans les idées à la con comme l'obligation de faire payer le transport (donc 0.01 €) ou d'interdire les extraits sans accord (donc on demande l'accord à 0 €), ce sont juste des usines à gaz de gens qui pensent que leurs idées seront acceptées en forçant les gens à faire des choses débiles.
    Au final, les gens cliquent sur "oui" sans lire à force d'avoir ça, et les entreprises peuvent dire qu'elles ont eu un accord explicite (ce qu'il n'est pas en pratique) contre les emmerdeurs qui demandaient cette loi (on ne sait pas pourquoi, mais ça avait l'air de leur faire plaisir à ces "défenseurs de la vie privée", le tout est qu'ils se fassent plaisir en se foutant des autres j'imagine…)

    Bref, un truc classique du défenseur de la veuve et de l'orphelin qui ne pense qu'à lui en réalité. Ni le premier, ni le dernier.

    • [^] # Re: Classique.

      Posté par  . Évalué à -4.

      Salut,

      Au final, les gens cliquent sur "oui" sans lire à force d'avoir ça, et les entreprises peuvent dire qu'elles ont eu un accord explicite (ce qu'il n'est pas en pratique) contre les emmerdeurs qui demandaient cette loi

      Ah, oui mais non.

      DL;DR: Pour avoir de quoi manger, je travaille dans le secteur; Par d'autres moments, je met un autre costume. Ce n'est pas grave, je suis né en Juin donc biffaceté. Ceci est totalement assumé.

      Qui sont les emmerdeurs au final ?

      Les utilisateurs.

      Ils voulaient plus de contrôle sur leur vie, ils l'ont. Ce n'est pas le groupe qui les a défendu sur lequel il faut s'appuyer. Ils ont fait leur job.

      De toute façon, c'était un boulot assez facile à ma connaissance : les commerciaux que j'ai pu croiser dénonçaient bien avant des lois plus strictes l'abus de pub.

      Je ne suis pas oracle, mais je crois que la tendance va aller en pire avec les nouveautés à venir.

      Moment changement de casquette

      Qui s'est présenté ici pour me relever d'activisme pendant deux semaines de vacances ? Une seule personne. Pas de bol, je ne calcule pas mes vacances avec celles scolaires.

      L'internet libéré ne passera que par une prise en considération : ce qui est libre n'est pas gratuit.

      Matricule 23415

  • # Puisque t'en parles :-)

    Posté par  . Évalué à 10.

    Hello,

    Avez-vous conscience de l'effet psychologique produit par le fait d'accepter activement des traitemens sur vos données dont vous n'avez aucune idée de la teneur ?

    Tu viens de me faire réaliser que je passe un peu de temps à refuser tous les cookies ou quitter le site immédiatement si je n'en vois pas la possibilité.
    Je me rends compte que la RGPD stimule mon esprit de contradiction !
    Merci la RGPD !

    Julien_c'est_bien (y'a pas que Seb)

    • [^] # Re: Puisque t'en parles :-)

      Posté par  . Évalué à -1.

      Salut,

      Merci la RGPD !

      Alors déjà, vu que tu commet l'erreur à deux reprises, c'est le RGPD et pas la RGPD. (Oui, tu peux cliquer sur le lien, c'est la CNIL).

      Ensuite, je crois que tu te noie dans un verre d'eau. Si le site est ouvert, c'est probablement trop tard.

      Enfin, c'est toi qui voit.

      Matricule 23415

      • [^] # Re: Puisque t'en parles :-)

        Posté par  . Évalué à 2.

        Hello,

        En effet c'est un règlement !
        Je ne cherche pas à être anonyme ou invisible sur le web, c'est impossible j'en ai bien conscience. C'est juste que si le webmaster préfère me proposer une UX dégueulasse pour pouvoir me tracer, je l'aide en me traçant sans délais ;-)

        Julien_c'est_bien (y'a pas que Seb)

  • # Un geek rentre dans un bar

    Posté par  (site web personnel) . Évalué à 10.

    Et avant d'avoir pu lire la carte des boissons, on lui demander d'accepter un règlement de 42 pages ainsi que la revente des images de sa personne prise par la vidéosurveillance à des fins commerciales.

    Un serveur lui demande ensuite son adresse, son mail ou son numéro de téléphone pour le tenir au courant des prochaines soirées à thèmes.

    Ayant enfin choisit une bière belge brune après avoir reçu 12 sollicitations pour acheter la bière croate blanche en promo, notre héro passe enfin commande.

    Le serveur lui demande alors ses noms, prénoms, adresse, mail, téléphone, date de naissance et orientations sexuelles pour lui créer une ardoise obligatoire pour commander.

    Il ne pourra supprimer cette ardoise qu'en écrivant au siège de la franchise par lettre recommandée avec photocopie de son passeport.

    Dans le monde "physique" ce bar ferait faillite au bout d'un mois.

    Sur le web, les sites qui font la même chose squattent les premières pages des moteurs de recherche.

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # Re: Un geek rentre dans un bar

      Posté par  . Évalué à -5. Dernière modification le 09 novembre 2019 à 18:37.

      Salut,

      Je lui dis que je suis désolé, mais je préfère les blondes, et je m'en vais.

      Ça c'est réel.

      Sur le web, les sites qui font la même chose squattent les premières pages des moteurs de recherche.

      Le web n'est que ce que tu en fais. Comme le monde. Si tu ne vas pas voir, bah il y a peu de chances de retrouver ce "bar" hypothétique ouvert.

      Si tes voisins y vont, et que tu n'arrive pas à les convaincre qu'une blonde c'est mieux qu'une brune, c'est un autre problème : cela relève des brèves de comptoir.

      Je te croyais moins naïf ;)

      Matricule 23415

      • [^] # Re: Un geek rentre dans un bar

        Posté par  (site web personnel) . Évalué à 3.

        Je pense qu'il y a ici un problématique d'éducation et de société.
        Le premier cas nous choque tous, alors que dans le monde du web, il faut reconnaître que c'est la "norme".
        Le premier cas existe depuis des siècles, le deuxième se compte en décennie(s) tout au plus.

        La société a donc eu le temps d'épurer les mauvaise pratiques dans le premier cas, et pas dans le deuxième, ou les conséquences ne sont pas encore bien comprises.

        Il faudra des exemples et de l'éducation pour que les choses évolues. Malheureusement, ça risque d'être un peu long, ce qui explique notre frustration.

        • [^] # Re: Un geek rentre dans un bar

          Posté par  (site web personnel) . Évalué à 3. Dernière modification le 12 novembre 2019 à 09:06.

          Sauf que dans ce cas, ce n'est pas la société, mais les moteurs de recherche qui sont en cause.

          Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # Re: Un geek rentre dans un bar

      Posté par  . Évalué à 4.

      Dans le monde "physique" ce bar ferait faillite au bout d'un mois.

      Bon ben assieds-toi et cramponne-toi bien, tu vas prendre une méchante claque.

      Ça existe déjà.

      En gros tu as des bars qui affichent en grand sur leur devanture qu'ils ont certain nombre de bières en pression très réputées. Tu rentres, et au bar tu ne vois que deux-trois tireuses de bières ordinaires. Et quand tu demandes au barman où est la bière promise, il te montre des tables au fond du bar, chacune équipée d'une tireuse, en te demandant "Vous avez la carte ?". En fait, ce sont des tireuses en libre service, qui nécessitent une carte RFID liée à un compte que tu enregistres auprès du barman. La carte est créditée et rechargeable (je ne sais pas comment), on bipe sur une tireuse à bière et on peut se servir.

      Je ne sais pas si ça marche, je n'ai jamais vu personne utiliser ça, mais ça fait bien 2-3 ans que ça existe et c'est toujours là.

      Le jour où ça se généralisera les bars seront aussi agréables que le web actuel.

      *splash!*

      • [^] # Re: Un geek rentre dans un bar

        Posté par  . Évalué à 2.

        J'avais trouvé le principe de ce genre de bar très intéressant, j'ai testé ça une dizaine de fois, mais aujourd'hui je préfère me faire servir ma bière par quelqu'un qui sait faire ça mieux que moi.

        Car quand tu te sers plus de mousse que de bière hé ben c'est tant pis pour toi, ton compte est débité quand même. Alors que si c'est un serveur qui se rate, il recommence sans te faire payer son ratage.

        Et puis même quand tu es suffisamment habile pour te servir ta bière toi-même mais que tu tombes sur une tireuse quasi-vide, tu te fais aussi débiter automatiquement pour de la mousse. Tu peux évidemment aller réclamer un remboursement et un remplacement de la tireuse… Mais en général cela arrive lorsque la soirée bat son plein et le personnel (aux effectifs réduits) est très occupé. Il faut alors se préparer à faire la queue pendant près de 30min… En général je préfère lâcher l'affaire.

        Je préfère donc passer du temps à discuter/rigoler avec des amis qu'à apprendre à tirer des bières correctement.

  • # Accuse-t-on les mauvaises personnes des dérives du RGPD?

    Posté par  . Évalué à 10.

    Le RGPD a des failles, mais il part d'une volonté de nous redonner le contrôle sur nos données, ce que je trouve être une bonne chose et il y a quand même des choses plutôt positives dedans comme le fait de ne plus permettre aux entreprises de se réfugier derrière leur loi locale et de dire qu'on ne peut aller que devant leur tribunal local puisque, maintenant, c'est devant les tribunaux européens qu'elles doivent se défendre ce qui nous permettra de faire respecter nos droits plus facilement que de devoir démarrer une démarche judiciaire à l'étranger.

    Ensuite, j'ai envie de dire, quels sont les sites web qui respectent réellement le RGPD? Ils ne sont pas nombreux à mon avis. Si j'ai bien compris, lorsqu'il faut demander le consentement à l'utilisateur, ce consentement doit être explicite et positif, cela implique que des mécanismes d'opt-in, l'opt-out, encore une fois si j'ai bien compris, n'est pas légal au regard du RGPD. Je n'ai pas vu beaucoup de sites utiliser un mécanisme d'opt-in. Sans parler du fait que lorsqu'on refuse, on est régulièrement resollicité concernant notre consentement. Dans la mesure où le RGPD dit qu'il doit être aussi facile d'accepter que de refuser un traitement de données, je ne suis pas certain que cela soit un mécanisme légal. Donc, pour moi, si c'est chiant pour l'utilisateur final de refuser le traitement de ses données, c'est de la faute des sites web qui, pour moi, ne respecte pas la législation, ce n'est pas la faute de la législation : ce n'est pas si compliqué que cela de faire un formulaire de consentement où il y a un joli bouton "non" et qui ne réapparait pas tous les deux jours. Ou alors, comme cela doit être un mécanisme d'opt-in, on pourrait juste mettre un petit lien en bas de la page pour accepter le traitement en partant du principe qu'il est par défaut refusé, mais je sais que je rêve éveillé de ce point de vue là. Mais quand on voit la manière dont, par exemple, les sites de Verizon gère la demande de consentement, c'est du foutage de gueule, je n'ai toujours pas réussi à trouver comment m'opposer au traitement de mes données chez eux. On en a parlé ici d'ailleurs, je crois.

    Après, viens la question de quand est-ce qu'il faut demander le consentement de l'utilisateur? Je ne vais pas réciter tout le RGPD, juste m'attarder sur le point problématique à mon avis : quand l'entreprise a un intérêt légitime à la récolte de données, il n'y a pas besoin de récupérer notre consentement. Problème, qu'est-ce qui rentre dans l'intérêt légitime? Ce sera la jurisprudence qui le dira, en attendant, ça reste difficile à vraiment savoir et c'est quand même un peu problématique pour les entreprises qui prennent un risque juridique et pour nous qui ne pouvons pas savoir qu'elle est la portée de cet intérêt légitime.

    Une des plus grosses failles du RGPD est, à mon avis, d'avoir retirer la capacité de la CNIL d'autoriser ou de réfuter préalablement un traitement de données et de l'avoir limité à un rôle de contrôleur puisque maintenant les entreprises ne doivent plus obtenir une autorisation préalable à un traitement de données, uniquement le déclarer auprès de la CNIL. Charge à la CNIL, a posteriori, de contrôler le bon respect du RGPD.

    Après, j'ai aussi un soucis avec la politique de la CNIL en ce moment : plus d'un an après que le RGPD est entré en application, trois qu'il a été voté, la CNIL a des décisions bizarres comme celle de dire que, finalement, la poursuite de navigation vaut toujours pour consentement jusqu'en 2020 alors que c'est depuis le 25 mai 2018 que ce n'est plus valable. Le RGPD étant un règlement européen, je ne suis pas certain que la CNIL ait une telle marge de manœuvre. D'ailleurs cette décision a été attaquée en justice par LQDN notamment. Ainsi, plus de 4 ans après le vote du RGPD, et 2 ans après son entrée en application, la CNIL ne sanctionnera toujours pas la non conformité au RGPD de ce point de vue là. Donc finalement, qu'est-ce qui pousse les entreprises à respecter le RGPD? Pas grand-chose vu à quel point la CNIL peut être conciliante.

    Donc, oui il y a des failles dans le RGPD et il y a des choses à améliorer, et après chacun voit midi à sa porte aussi, on peut très bien considérer que le fait d'avoir un accès gratuit à tous les services qui existent aujourd'hui vaut bien le fait d'accepter la récolte des données. Encore faut-il savoir ce qui est récupéré et dans quel but, sinon c'est un jeu de dupes. Mais par contre, retourner ceux à qui ça convient ou ceux qui s'en moquent contre ceux qui ne s'en moquent pas et à qui ça ne convient en emmerdant l'utilisateur final, ça ne vaut rien d'un point de vue argumentaire, c'est uniquement jouer sur les émotions et l'énervement des gens sur quelque chose qui leur fait effectivement perdre du temps.

    Personnellement, je ne suis pas certain que le modèle du tout gratuit sur Internet soit le plus sain, et je suis tout à fait prêt à payer pour les services que j'utilise en échange du fait que mes données ne soient pas utiliser pour du profilage et du ciblage, les entreprises n'étant pas philanthropes. Cependant, je n'en ai parfois même pas la possibilité.

    • [^] # Re: Accuse-t-on les mauvaises personnes des dérives du RGPD?

      Posté par  . Évalué à 2.

      Salut,

      Oui, et j'en suis sûr.

      Il ne me reste qu'à t'en convaincre, avec ton pavé, ce qui me demandera de le décortiquer un peu. ;)

      Spoiler : Ma conviction, au delà des problèmes, est qu'on tape effectivement sur les mauvaises entités.

      Il s'agit d'une réponse de politiques qui ont mal compris le malaise. Ils ont entendu, mais pondu un truc qui va faire suer tout le monde.

      Voilà le cadre actuel, et toujours sans me prétendre oracle, je dis qu'avec e-privacy, on va vers de l'obscur.

      Tu noteras aussi que pour manger, je suis « publiciste », mais j'équilibre ma santé mentale en étant sur mon temps libre à l'opposé. Donc je connais un peu les deux bords du fleuve ;)

      Courage, allons-y avec tes remarques.

      Le RGPD a des failles, mais il part d'une volonté de nous redonner le contrôle sur nos données, ce que je trouve être une bonne chose et il y a quand même des choses plutôt positives dedans comme le fait de ne plus permettre aux entreprises de se réfugier derrière leur loi locale et de dire qu'on ne peut aller que devant leur tribunal local puisque, maintenant, c'est devant les tribunaux européens qu'elles doivent se défendre ce qui nous permettra de faire respecter nos droits plus facilement que de devoir démarrer une démarche judiciaire à l'étranger.

      En fait, si on fait un graphe, on remarque très vite que le RGPD ne fait que complexifier les choses par rapport à l'existant législatif précédent. Et avec e-privacy, je ne raconte pas le bazar. Même graphviz ne s'en sort plus :) (c'est un bon ami très à gauche qui m'a montré cet exemple ; je laisse le soin au lecteur attentif de le refaire).

      Donc sur ce point : Non. C'est une très mauvaise chose : si tu ne connais pas en tant qu'individuel la théorie des graphes, point de salut. En revanche, les GAFAM vont pouvoir te bouffer tout cru.

      L'union européenne ne va rien faire de plus, vu que c'est entendu.

      Ensuite, j'ai envie de dire, quels sont les sites web qui respectent réellement le RGPD? Ils ne sont pas nombreux à mon avis. Si j'ai bien compris, lorsqu'il faut demander le consentement à l'utilisateur, ce consentement doit être explicite et positif, cela implique que des mécanismes d'opt-in, l'opt-out, encore une fois si j'ai bien compris, n'est pas légal au regard du RGPD. Je n'ai pas vu beaucoup de sites utiliser un mécanisme d'opt-in. Sans parler du fait que lorsqu'on refuse, on est régulièrement resollicité concernant notre consentement. Dans la mesure où le RGPD dit qu'il doit être aussi facile d'accepter que de refuser un traitement de données, je ne suis pas certain que cela soit un mécanisme légal. Donc, pour moi, si c'est chiant pour l'utilisateur final de refuser le traitement de ses données, c'est de la faute des sites web qui, pour moi, ne respecte pas la législation, ce n'est pas la faute de la législation : ce n'est pas si compliqué que cela de faire un formulaire de consentement où il y a un joli bouton "non" et qui ne réapparait pas tous les deux jours. Ou alors, comme cela doit être un mécanisme d'opt-in, on pourrait juste mettre un petit lien en bas de la page pour accepter le traitement en partant du principe qu'il est par défaut refusé, mais je sais que je rêve éveillé de ce point de vue là. Mais quand on voit la manière dont, par exemple, les sites de Verizon gère la demande de consentement, c'est du foutage de gueule, je n'ai toujours pas réussi à trouver comment m'opposer au traitement de mes données chez eux. On en a parlé ici d'ailleurs, je crois.

      Là, on est dans une histoire de poule et de l'oeuf.

      C'est « kiki » se fout de la gueule de qui ?

      Si (moi) je pose pas un cookie pour savoir que (toi) tu as dit « non merci, m'faites plus chier », comment je fais pour plus te faire chier ?

      Totalement légal, cookie qui sera validé par la CNIL car pour bon fonctionnement du site.

      L'opt-in/opt-out est une autre chose : ce sont des conditions d'utilisations du site. Mais n'ont rien à voir à la technique. Ça, c'est à toi de décider au vu des CGU si tu accepte ou non.

      Après, viens la question de quand est-ce qu'il faut demander le consentement de l'utilisateur? Je ne vais pas réciter tout le RGPD, juste m'attarder sur le point problématique à mon avis : quand l'entreprise a un intérêt légitime à la récolte de données, il n'y a pas besoin de récupérer notre consentement. Problème, qu'est-ce qui rentre dans l'intérêt légitime? Ce sera la jurisprudence qui le dira, en attendant, ça reste difficile à vraiment savoir et c'est quand même un peu problématique pour les entreprises qui prennent un risque juridique et pour nous qui ne pouvons pas savoir qu'elle est la portée de cet intérêt légitime.

      Oui, je confirme que c'est un problème de jurisprudence et que ça peut piquer à qui s'y frotte.

      C'est bien pour cela que mon employeur se dégage actuellement au possible de ce genre de trucs moisis. Ça, ça pue.

      Reste à savoir combien ne se conformeront pas. Mais là, ce n'est plus mon soucis.

      Dura lex, sed lex

      Une des plus grosses failles du RGPD est, à mon avis, d'avoir retirer la capacité de la CNIL d'autoriser ou de réfuter préalablement un traitement de données et de l'avoir limité à un rôle de contrôleur puisque maintenant les entreprises ne doivent plus obtenir une autorisation préalable à un traitement de données, uniquement le déclarer auprès de la CNIL. Charge à la CNIL, a posteriori, de contrôler le bon respect du RGPD.

      Rien à voir.

      La CNIL existe au moins depuis 30 ans. C'est un organisme d'état français. Le RGPD est quant à lui bien plus jeune et pas nationalisé :)

      Après, j'ai aussi un soucis avec la politique de la CNIL en ce moment : plus d'un an après que le RGPD est entré en application, trois qu'il a été voté, la CNIL a des décisions bizarres comme celle de dire que, finalement, la poursuite de navigation vaut toujours pour consentement jusqu'en 2020 alors que c'est depuis le 25 mai 2018 que ce n'est plus valable. Le RGPD étant un règlement européen, je ne suis pas certain que la CNIL ait une telle marge de manœuvre. D'ailleurs cette décision a été attaquée en justice par LQDN notamment. Ainsi, plus de 4 ans après le vote du RGPD, et 2 ans après son entrée en application, la CNIL ne sanctionnera toujours pas la non conformité au RGPD de ce point de vue là. Donc finalement, qu'est-ce qui pousse les entreprises à respecter le RGPD? Pas grand-chose vu à quel point la CNIL peut être conciliante.

      Lapin compris les dates. Et je vois pas le soucis.

      Donc, oui il y a des failles dans le RGPD et il y a des choses à améliorer, et après chacun voit midi à sa porte aussi, on peut très bien considérer que le fait d'avoir un accès gratuit à tous les services qui existent aujourd'hui vaut bien le fait d'accepter la récolte des données. Encore faut-il savoir ce qui est récupéré et dans quel but, sinon c'est un jeu de dupes. Mais par contre, retourner ceux à qui ça convient ou ceux qui s'en moquent contre ceux qui ne s'en moquent pas et à qui ça ne convient en emmerdant l'utilisateur final, ça ne vaut rien d'un point de vue argumentaire, c'est uniquement jouer sur les émotions et l'énervement des gens sur quelque chose qui leur fait effectivement perdre du temps.

      Ah, j'en suis presque au bout.

      Donc oui, moi aussi je suis sur ce ton de corde.

      C'est tout :)

      Personnellement, je ne suis pas certain que le modèle du tout gratuit sur Internet soit le plus sain, et je suis tout à fait prêt à payer pour les services que j'utilise en échange du fait que mes données ne soient pas utiliser pour du profilage et du ciblage, les entreprises n'étant pas philanthropes. Cependant, je n'en ai parfois même pas la possibilité.

      Rejoindre un monde à prix-libre est encore pire, crois-moi.

      Y'en a qui pensent que c'est gratuit et il y a les autres.

      Matricule 23415

      • [^] # Re: Accuse-t-on les mauvaises personnes des dérives du RGPD?

        Posté par  . Évalué à 2.

        Salut,

        Merci pour ta réponse, je sais que c'est un long pavé que j'ai pondu mais j'essaie d'être exhaustif sur ma pensée pour éviter les quiproquos.

        En fait, si on fait un graphe, on remarque très vite que le RGPD ne fait que complexifier les choses par rapport à l'existant législatif précédent. Et avec e-privacy, je ne raconte pas le bazar. Même graphviz ne s'en sort plus :) (c'est un bon ami très à gauche qui m'a montré cet exemple ; je laisse le soin au lecteur attentif de le refaire).

        Donc sur ce point : Non. C'est une très mauvaise chose : si tu ne connais pas en tant qu'individuel la théorie des graphes, point de salut. En revanche, les GAFAM vont pouvoir te bouffer tout cru.

        L'union européenne ne va rien faire de plus, vu que c'est entendu.

        J'avoue que je ne connais dans le détail ce qui est dans e-privacy, j'en suis resté au fait que c'est encore en discussion. Faudrait que je me renseigne plus en détail là-dessus.

        Là, on est dans une histoire de poule et de l'oeuf.

        C'est « kiki » se fout de la gueule de qui ?

        Si (moi) je pose pas un cookie pour savoir que (toi) tu as dit « non merci, m'faites plus chier », comment je fais pour plus te faire chier ?

        Totalement légal, cookie qui sera validé par la CNIL car pour bon fonctionnement du site.

        L'opt-in/opt-out est une autre chose : ce sont des conditions d'utilisations du site. Mais n'ont rien à voir à la technique. Ça, c'est à toi de décider au vu des CGU si tu accepte ou non.

        Dans ce paragraphe je parlais dans le cas où il faut demander le consentement, je sais qu'il y a des cas où ce n'est pas nécessaires, comme les données nécessaires au bon fonctionnement du site web, celles pour mener à bien un contrat, pour respecter la loi, etc. Et heureusement qu'il y a ces cas qui permettent de ne pas demander le consentement sinon ce serait très compliqué quand même.

        Donc je n'ai pas de soucis avec le fait qu'un cookie soit déposé pour retenir mon choix. Je ne vois pas le cookie comme un instrument du mal absolu. Ce n'est qu'un bout de donnée en soit. Ma critique est sur le fait que pour refuser un traitement de données quand c'est possible, c'est parfois très compliqué, à la limite du dark pattern. Je ne veux pas non plus faire de procès d'intention sur si c'est fait exprès ou pas mais je ne pense pas que ça soit si compliqué que cela de faire un formulaire simple et claire pour l'utilisateur.

        Enfin, pour l'opt-in/opt-out, j'entendais le fait que dans un cas tout est décoché et c'est à nous de cocher ce pour quoi on est d'accord et dans l'autre cas tout est coché et c'est à nous de décocher ce pour quoi on n'est pas d'accord. Mais j'utilise peut-être les mauvais termes.

        Rien à voir.

        La CNIL existe au moins depuis 30 ans. C'est un organisme d'état français. Le RGPD est quant à lui bien plus jeune et pas nationalisé :)

        Je sais que la CNIL a été créée à la suite de la tentative de loi SAFARI. Ce que je voulais dire c'est qu'avec le RGPD, la CNIL est passée d'un rôle où elle autorisait préalablement à un rôle où elle contrôle a posteriori, si j'ai bien compris. Je ne sais pas si j'ai été très clair.

        Lapin compris les dates. Et je vois pas le soucis.

        Le soucis pour moi est que la CNIL dise que pendant encore un an, la poursuite de navigation est considérée comme mode de consentement valable alors que le RGPD dit que non ce n'est pas le cas.

        Rejoindre un monde à prix-libre est encore pire, crois-moi.

        Y'en a qui pensent que c'est gratuit et il y a les autres.

        J'avoue que je ne sais pas. Ce que je sais c'est qu'effectivement, ce n'est pas gratuit et qu'un certain nombre d'entreprises ont décidé de faire supporter le coût par l'affichage de publicité ou la récolte de données. Après, est-ce que ce serait si cher que ça à payer? Je loupe peut-être aussi d'autre problématiques que simplement le coût.

        • [^] # Re: Accuse-t-on les mauvaises personnes des dérives du RGPD?

          Posté par  . Évalué à 4.

          Salut,

          Merci pour ta réponse, je sais que c'est un long pavé que j'ai pondu mais j'essaie d'être exhaustif sur ma pensée pour éviter les quiproquos.

          L'effet n'était pas tant sur la longueur mais plus sur le côté monolithique à décortiquer un peu :-)

          J'avoue que je ne connais dans le détail ce qui est dans e-privacy, j'en suis resté au fait que c'est encore en discussion.

          Moi non plus je ne sais pas en détail ce qui est dedans, et surtout je laisse le soin aux personnes dont c'est le rôle de comprendre la loi et de me faire un résumé en mode ça tu peux ou ça tu peux pas afin de ne pas commettre d'impair : je ne suis pas juriste, même pas dev front. Donc assez loin de la problématique au jour le jour.

          Enfin, pour l'opt-in/opt-out, j'entendais le fait que dans un cas tout est décoché et c'est à nous de cocher ce pour quoi on est d'accord et dans l'autre cas tout est coché et c'est à nous de décocher ce pour quoi on n'est pas d'accord. Mais j'utilise peut-être les mauvais termes.

          Je me raccroche à la CNIL : Opt-in, opt-out, ça veut dire quoi ?

          Mais oui, c'est à peu près ça en terme d'UI.

          Ce que je voulais dire c'est qu'avec le RGPD, la CNIL est passée d'un rôle où elle autorisait préalablement à un rôle où elle contrôle a posteriori, si j'ai bien compris. Je ne sais pas si j'ai été très clair.

          Je ne crois pas que la loi ait changé là dessus. Je peux me tromper. Je crois que le RGPD vient juste s'appliquer « par dessus » et qu'on peut saisir la CNIL en cas de doute sur sa bonne application. En gros : juste du boulot de plus pour la CNIL.

          Le soucis pour moi est que la CNIL dise que pendant encore un an, la poursuite de navigation est considérée comme mode de consentement valable alors que le RGPD dit que non ce n'est pas le cas.

          Peux-tu indiquer un exemple ? Il s'agit peut-être simplement du temps nécessaire à la transposition en loi locale d'une directive européenne. Ça ne me choque pas plus que ça qu'il y ait un décalage d'un an entre des directives et leur application.

          J'avoue que je ne sais pas.

          De mon côté, j'ai une vision assez claire. L'association dont je fais partie n'est pas viable seule à prix libre. Peu d'utilisateurs jouent le jeu. Par chance, il y a un mécène qui absorbe pas mal de coûts fixes. Donc on s'en sort pour le moment sans avoir besoin de chouiner. Mais pour la majorité de nos utilisateurs, prix libre = gratuit. Il y en a quand même, il ne faut pas voir le verre à moitié vide quand il est à moitié plein.

          Revenir sur un modèle payant alors que « le monde » - je veux dire par là, les utilisateurs - est maintenant habitué aux GAFAM "gratuits" (rappel : si c'est gratuit, c'est toi le produit) a un coût humain énorme, il faut défaire tout ce qui a été fait. Un par un.

          Matricule 23415

          • [^] # Re: Accuse-t-on les mauvaises personnes des dérives du RGPD?

            Posté par  . Évalué à 2. Dernière modification le 11 novembre 2019 à 11:39.

            Je ne crois pas que la loi ait changé là dessus. Je peux me tromper. Je crois que le RGPD vient juste s'appliquer « par dessus » et qu'on peut saisir la CNIL en cas de doute sur sa bonne application. En gros : juste du boulot de plus pour la CNIL.

            La plupart de mes connaissances sur le RGPD me viennent des articles qu'à fait Nextinpact sur le sujet. Du coup, je vais donner un lien vers Nextinpact et plus particulièrement l'article qui couvre le projet de reconnaissance faciale à l'entrée de deux lycée niçois. La CNIL a expliqué à Nextinpact que :

            Nous n’avons plus de « feu vert » à donner comme c’était le cas pour les autorisations, mais nous les avons aidés à l’élaboration de leur projet d’expérimentation.

            D'où le fait que je dise que, avec le RGPD, la CNIL n'a plus d'autorisations à donner alors que c'était le cas avant, si j'ai bien compris.

            Peux-tu indiquer un exemple ? Il s'agit peut-être simplement du temps nécessaire à la transposition en loi locale d'une directive européenne. Ça ne me choque pas plus que ça qu'il y ait un décalage d'un an entre des directives et leur application.

            Je ne suis pas juriste, donc c'est à prendre avec un grain de sel, mais si j'ai bien compris, comme il s'agit d'une réglementation, il n'y a pas besoin d'adaptations dans la loi locale pour que ça entre en application.

            Pour rappel, le RGPD a été voté en 2016 et l'UE a décidé de laisser deux ans, jusqu'au 25 mai 2018, aux entreprises pour se mettre en conformité.

            Cependant, en juin dernier, la CNIL a fixé ses lignes directrices concernant les cookies et les traceurs. Elle a dit que la poursuite de navigation ne vaut plus pour consentement. Mais elle a, en gros, décidé de laisser jusqu'à mi-2020 aux différents acteurs le temps de s'adapter alors qu'au vu de la définition du consentement donnée par le RGPD votée en 2016, on pouvait se douter que cela ne serait plus possible d'utiliser la poursuite de la navigation comme mode d'expression de consentement valable.

            LQDN a alors estimé que la CNIL outrepassait ses pouvoirs en prenant une décision contraire au RGPD et donc illégale. Et j'ai tendance à être d'accord avec eux sur point-là, puisque c'est depuis le 25 mai 2018 que l'on peut raisonnablement considéré que la poursuite de navigation n'est plus un mode d'expression de consentement valable et la CNIL ne prévoit de sanctionner un tel manquement que mi-2020 au plus tôt, soit 4 ans après le vote du RGPD et 2 ans après son entrée en application effective.

            De mon côté, j'ai une vision assez claire. L'association dont je fais partie n'est pas viable seule à prix libre. Peu d'utilisateurs jouent le jeu. Par chance, il y a un mécène qui absorbe pas mal de coûts fixes. Donc on s'en sort pour le moment sans avoir besoin de chouiner. Mais pour la majorité de nos utilisateurs, prix libre = gratuit. Il y en a quand même, il ne faut pas voir le verre à moitié vide quand il est à moitié plein.

            Je n'avais pas compris que, par prix libre, tu entendais que chacun fixe le prix qu'il veut payer. Du coup, oui je suis d'accord avec toi.

            Revenir sur un modèle payant alors que « le monde » - je veux dire par là, les utilisateurs - est maintenant habitué aux GAFAM "gratuits" (rappel : si c'est gratuit, c'est toi le produit) a un coût humain énorme, il faut défaire tout ce qui a été fait. Un par un.

            Pour le coup, c'est ce que je souhaiterais, un retour à un modèle payant, que je pense plus sain. Mais je suis d'accord avec toi que cela à un coût humain énorme : de ce point de vu là, les GAFAM ont très bien réussi à nous habituer à avoir accès à plein de services "gratuits". Et à titre personnel, il m'a effectivement fallu un certain temps pour me dire que ce n'était pas ce que je voulais et que, même si c'est très pratique, je ne veux pas qu'ils puissent s'en servir pour générer et récupérer des données personnelles sur moi.

    • [^] # Re: Accuse-t-on les mauvaises personnes des dérives du RGPD?

      Posté par  (site web personnel) . Évalué à -5.

      Une des plus grosses failles du RGPD est …

      Pour moi la plus grosse faille du RGPD est que techniquement ce n'est pas possible de faire un truc full-rgpd-compliant:

      • tu refuse le traitement automatisé de tes données personnelles: ok, comment je stocke ton refus sans traiter automatiquement tes données ?
      • tu te connecte à un serveur web: comment je te demande l'accord de traiter ta première donnée 'personnelle' (ton adresse IP) avant même de pouvoir te répondre, de loguer ta requete, …

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.