Avec l'arrivée le 25 mai 2018 du nouveau règlement sur la protection des données, je suis à la recherche d'infos concrètes et complètes sur ce qui est attendu de la part des sites internet pour se mettre en conformité. Je me disais qu'OpenClassrooms aurait forcément une section dédiée vu l'importance du truc, mais je ne l'ai pas trouvée.
Alors personnellement, mes sites ne collectent pas directement d'infos autrement que par formulaires (donc avec un utilisateur clairement au courant de ce qu'il fait) mais sur certains Google Analytics est activé, sur d'autres, Hotjar, et sur quasi tous des boutons de partage. Y a même un Wordpress.
Certains d'entre vous auraient-ils des infos utiles ?
Merci, je ne savais pas trop où poster. Je me disais qu'OC, comme lieu d'apprentissage de codage internet (notamment), aurait fait un cours sur ce changement important. Ca me semblerait utile pour tous ceux qui comme moi sont intéressés par la création et non par le côté légal du suivi des visiteurs.
Ils s'agit de lois et pas de code, ce n'est pas tout à fait la même chose, ni même les même personnes qui gere ca dans une entreprise.
Et faire un cours ça prend tu temps et donc de l'argent et vu toutes les sources ayant analyser ces lois je sais pas si faire un cours serait vraiment interessant.
Je t'avoue que meme moi je n'y comprend rien. Quand tu as un pauvre portfolio je pense que ce n'est pas grave ... en revanche lorsque tu as des forums, des reseaux sociaux ... la RGPD est vraiment ultra relou. Et lorsque j'en parle a mes collegues japonais ils se foutent de ma gueule car pour eux cette loi c'est du gros n'importe quoi.
en meme temps RGPD = Règlement général sur la protection des données
Donc si tu geres pas de donnees, t'es pas concerne...
Ensuite pour resumer tres rapidement le RGPD :
L'utilisateur doit pouvoir acceder a tous les donnees que vous possedez sur lui dans un format exploitable;
Tu dois pas demander a l'utilisateur des donnees dont tu n'as pas besoin.
Si tu veux envoyer des mails a un utilisateur, tu dois lui demander l'autorisation (et ce pour chaque type d'email que tu souhaites envoyer)
Tu dois enregistrer qui accede aux donnees d'un utilisateur et pourquoi il y accede
et tu ne dois pas stocker des donnees sur un utilisateur plus longtemps que necessaire.
Donc personnellement je vois pas vraiment pourauoi quelqu'un dirait que c'est n'importe quoi, peut-etre un peu chiant pour certains points pour les petites entreprises mais c'est tout.
Exemple 1: si tu utilises adsense sur ton site: tu dois prevenir l'internaute en mettant clairement un message. Tant que l'internaute n'a pas accepte, tu ne peux pas mettre de publicite personnalise sur ton site. Ce qui sous entend que pour un meme espace publicitaire, tu dois avoir 2 types d'annonces.
Exemple 2: si tu utilise Google Analytics tu dois prevenir l'internaute en mettant clairement un message. Tant que l'internaute n'a pas accepte, tu ne peux pas integrer Google Analytics sur ta page.
Il ne faut pas forcer le trait ... Tu peux tout à fait faire une page d'accueil expliquant toutes les interactions extérieures induites par la navigation sur ton site (cookies, analytics, ads, etc.) qui s'affiche tant que l'utilisateur n'a pas accepté ... Tu mémorises ce choix dans un cookie (dont tu auras prévenu l'utilisateur de l'existence, du rôle et de la durée de conservation ...) et le tour est joué ...
Alors certes en fonction de certains reglages il faudra ne pas charger certains scripts mais ce n'est pas non plus très compliquer à faire. (Un peu chiant pour certains outils malgré tout mais bon...)
Alors certes en fonction de certains reglages il faudra ne pas charger certains scripts mais ce n'est pas non plus très compliquer à faire. (Un peu chiant pour certains outils malgré tout mais bon...)
Yep, mais là, ça ne concerne que la gestion des cookies. La loi sur les cookies est en place depuis déjà un petit moment en fait, et dont la majorité des sites ne faisait pas comme il faut.
Concernant la RGPD, ce qu'il faut retenir, c'est qu'il est nécessaire d'avoir le consentement des gens à garder/utiliser leurs données personnelles. Et bien sûr, ces mêmes gens ont un droit de regard/modifier/supprimer ces dites données personnelles.
Là où ça devient compliqué, c'est de qualifier une donnée "personnelle". Une adresse IP à elle seule (dans les logs serveur par exemple), n'en est pas une en soit. Maintenant, si dans un formulaire d'inscription à une newsletter j'enregistre l'e-mail et l'IP (et le consentement bien sûr !), l'adresse IP étant rattaché à l'e-mail, je crois que ça devient plus complexe...
Au final, cette loi a un intérêt certains sur des gros sites où les gens n'ont pas conscience de laisser des traces. Sur un petit site vitrine du coiffeur du coin, est-ce que cette même loi à un intérêt... ?
ITu peux tout à fait faire une page d'accueil expliquant toutes les interactions extérieures induites par la navigation sur ton site (cookies, analytics, ads, etc.) qui s'affiche tant que l'utilisateur n'a pas accepté ... Tu mémorises ce choix dans un cookie (dont tu auras prévenu l'utilisateur de l'existence, du rôle et de la durée de conservation ...) et le tour est joué ...
Ce n'est pas aussi simple lol Un site n'est pas une maison. Les visiteurs n'arrivent pas forcement part la page d'accueil et generalement ils y viennent pour y trouver 1 information puis reparte (ex: tu cherches comment dire en japonais "je veux aller au toilette". Tu vas sur Google, il te propose un lien tu cliques. Tu arrives sur une page ou se trouver l'info. Ca y est c'est bon tu as trouve l'info ! Tu retournes ensuite sur Google).
Donc au moins que tu forces tes internautes a accepter tes conditions (en mettant un overlay sombre et une espece de "popup") ils continueront a consulter ta page sans rien accepter (c'est mon cas).
Hors je crois (en regardant sur les forums de adsense et autre de google) que tu n'as pas le droit de mettre le tracking de google analytics tant que l'internaute n'a pas accepte. Hors comme je l'ai dis plus haut, si l'internaute est venu sur ton site pour trouver UNE info et UNE seule et qu'il l'a trouve sur la 1er page ... pourquoi prendrait il le temps d'excepter les cookies, google analytics et autre?
(PS: C'est different dans le cas ou l'internaute va rester longtemps sur le site et consulter plusieurs pages)
Les donnees de Google Analytics, Adsense, Widget Facebook, Google Map, etc... elles ne sont pas de toi. Or d'apres ce que j'ai compris, tu dois les desactiver tant que l'internaute n'a pas accepter les conditions. Donc si tu as un site avec des pages ou sont integres des Map de Google, eh bien tu dois les desactiver tant que l'internaute n'a pas accepter les conditions ... du coup ces pages perdent de la valeur, non ?
Si c'est juste informer ce que toi tu fais des donnees sur ton site, ok mais devoir desactiver Google Map, Google Analytics, etc... ce n'est pas un peu casse pieds?
Il est important de noter que pour être conforme au RGPD, votre site doit permettre aux internautes de consentir au traitement de leurs données lorsque vous utilisez des services sur votre site (exemple Google Analytics, Adsense, Adwords, …) qui collectent et traitent les données suivantes : Nom et prénom Adresse IP Données de localisation (traceur) Adresse courriel Adresse postale Numéro de téléphone Numéro d’identification / mot de passe Données sensibles comme les données sur le physique des personnes, etc. N’oubliez donc pas de désactiver tous les services annexes et widgets (Google Analytics , Carte Google Map, …) tant qu’il n’y a pas eu de clic sur “Accepter” ou que le visiteur a cliqué sur « Refuser » !
N’oubliez donc pas de désactiver tous les services annexes et widgets (Google Analytics , Carte Google Map, …) tant qu’il n’y a pas eu de clic sur “Accepter” ou que le visiteur a cliqué sur « Refuser » !
Comme c'est déjà le cas pour les cookies, vous devez demander le consentement de manière explicite à l'internaute pour la collecte/traitement de données personnelles telles que l'adresse IP, prénom, nom, etc. C'est valable pour tous les services : Google Analytics/Adsense/Adwords, Facebook, Twitter, AddThis, etc.
C'est valable pour tous les services : Google Analytics/Adsense/Adwords, Facebook, Twitter, AddThis, etc.
Cela sous entend egalement les sites qui ont integres des videos de Youtube (car Youtube = Google = Sauvegarde de donnees personnelles) ?
- Qui plus est le site doit forcement etre en https, donc a partir de vendredi 25 mai tout les sites en http qui collecte des donnes (n'importe laquelle: juste l'ip, l'email, pseudo, photo, like facebook sur la page, google map sur la page, etc..) seront en infraction.
- Ensuite, il faut que les donnees que tu enregistres soit chiffres si sera en infraction.
- Tu es dans l'obligation de permettre aux membres dont tu as des donnees de pouvoir les consulter et pouvoir les exporter. Punaise, vous imaginer le truc 5 secondes ?! Imaginons que tu n'es pas du tout developpeur et que tu as un blog actif avec des membres. Eh bien tu dois permettre a tes membres de pouvoir exporter les commentaires qu'ils ont laisse sur ton blog, les messages privees, les donnees de son profil, etc..
- Il faut demander l'age de l'utilisateur si tu as du contenu de plus de 13 ans.
- Si tu fais des sauvegardes (des backup), ils doivent etre chiffre !
- Si un membre souhaite supprimer ses donnees, tu as 1 mois pour les supprimer ... ok c'est cool. Maintenant imagine que tu as un system qui face des backup depuis 2002 (c'est un exemple), et qu'un membre souhaite que ses donnees personnelles soient supprimer. Tu es dans l'obligation de tout supprimer: y compris les donnees contenu dans les backup que tu as depuis 2002 (backup qui se trouve dans un serveur de backup, ou sur des disques dur externes ou dans tes factures ... CAR OUI MEME LES FACTURES SONT CONCERNES car tu ne dois garder aucune trace du membre). PS: Les backup que tu as depuis 2002, tu n'auras pas oublie de les chiffrer hein ?! Donc si elles ne le sont pas, tu devras les recuperer pour les chiffrer meme si elles sont anciennes.
- etc...
Si c'etait aussi simple, on aurait pas ce genre de choses:
Donc quand je dis que mes collegues japonais se foutent des europeens ce n'est pas une blague.
A vouloir essayer de stopper les Géants du Web de la GAFA (Google, Facebook, Amazon, Twitter, etc...) qui s'amusent a collecter les donnees (pour moi c'est NORMAL, car le bussiness americain est ainsi fait. Tu collectes et revent les donnees utilisateurs) eh bien ils font ch... tout le monde.
Dites moi comment dans de telles conditions un reseau social europeen (avec un potentiel pouvant egaler Facebook) peut voir le jour?
C'est tout simplement impossible avec leurs conneries. Si concurent de Facebook il y a un jour, il ne sera pas d'origine europeenne (ou le sera mais demenagera a l'etranger).
De ce que j'ai pu commencer à lire de mon côté, je rejoins Scion sur son analyse : c'est la cata à mettre "pour de vrai" en place. Je serais curieux de voir quelle proportion de sites fera effectivement tout ce qui est attendu, en dehors d'un simple passage en https et d'un bandeau qui en fait ne fera rien. Le coup de la suppression d'un membre va être particulièrement problématique sur certains sites. C'est la CNIL qu'il faudra appeler pour dénoncer un site suspect (ou juste pour emmerder un site concurrent) ? Comment ça se passera dans ce cas ? Y aura une police qui débarquera chez les hébergeurs pour tout analyser ?
Merci en tout cas pour vos avis et les liens fournis, je vais continuer à éplucher tout ça jusqu'à vendredi.
A part ça, je maintiens qu'un guide step-by-step pour mettre à jour son site qu'on a fait avec ses petits doigts grâce à un des cours OC aurait parfaitement sa place ici
Donc au moins que tu forces tes internautes a accepter tes conditions (en mettant un overlay sombre et une espece de "popup")
C'est bien ce que j'évoquais avec ma "page d'accueil" ... Tant que l'utilisateur n'a pas accepté (existence d'un cookie d'acceptation à tester pour chaque page) aucun contenu ne s'affiche ... Je ne vois rien de compliqué là dedans ... Les sites Oracle (MySQL par exemple) ont mis en place ce genre de cookies conditionnant la poursuite de la consultation de leurs sites depuis longtemps ...
Après, c'est vrai que le RGPD impose l'information des utilisateurs et l'acceptation de ceux-ci sur le traitement qui sera fait de leurs datas, mais il est évident que la plupart des utilisateurs ne liront pas et accepteront systématiquement sans se poser de question ... donc flop sur l'éducation à la gestion des données personnelles ...
Enfin, la plupart des sites évoqués ont un système d'identification, donc création de compte, donc facilités de gérer l'acceptation ... Une fois enregistré et connecté plus de problèmes avec le RGPD (sauf actualisation de la politique de protection des données, dans ce cas, il faudra refaire accepter l'utilisateur) ...
Donc au moins que tu forces tes internautes a accepter tes conditions (en mettant un overlay sombre et une espece de "popup")
C'est bien ce que j'évoquais avec ma "page d'accueil" ... Tant que l'utilisateur n'a pas accepté (existence d'un cookie d'acceptation à tester pour chaque page) aucun contenu ne s'affiche ... Je ne vois rien de compliqué là dedans ... Les sites Oracle (MySQL par exemple) ont mis en place ce genre de cookies conditionnant la poursuite de la consultation de leurs sites depuis longtemps ...
[...] Hors je crois (en regardant sur les forums de adsense et autre de google) que tu n'as pas le droit de mettre le tracking de google analytics tant que l'internaute n'a pas accepte. Hors comme je l'ai dis plus haut, si l'internaute est venu sur ton site pour trouver UNE info et UNE seule et qu'il l'a trouve sur la 1er page ... pourquoi prendrait il le temps d'excepter les cookies, google analytics et autre?
(PS: C'est different dans le cas ou l'internaute va rester longtemps sur le site et consulter plusieurs pages)
Oui, tant que les cookies ne sont pas acceptés, on ne peut/doit pas en déposer. Le cas d'une personne venant récupérer juste une info et qui repart aussitôt, est vrai, mais tu as des moyens de tracker anonymement ces visiteurs (qui participent à augmenter ton taux de rebond !).
Après c'est différent dans le cas où on reste sur plusieurs pages, oui, car on peut faire comme sur la CNIL, et ce dire, "s'il a continué de visiter le site sans refuser explicitement, c'est qu'il accepte". D'ailleurs, j'ai remarqué que mes proches non averti, eux quand ils naviguent, ne le voit même pas ce bandeau de cookie et le laisse tout le temps sans le fermer...
Bon ce genre de chose ferra fuire les internautes (je parle des messages intrusive comme la capture d'ecran de @Darev). On n'a pas trop le choix ! Mais je trouve ca completement stupide! Imaginons que tu as un site juste en francais ...eh bien tu ferras fuir tout les non francophone direct. Et imaginons que tu vives de ton site (certains y arrivent les chanceux), eh bien ce sera une enorme perte financiere !!!
Je ne pense pas que la CNIL viendra faire chi.. les petits et moyens sites. Elle se chargera d'abord des geants puis des gros sites. Mais bon ca fait un peu peur quoi.
Dans ce bandeau, il faut mettre un bouton "Accepter" (pas "Je comprend" ou "Je poursuis", etc...)
+ mettre un bouton pour Personnaliser les donnees dont on autorise la collectation
2) Une fois qu'on a cliquer sur le lien, on doit proposer a l'internaute des trucs dans ce genre:
L'internaute peut ainsi aller jusqu'a accepter ou non les videos Youtube
Par defaut, tant que l'internaute n'a pas accepter, on ne doit pas afficher les widgets (Google Map, Twitter, Fans Facebook, Tracking Code de Google Analytics, etc...).
Je vous laisse imaginer les sites qui affichent des cartes de Google (ex: site de location de maison/appartement) et/ou les blog qui integrent des videos de Youtube.
Je ne sais pas quoi dire face a cette loi... (car si je l'ouvre on va me critiquer en me protestant que "c'est bien" ou encore que "c'est normal" )
Comme souvent, ça va se résumer à ça : Qui se tape l'intégralité des pavés légaux ? Qui comprend réellement les conséquences de ce qu'il accepte ? Et surtout, qui au final est prêt à renoncer à un bien ou service si les conditions sont dangereuses ? Au final, on va rajouter une couche à lire et accepter sur tous les sites. Super. Bref, tout ça ne sert à rien, à mes yeux. A la limite, il faudrait aller vers un système à la Google Store : "cette application demande l'accès à ceci/cela/et aussi ça, êtes vous d'accord ?"
Je suis en train de désespérer en lisant le dossier Zdnet fourni en lien par <rv>. Heureusement, tout ne me concerne pas en tant qu'artisan de petits sites.
Donc ok, on a un bandeau + une page spéciale. Imaginons qu'un utilisateur clique sur "non" pour un des items de leur page. Qu'est ce qu'il se passe concrètement ? On vire l'utilisateur du site ? Comment dit-on à Google Analytics ou Hotjar "hé j'ai un visiteur là qui ne veut pas qu'on le suive !" ?
Bon ce genre de chose ferra fuire les internautes (je parle des messages intrusive comme la capture d'ecran de @Darev). On n'a pas trop le choix ! Mais je trouve ca completement stupide! Imaginons que tu as un site juste en francais ...eh bien tu ferras fuir tout les non francophone direct. Et imaginons que tu vives de ton site (certains y arrivent les chanceux), eh bien ce sera une enorme perte financiere !!!
[...]
Par defaut, tant que l'internaute n'a pas accepter, on ne doit pas afficher les widgets (Google Map, Twitter, Fans Facebook, Tracking Code de Google Analytics, etc...).
Je vous laisse imaginer les sites qui affichent des cartes de Google (ex: site de location de maison/appartement) et/ou les blog qui integrent des videos de Youtube.
C'est Européen la RGPD (oui je chipote), mais en gros, c'est pas juste pour la France.
Alors, vu comme tous les gros acteurs ont poussés du mailing par rapport à ça. Et aussi, là avec l'annonce de Microsoft qui va appliquer partout dans le monde la RGPD. Bon, je pense qu'au début sans doute que les gens seront pas habitué, et ça va joué des tours, mais à force, ça deviendra comme le fameux "j'accepte les conditions générales" que l'on coche sans lire pour s'inscrire ou installer un logiciel... les gens seront blasés.
Enfin, si on applique ce que fait la CNIL, si on continue de naviguer sans rien dire/faire, alors on part du concept que tout est accepté. Donc carte Google externe (coucou les nouveaux tarifs Google Maps !), les intégrations YouTube, les avis FB... tout ça remontera de base. Donc pas besoin de s'alarmer AMHA.
Honnêtement, combien d'internautes vont vraiment aller dire SUR CHAQUE SITE "non je refuse YouTube et Gmap" par exemple ? Tant pis pour eux s'ils ne voient pas les infos dans ce cas. C'est un choix délibéré de leur part.
Après, je te rejoins, Scion hein dans ton avis . Je trouve la loi mal fichue et complexe à appliquer (nous agence web, on refacture de la maintenance là à tout vas pour mettre nos clients en conformité...). Mais je pense que cette loi ne mérite pas non plus toutes les inquiétudes levées. D'autant que le site du concurrent d'à côté devra lui aussi se mettre en conformité .
EDIT : Apple a annoncé à son tour appliquer la RGPD partout dans le monde.
"je maintiens qu'un guide step-by-step pour mettre à jour son site qu'on a fait avec ses petits doigts grâce à un des cours OC aurait parfaitement sa place ici"
Oui, moi aussi je trouve que ce serait bien de penser aux "petits" !
je maintiens qu'un guide step-by-step pour mettre à jour son site qu'on a fait avec ses petits doigts grâce à un des cours OC aurait parfaitement sa place ici
Entièrement d'accord !
;-D
Toujours à l'écoute, comme tout marin ! ... et ... prenez bien soin de vous !
RGPD : cherche docs, conseils, tutos, etc.
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
Développeur PHP / Symfony en Freelance
Développeur PHP / Symfony en Freelance
Développeur PHP / Symfony en Freelance
Toujours à l'écoute, comme tout marin ! ... et ... prenez bien soin de vous !