Ces services qui jettent l'éponge face au RGPD

Ces services qui jettent l’éponge face au RGPD

Game over, try again?

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

24/05/2018 8 minutes
120

Ces services qui jettent l'éponge face au RGPD

Les fermetures et blocages d'internautes se multiplient à l'approche d'une meilleure protection des données personnelles en Europe. Brandi par certains comme un épouvantail, il sert parfois de prétexte pour couper des activités gênantes pour d'autres raisons.

Branle bas de combat sur la vie privée. Le Règlement général sur la protection des données (RGPD) entre en application demain. Le service de sauvegarde d'articles Instapaper vient d'annoncer une fermeture temporaire pour les Européens, le temps de se conformer au texte, voté il y a deux ans. Aucun changement n'est détaillé dans l'email envoyé aux utilisateurs, sans date de retour en ligne.

Cette fermeture restera en principe temporaire. Ce ne sera pas le cas pour d'autres sociétés, qui ont prévenu de l'arrêt de leur activité dans l'Union européenne, estimant le risque trop grand. Des jeux vidéo, des boutiques et des spécialistes du pistage publicitaires abandonnent ainsi le Vieux continent.

Pour rappel, le RGPD partage de nombreux principes avec la loi CNIL, tout en apportant de nouvelles obligations et de nouveaux droits. L'une des principales nouveautés réside dans le rehaussement des sanctions (jusqu'à 4 % du chiffre d'affaires mondial) et l'application de ces règles hors de l'Union européenne. Dans de nombreux cas, les entreprises qui ne peuvent pas se conformer au règlement violent sans doute déjà la loi CNIL de 1978 et la directive de 1995 sur la protection des données.

Dites adieu à certains jeux vidéo

L'une des premières annonces est venue de Gravity Playground, l'éditeur de jeux en ligne tel Ragnarok Online. « Tous les comptes enregistrés depuis l'Europe seront désactivés le 25 mai. Tout accès depuis l'Europe sera interdit et nous n'accepterons plus d'utilisateurs européens sur notre service » écrit l'entreprise sur le forum de son portail WarpPortal. L'accès est censé être coupé ce 24 mai, le remboursement des clients ayant débuté le 15 mai.

Super Monday Night Combat a fermé ses portes le 23 mai. Sur Steam, Uber Entertainment déclare que se conformer au règlement serait trop coûteux, donc qu'il vaut mieux fermer les serveurs, après six ans d'activité. Le jeu compterait une dizaine de joueurs en simultané sur le mois dernier, en moyenne.

Même destin pour Loadout, qui ferme ce soir. « Nous protégeons toujours votre vie privée, et nous ne voulons rien d'autre. Nous n'avons simplement pas les moyens de remanier Loadout et implémenter de nouvelles fonctions pour répondre à la longue liste de nouvelles obligations » écrit l'équipe. Le jeu, qui aurait accueilli neuf millions de joueurs depuis la bêta fermée en 2012, subit aussi la fermeture d'une vieille offre de son hébergeur, ainsi que la hausse des coûts d'hébergement.

Loadout jeu
Goodbye Loadout.

Le service Tunngle, qui permettait de jouer « en LAN via Internet », donc de simuler un réseau local pour les jeux le réclamant pour le multijoueur, a mis la clé sous la porte le 30 avril. Le coût d'adaptation au règlement est aussi invoqué.

Une autre disparition serait à imputer indirectement au RGPD. C'est celle du site de statistiques Steam Spy, qui se fonde sur les profils publics des membres de Steam pour évaluer le succès des jeux. À la mi-avril, Valve a passé l'ensemble des profils de ses membres en privé par défaut, le privant de ces précieuses données.

Ce n'est qu'un au revoir, Unroll.me

L'une des fins d'activité les plus spectaculaires est celle d'Unroll.me, qui bloque désormais les internautes européens. Le service est temporairement inaccessible depuis hier pour le Vieux continent. Comme Instapaper, le service ne fournit aucune date de retour. Dans sa FAQ, il assure que la suppression des comptes des résidents européens « est la loi ».

Pour mémoire, Unroll.me se spécialise dans l'analyse des emails pour détecter les newsletters et aider les internautes à s'en désinscrire. Une noble intention qui cache un modèle économique plus trouble. L'an dernier, il a été révélé qu'Uber a acheté des reçus anonymisés de concurrents à Unroll.me, piochées dans les boites email des utilisateurs. La société avait simplement rappelé que les internautes avaient accepté cette revente à l'inscription.

Parity, une entreprise spécialisée dans les crypto-monnaiescoupe aujourd'hui son service Picops, destiné à garantir l'identité des possesseurs de portefeuilles Ethereum. L'idée était ainsi de rendre les levées de fonds (ICO) plus sûres. Dans le cas où Parity pourrait conformer Picops au RGPD, l'outil verrait ses fonctions drastiquement réduites.

« Le géoblocage n'est pas une stratégie valide »

Comme tout changement, le règlement est une formidable opportunité marketing. De très nombreuses sociétés de conseil ont sauté dans le wagon, pour aider petites et grandes entreprises à se mettre en conformité avant le terrible couperet du 25 mai. D'autres vendent des solutions de facilité, comme GDPR Shield.

Le service, qui a fait sensation à son annonce, propose tout simplement de bloquer les internautes européens. Plus d'Européens, plus de problème. Il suffisait d'y penser. Le site est inaccessible ce jeudi 24 mai, et l'efficacité concrète de l'approche pose question. Dans la mesure où les internautes devront de toute façon se connecter aux sites avant d'être bloqués, et qu'il est possible d'éviter la détection (par exemple via un VPN), il n'est pas dit que l'outil serve à autre chose que donner un faux sentiment de sécurité.

Steel Root, une société de Boston « spécialiste de la cybersécurité et de la conformité », dit aussi bloquer les internautes européens. Pourtant, la société l'affirme : « Le géoblocage en soi n'est pas une stratégie valide, vu que le RGPD couvre les Européens peu importe leur position physique ». Quand bien même l'article 3 du RGPD limite l'application aux personnes « sur le territoire de l'Union ». Pour Steel Root, l'important reste de montrer son attention pour la protection des données.

De même, les sociétés qui ne s'adressent pas aux clients européens pourraient s'estimer en sécurité. C'est l'une des raisons invoquées par Brent Ozar, une société de formation à Microsoft SQL Server, qui coupe son activité européenne, représentant moins de 5 % de son chiffre d'affaires.

Le pistage publicitaire en question

Ces derniers jours, nombre de grands groupes comme Oath (ex-Yahoo) ont révisé le dépôt de cookies par leurs sites. Certaines entreprises pistant les internautes disent abandonner la partie. Drawbridge, spécialiste du tracking d'un internaute sur plusieurs terminaux, coupe aussi son activité européenne. À AdExchanger, la société déclare qu'elle est incapable d'obtenir le consentement explicite de chaque internaute pour son tracking, vu que son service ne leur apparaît jamais.

Drawbridge déplace ses équipes londoniennes à New York. Elle compte tout de même revenir en Europe, par exemple en ouvrant l'accès à ses données à d'autres entreprises, sans pour autant héberger celles d'utilisateurs européens.

Le 11 mai, Verve a fermé ses bureaux à Londres et Munich. « Nous avons déterminé que la régulation n'est pas favorable à notre modèle économique spécifique » déclare l'entreprise, spécialiste de la géolocalisation, qui se concentre désormais sur les États-Unis. Selon Digiday, le RGPD serait utilisé comme prétexte pour quitter l'Europe, un marché plus difficile que d'autres vu le poids des agences médias, qui feraient notamment proxy avec les annonceurs au Royaume-Uni.

Apple a récemment retiré certaines applications de l'AppStore, dont celles de médias français, pour l'intégration de Teemo, un outil de géolocalisation des mobinautes. Il est reproché à Teemo une collecte sans consentement, pour des motifs inappropriés. La société a inspiré la création d'Exodus Privacy, un outil de détection des outils de tracking cachés dans les applications Android (voir notre analyse).

Outre-Atlantique, la surprise domine les réactions. Si les entreprises françaises semblent s'être réveillées il y a un an, les États-Unis percevraient toujours le sujet comme lointain. Avec une incompréhension face à l'extraterritorialité de cette nouvelle réglementation. Un discours répandu, de Bleeping Computer à CNN, est que la conformité au RGPD a un coût exorbitant pour les PME. Une affirmation que le CESIN avait battu en brèche en France, alors que la CNIL répète que le 25 mai ne sera pas un couperet pour les entreprises, encore moins les petites.

120

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Dites adieu à certains jeux vidéo

Ce n'est qu'un au revoir, Unroll.me

« Le géoblocage n'est pas une stratégie valide »

Le pistage publicitaire en question

Commentaires (120)


Et il y en a qui poussent le scandale jusqu’au bout, comme Forbes :&nbsphttps://www.forbes.com/consent où il est impossible d’accéder au contenu sans accepter certains cookies, et le paramétrage dure jusqu’à une minute pour lesdits cookies.


Le site d’un ami à moi :https://www.divindefaut.com/ s’arrête aussi aujourd’hui faute de capacité humaine et financière de se fader un gros dev pour tout mettre au propre.



Je ne connais pas tous les tenants est aboutissants de la rgpd, mais il s’agit principalement de notifier les utilisateurs que leurs données sont sauvegardées et avoir une trace de ce consentement.



Et si il y a une modification d’utilisation des données, en notifier les utilisateurs. Rien d’insurmontable techniquement.



C’est sur que ça coute et il y a peut être des frais d’audit à prévoir.



edit : sans compter les frais lié à un expert juridique pour espérer être dans les clous


Il y a des coûts et des complications, évidemment, mais quand on entend certaines boites ayant de grosses équipes web et dev expliquer que c’est vraiment trop lourd à implémenter, en étant prévenu y’a déjà pas mal de temps, c’est un peu ridicule.

 Y’a pas mal de cas où ça doit être tout simplement volontaire de ne pas s’y conformer… (pas par méchanceté mais tout simplement remise en cause du modèle éco)


Je suis peut être méchant mais perso je dis tant mieux.



Je préfère voir une site se barrer plutôt que d’être obligé de se faire enfumer en acceptant des conditions que je ne veux pas…. Ça me fait penser à l’obligation d’information sur les cookies. Si les choses avaient été faites correctement l’utilisateur aurait eu la possibilité de refuser l’emploi de cookies pour tout autre utilisation que l’authentification. Ba non: la majorité des sites maintenant t’expliquent gentiment que soit tu acceptes leurs merdes soit tu restes à la porte…



Au passage, concernant surtout les gros sites qui “jettent l’éponge” ça montre surtout le peu de considération qu’ils ont pour leur clients. Tant qu’ils peuvent collecter des infos à gogos et que ça coûte pas trop chers ça va, mais dès qu’il faut faire un peu plus attention ya plus personne ca vaut plus le coup.


Autant je peux comprendre que certains services de profilage marketing jettent l’éponge (trahissant le fait qu’ils faisaient nécessairement n’importe quoi et que changer leurs pratiques revient à tuer leurs modèles écos), autant j’ai du mal à comprendre s’agissant de jeux ou encore d’applications de lutte contre le tracking.



Fondamentalement et comme le souligne Guénaël, bien des obligations existaient étant rappelé que si le RGPD généralise l’application hors UE de la réglementation, notre CNIL (et d’autres) avait déjà détourné le principe du public cible par quelques artifices pour se dire compétente (et donc contournant la règle du lieu où était traité les données pour retenir sa compétence) bien avant ce règlement européen.



En d’autres termes, soit ces boites font également n’importe quoi et ne peuvent changer leurs pratiques sans mettre à mal leurs modèles économiques, soit elles se sont faites bourrer le mou sur la difficulté à mettre en œuvre la règlementation (qui est certes peu intelligible de prime abord, mais qui concrètement n’est pas insurmontable si on est correctement guidé/conseillé/sensibilisé à ces questions).


“Avec une incompréhension face à l’extraterritorialité de cette nouvelle réglementation.” Venant des Etats-Unis, c’est l’hôpital qui se fout de la charité.


Plutôt satisfait de ces gesticulations. Ceux qui ont un rapport trouble avec les données personnelles de leurs utilisateurs en sont pour leurs frais.



Sinon, le fait que les américains soient surpris de l’extraterritorialité du texte c’est ce que j’ai lu de plus drôle récemment.



Les USA sont les champions de l’extraterritorialité juridique. Exemple récent : Total (une société française) cesse ses activités en Iran (pays tiers) du fait du rétablissement des sanctions US.



Ne parlons pas des enquêtes menées par le DOJ contre des boites non-US, la liste serait trop longue.



C’est un vrai sketch.



Bon vent !


D’autant que cette extraterritorialité n’en est pas vraiment une car le GDPR ne protège que les gens situés physiquement sur le territoire de l’UE (cf art3, à relire, quoi qu’en dise « steel root » plus haut)








boogieplayer a écrit :



Le site d’un ami à moi :https://www.divindefaut.com/ s’arrête aussi aujourd’hui faute de capacité humaine et financière de se fader un gros dev pour tout mettre au propre.





Fondamentalement, je ne sais ce que ton ami ne peut pas mettre en œuvre qu’il n’aurait pas du déjà mettre en oeuvre:

. ne pas traiter d’infos sensibles,

. rappeler les droits aux inscrits et les finalités des collectes/traitements,

. rajouter un lien de désinscription/suppression (dont à la newsletter/ aux infos du site),

. un lien pour demander la communication de l’ensemble des infos (et ajouter la possibilité de demander la limitation du traitement des données, chose qui peut être lourde, dans ce cas, on peut communiquer l’ensemble des infos à l’internaute et lui indiquer que faute de pouvoir limiter une donnée en particulier, il n’y a que la suppression de possible en précisant les conséquences; impossibilité d’accéder au service/désactivation de certaines options),

. lister l’ensemble des finalités qui conduisent à traiter les données des internautes, (dont durée de conservation, catégorie de données traitées, qui peut y accéder et comment (cf. modèle sur le site de la CNIL)),

. mettre en œuvre les pratiques élémentaires de sécurisation des données (guide technique dispo sur le site de la CNIL, en réalité l’essentiel des mesures techniques semblent évidentes si on est un peu geek).



Les seules véritables interrogations sont sur le fait de savoir si on relève de l’obligation de désigner un DPO et de procéder à une DPIA, ainsi que de savoir comment satisfaire à l’obligation de portabilité des données.



En pratique, je ne pense pas que la CNIL balancera des sanctions sur ces derniers points avant un certain temps, notamment car les textes sont particulièrement flous, imposant que le comité (ex G-29) donne des définitions claires (pas comme les lignes directrices adoptées après le RGPD, qui précisément ne donnent toujours pas les définitions attendues).



La question qui me vient à l’esprit (et dans la mesure où je n’ai que très vaguement suivi toute cette histoire, elle a peut-être déjà eu des réponses) c’est de savoir si c’est effet secondaire de protectionnisme était voulu ou pas à l’origine.


C’est pas un problème, on s’en passera très bien.


Petite question (cela a peut-être été abordé dans les longs dossiers de vulgarisation du RGPD, mea culpa Marc) :



Est-ce que, pour se conformer au nouveau règlement, les entreprises (ex. médias chez qui on a un abonnement payant) ou les services publics qui proposent des applis smartphones sont obligés de nous avertir préalablement de tous les traqueurs / sdk / outils de profilage et diffusion publicitaires inclus dans leur programmes, nous demander notre consentement préalable, voire ne pas nous empêcher d’utiliser le service même en cas de refus (de géolocalisation, aspiration des contacts) ? <img data-src=" />



Ou pour ce cas précis cela ne change rien ?



Car certains abusent vraiment :https://reports.exodus-privacy.eu.org/reports/9375/


L’internet “gratuit” risque de devenir beaucoup moins gratuit…&nbsp;<img data-src=" />








grouikplop a écrit :



D’autant que cette extraterritorialité n’en est pas vraiment une car le GDPR ne protège que les gens situés physiquement sur le territoire de l’UE (cf art3, à relire, quoi qu’en dise «&nbsp;steel root&nbsp;» plus haut)





Le 2b offre néanmoins une possibilité d’interprétation très large, par exemple:

tu achètes en ligne depuis chez toi (en UE) et par avance des tickets pour le National Art Center de Tokyo, site d’ailleurs traduit en Français, le responsable du traitement à Tokyo offre “des biens ou de services à des personnes concernées dans l’Union” et du coup devrait appliquer le RGPD.









Kurton a écrit :



L’internet “gratuit” risque de devenir beaucoup moins gratuit… <img data-src=" />





La publicité ciblée risque de devenir beaucoup moins ciblée par défaut.









grouikplop a écrit :



D’autant que cette extraterritorialité n’en est pas vraiment une car le GDPR ne protège que les gens situés physiquement sur le territoire de l’UE (cf art3, à relire, quoi qu’en dise « steel root » plus haut)





on parle de l’extraterritorialité des organisations qui traitent des données concernant les résidents européens.



Rien d’anormal dans cette actualité. C’est même rassurant. Cela veut dire que la RGPD fait réagir, notamment les sociétés se situant en dehors de l’Union Européenne, et qui ne veulent pas se soumettre à nos règles.



Tant pis si des sociétés ne veulent plus proposer leurs services dans l’Union Européenne. Est-ce que nous y perdons beaucoup ? Je ne pense pas, bien au contraire…








grouikplop a écrit :



D’autant que cette extraterritorialité n’en est pas vraiment une car le GDPR ne protège que les gens situés physiquement sur le territoire de l’UE (cf art3, à relire, quoi qu’en dise «&nbsp;steel root&nbsp;» plus haut)





J’ai ajouté une mention de l’article 3, effectivement. Merci pour la remontée ! Je laisse tout de même la citation, intéressante au-delà de ce point.

&nbsp;





Valeryan_24 a écrit :



Est-ce que, pour se conformer au nouveau règlement, les entreprises (ex. médias chez qui on a un abonnement payant) ou les services publics qui proposent des applis smartphones sont obligés de nous avertir préalablement de tous les traqueurs / sdk / outils de profilage et diffusion publicitaires inclus dans leur programmes, nous demander notre consentement préalable, voire ne pas nous empêcher d’utiliser le service même en cas de refus (de géolocalisation, aspiration des contacts) ? <img data-src=" />



Ou pour ce cas précis cela ne change rien ?





Je ne suis pas Marc mais je tente une réponse : oui, elles le devront. Les collectes cachées sont bien à proscrire, comme l’ont montré les cas de Drawbridge et des applications intégrant en douce Teemo. Il n’est pas dit que cela change grand-chose en pratique (le meilleur moyen étant que la plateforme, type l’AppStore, fasse appliquer la loi) mais ils sont bien attaquables là-dessus.



Je bosse dans le domaine et je peux vous dire que c est le gros bordel.

De plus il y a un vrai problème au niveau de la pub, notamment adsense.

J avoue être inquiet pour l avenir de tout site qui ne fait pas partis d un groupe qui a des moyens. Et croyez moi je dis pas ca en trollant, c est grave ce qu il est en train de se passer, l internet du tout gratuit vous pouvez l oublier…..





Pour les jeux, à mon avis, c’est huste que le RGPD est un prétexte. Il s’agit déjà de vieux jeux, avec plus forcément beaucoup d’activité, qu’on laisse juste tourner dans un coin. Juste prendre le temps de vérifier la conformité dot être moins rentable que d’arrêter les serveurs.








Valeryan_24 a écrit :



Petite question (cela a peut-être été abordé dans les longs dossiers de vulgarisation du RGPD, mea culpa Marc) :



Est-ce que, pour se conformer au nouveau règlement, les entreprises (ex. médias chez qui on a un abonnement payant) ou les services publics qui proposent des applis smartphones sont obligés de nous avertir préalablement de tous les traqueurs / sdk / outils de profilage et diffusion publicitaires inclus dans leur programmes, nous demander notre consentement préalable, voire ne pas nous empêcher d’utiliser le service même en cas de refus (de géolocalisation, aspiration des contacts) ? <img data-src=" />



Ou pour ce cas précis cela ne change rien ?



Car certains abusent vraiment :https://reports.exodus-privacy.eu.org/reports/9375/





Si tu parles d’avoir la désignation du nom et du fonctionnement de chaque tracker : non, tu dois en revanche être informé de l’ensemble des finalités pour lesquelles un traitement est mis en œuvre.



Par ailleurs, il doit y avoir, mais c’est très théorique, une distinction entre données et traitement indispensables à l’accès au service par rapport à ceux qui ne sont pas nécessaires à l’accès au service, et pour ces derniers tu devrais être en mesure de refuser.



En pratique, ça me semble délicat, je pense surtout que la CNIL se servira de ça pour lutter contre la mise en œuvre par défaut du profilage là où cette fonctionnalité ne sera pas indispensable pour utiliser un service/application.



Le site n’a jamais gagné d’argent vraiment, c’est juste un délire qui a continué. La collecte de données n’est FB mais quand même, et rien n’est prévu pour la gestion fine de chaque paramètre.



Après on s’est pas revu depuis sa décision, je fut alerté par mail car j’ai été le premier inscrit lors des tests à l’époque du démarrage. Après il y a sans doute le prétexte pour fermer propre. Il faut couper le dédié, les datas vont disparaître en même temps. Fin de l’aventure quoi.


Merci pour l’explication. <img data-src=" />








Gnppn a écrit :



Je ne suis pas Marc mais je tente une réponse : oui, elles le devront. Les collectes cachées sont bien à proscrire, comme l’ont montré les cas de Drawbridge et des applications intégrant en douce Teemo. Il n’est pas dit que cela change grand-chose en pratique (le meilleur moyen étant que la plateforme, type l’AppStore, fasse appliquer la loi) mais ils sont bien attaquables là-dessus.







Elles le devront mais&nbsp;



crocodudule a écrit :



Si tu parles d’avoir la désignation du nom et du fonctionnement de chaque tracker : non, tu dois en revanche être informé de l’ensemble des finalités pour lesquelles un traitement est mis en œuvre.



Par ailleurs, il doit y avoir, mais c’est très théorique, une distinction entre données et traitement indispensables à l’accès au service par rapport à ceux qui ne sont pas nécessaires à l’accès au service, et pour ces derniers tu devrais être en mesure de refuser.



En pratique, ça me semble délicat, je pense surtout que la CNIL se servira de ça pour lutter contre la mise en œuvre par défaut du profilage là où cette fonctionnalité ne sera pas indispensable pour utiliser un service/application.





&nbsp;Je doute fortement qu’un site autorise la désactivation des trackers en laissant la possibilité de continuer la visite. Pour beaucoup ça revient à foutre en l’air leur modèle économique. Ça fera comme pour les cookies “t’es au courant qu’on te traque, maintenant tu acceptes et bonne visite, ou tu refuses et tu dégages”…



Normalement t es sensé faire ca, si le visiteur refuse tu ne peux pas refuser l acces.

En pratique si ca se passe vraiment comme ca de tres nombreux sites vont fermer tout simplement.








methos1435 a écrit :



&nbsp;Je doute fortement qu’un site autorise la désactivation des trackers en laissant la possibilité de continuer la visite. Pour beaucoup ca revient à supprimer leur modèle économique. Ca fera comme pour les cookies “t’es au courant qu’on te tracke, maintenant tu acceptes et bonne visite, ou tu refuses et tu dégages”…





Je suis d’accord avec toi (c’est pourquoi j’ai indiqué que c’était très théorique), mais voila les passages qui prévoient néanmoins la distinction:

&nbsp;

Article 7: Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.



Exposé 43 du RGPD: Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.



Article 13 Information de la personne concernée […];

e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenu e de fournir les données à caractère personnel,&nbsp; ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;









Gnppn a écrit :



Merci pour l’explication. <img data-src=" />





Avec plaiz et merci pour tes articles :)









crocodudule a écrit :



Je suis d’accord avec toi (c’est pourquoi j’ai indiqué que c’était très théorique), mais voila les passages qui prévoient néanmoins la distinction:

&nbsp;

Article 7: Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.



Exposé 43 du RGPD: Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.



Article 13 Information de la personne concernée […];

e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenu e de fournir les données à caractère personnel,&nbsp; ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;





On verra bien. Perso je vois bien ces sites expliquer que le traitement de ces données à caractère personnel sont indispensables au regard du modèle économique employé pour la survie du dit site…&nbsp; Et ca tient si aucune possibilité n’est donnée pour assurer un financement autre (abonnement par exemple).&nbsp;



Coucou,



Ce qui me chatouille dans toute cette agitation, c’est que la RGPD entra en vigueur demain, mais a été voté il y a deux ans.



Donc soit les entreprises ne font pas de provisions (au sens comptable du terme) pour financer ce genre de « risque » soit elles sont dirigées à vue.



Si elles ne font pas de provisions, elles sont dans la mouisse et c’est plus tôt bien fait. Si elles sont dirigées à vue bah tant pis aussi.








jfoucry a écrit :



Donc soit les entreprises ne font pas de provisions (au sens comptable du terme) pour financer ce genre de « risque » soit elles sont dirigées à vue.



Si elles ne font pas de provisions, elles sont dans la mouisse et c’est plus tôt bien fait. Si elles sont dirigées à vue bah tant pis aussi.





Beaucoup d’entreprises ne respectent pas la loi info et libertés actuelle, et s’en foutent royalement, là le RGPD est médiatisé et en particulier les sanctions prévues, donc les « décideurs » chient dans leur froc. J’en ai parlé à mon ancien taf l’année derniere (une grosse ong) et ils en avaient rien à cirer, je pense que ca a du changer depuis…



Complications et paperasseries énormes, sans réelle protection des utilisateurs au final.



Une loi comme une autre, quoi.








jfoucry a écrit :



Coucou,



Ce qui me chatouille dans toute cette agitation, c’est que la RGPD entra en vigueur demain, mais a été voté il y a deux ans.



Donc soit les entreprises ne font pas de provisions (au sens comptable du terme) pour financer ce genre de « risque » soit elles sont dirigées à vue.



Si elles ne font pas de provisions, elles sont dans la mouisse et c’est plus tôt bien fait. Si elles sont dirigées à vue bah tant pis aussi.









Le web c’est pas que des grosses boites. C’est aussi des pme, c’est aussi des TPE, parfois juste 2 personnes, c’est aussi des gars tout seul dans leur chambre. Tout ces gens n’ont pas forcement de service juridique et encore moins les moyen de comprendre cette usine à gaz, de mettre en place les outils adaptés, et encore moins de savoir rédigé des CGU correctement.



Le web ca se résume pas à 23 boites qui font de l’optimisation fiscale par milliard et de la revente de bigdata, le web c’est bien plus que ca, et le RGPD c’est une usine à gaz de paperasseries et de complexité qui touche tout le monde.



Ca aura au moins permis de purger les services borderline, qui collectent à tout va sans aucune finalité de service…



Par contre je ne comprends pas l’argument du “coût” pour se mettre en conformité. Est-il si élevé ? Ces entreprises jettent-elles aussi l’éponge quand il faut acheter un nouveau serveur, embaucher une nouvelle personne ? Ca ressemble plutôt à un “je n’ai pas envie de faire l’effort de me mettre en conformité”…



Sinon je n’ai aucune nouvelle des multiples jobboards qui ont traité mon CV <img data-src=" /> Alors soit demain matin je vais être bombardé de mails “nous avons mis à jour nos CGU”, soit ils se contrefoutent du RGPD ?








Neliger a écrit :



Complications et paperasseries énormes, sans réelle protection des utilisateurs au final





Pas vraiment, car le but est de responsabiliser les gens. Si tu ne récolte que les info strictement nécessaire au fonctionnement du service et que tu les protèges (ce que tu devrais déjà faire soit dit en passant) les modifications ne sont pas trop importantes justement…



Stel



  - Le jeudi 24 mai 2018 à 18:49:17    







Le web c’est pas que des grosses boites.



Exactement, beaucoup de petits sites ou de blogueurs sont en galère avec des moyens financiers limités. Il suffit de voir que la moitié des éditeurs de logiciels et de plugins&nbsp; pour CMS ne sont pas prêts.



&nbsp;Sans parler que les textes ne sont pas finalisés (voir article ici-même au sujet des sénateurs), ce qui pourrait entraîner&nbsp; de nouvelles modifications techniques à nouveau. Dont ça me fait sourire que ce soit lancé depuis 2 ans.



Sur le fond, il y a du bon, mais sur la mise en œuvre, il va y avoir du déchet et pas que des sites irrespectueux des utilisateurs.



A mon avis.








Jarodd a écrit :



Par contre je ne comprends pas l’argument du “coût” pour se mettre en conformité. Est-il si élevé ? Ces entreprises jettent-elles aussi l’éponge quand il faut acheter un nouveau serveur, embaucher une nouvelle personne ? Ca ressemble plutôt à un “je n’ai pas envie de faire l’effort de me mettre en conformité”…







En suivant le RPGD à la lettre, tu ne peux plus afficher d’adsense sans consentement de l’utilisateur. ( adsense pose des cookies direct dès que ca s’affiche )

Ca veut dire concrétement que le visiteur peut refuser d’afficher des adsenses…. une sorte de super adblock en somme. Ca va faire mal, très mal.



Perso je peux pas croire que l’ensemble du web va offrir un adblock automatique, tout ca est très flou et me laisse très perplexe.












seboquoi a écrit :



Plutôt satisfait de ces gesticulations. Ceux qui ont un rapport trouble avec les données personnelles de leurs utilisateurs en sont pour leurs frais.



Sinon, le fait que les américains soient surpris de l’extraterritorialité du texte c’est ce que j’ai lu de plus drôle récemment.



Les USA sont les champions de l’extraterritorialité juridique. Exemple récent : Total (une société française) cesse ses activités en Iran (pays tiers) du fait du rétablissement des sanctions US.



Ne parlons pas des enquêtes menées par le DOJ contre des boites non-US, la liste serait trop longue.



C’est un vrai sketch.



Bon vent !









  • 1 miyard. <img data-src=" />



Ben oui, parce que tu es physiquement sur le territoire de l’UE.

Schématiquement, pour savoir si tu (en temps que responsable de traitement - si tu es prestataire, j’ai pas regardé le détail, j’étais pas concerné-) es impacté par le GDPR, c’est simple :




  • tu es basé toi même sur le territoire de l’UE, auquel cas tu dois l’appliquer, même si tes cibles ne sont pas sur le territoire de l’UE;

  • tu as des cibles sur le territoire de l’UE (et ce quelque soit leur nationalité, ça marche aussi avec les étasuniens(*))





    (*) ce qui est rigolo, parce que ça veut dire qu’un utilisateur américain de facebook est protégé par le GDPR quand il est en vacances en Europe et pas quand il est chez lui aux US. L’inverse aussi est vrai du coup.








Radithor a écrit :



on parle de l’extraterritorialité des organisations qui traitent des données concernant les résidents européens.





Pas compris. Le GDPR, règlement européen cible 1) les boîtes basées en Europe, 2) les boîtes qui ciblent de gens basés en Europe. Il y a une petite marche d’extraterritorialité entre ça et le cas Total où une boîte française commerçant avec un pays qui n’est pas les US se fait taper sur la gueule par les US parce qu’elle utilise de près ou de loin des dollars.



Je ne m’intéressais pas au fond du sujet du commentaire. Je voulais seulement préciser le sens du mot “extraterritorialité” qu’on utilise à toutes les sauces (comme la société Steel Root, par exemple dans l’article, qui affirme un contre-sens), alors qu’il veut spécifiquement dire quelque chose de précis à l’origine.


Bah je dirais bon débarras.

J’ai bien du recevoir une vingtaine de mails de boites depuis une semaine se conformant&nbsp; au rgpd allant de la vente classique à plus spécifiques type guitares, aux softs 3D, 2D etc… et j’en oublie. Ca fait du bien.








Stel a écrit :



Le web c’est pas que des grosses boites. C’est aussi des pme, c’est aussi des TPE, parfois juste 2 personnes, c’est aussi des gars tout seul dans leur chambre. Tout ces gens n’ont pas forcement de service juridique et encore moins les moyen de comprendre cette usine à gaz, de mettre en place les outils adaptés, et encore moins de savoir rédigé des CGU correctement.



Le web ca se résume pas à 23 boites qui font de l’optimisation fiscale par milliard et de la revente de bigdata, le web c’est bien plus que ca, et le RGPD c’est une usine à gaz de paperasseries et de complexité qui touche tout le monde.





Dans la réalité, il y aura une pression monstrueuse sur les sites les plus visibles (facebook, google, yahoo, amazon, orange, banques, …) par contre plus tu descendras en visibilité moins il y aura de pression et ça ce fera de manière plus dilué dans le temps.



Après est-ce qu’un site qui ne repose économiquement que sur l’aspiration des données de ses visiteurs est franchement bon pour ses utilisateurs ? Je ne le pense pas !



Petite question un peu H.S. :



Tenant un blog perso - donc en tant que simple particulier - dois-je me conformer au RGPD ?



(Je pense être de toute façon déjà respectueux de mes visiteurs cela dit.)


Ca j’ai bien compris, mais en quoi c’est un coût élevé pour s’y conformer ? Il faudrait faire de la publicité moins ciblée, c’est si compliqué (et cher) que cela ? D’autant plus que n’importe quel petit effort sera vraisemblabment transformé en campagne de parketing “on protège vos données blablabla”, donc il y a aussi un gain à y gagner.








Vader_MIB a écrit :



“Avec une incompréhension face à l’extraterritorialité de cette nouvelle réglementation.” Venant des Etats-Unis, c’est l’hôpital qui se fout de la charité.





<img data-src=" />

&nbsp;

+12000









Stel a écrit :



Je bosse dans le domaine et je peux vous dire que c est le gros bordel.

De plus il y a un vrai problème au niveau de la pub, notamment adsense.

J avoue être inquiet pour l avenir de tout site qui ne fait pas partis d un groupe qui a des moyens. Et croyez moi je dis pas ca en trollant, c est grave ce qu il est en train de se passer, l internet du tout gratuit vous pouvez l oublier…..





Ca fait plus d’une décennie qu’il est acquis que la publicité n’est pas un modèle économique viable. Contournable à loisir sur Internet, via des modules/extensions, la publicité sur Internet rapporte de moins en moins d’argent.

&nbsp;

Il faut désormais rajouter le Règlement général sur la protection des données de l’Union Européenne, qui est un coup de plus contre la publicité. Effectivement, ce règlement limite la collecte des données personnelles, vitales pour la publicité comme AdSence.

&nbsp;

Les sites Internet doivent évoluer et décider, une bonne fois pour toute, de cesser de proposer librement du contenu. A l’instar d’un site Internet comme Mediapart, ils ne doivent désormais proposer leurs contenus que contre monnaie sonnante et trébuchante, via des abonnements.



Mediapart a fait ce choix. Il existe toujours. Mediapart a arrêté l’hypocrisie avec le “tout gratuit”, qui n’est finalement qu’un mythe. Imposer de la publicité pour avoir accès librement à du contenu, ce n’est pas ce que j’appelle du “tout gratuit”.



@Romaindu83:&nbsp;&nbsp; Y’a un autre site qui est passé aux abonnements, un truc nommé NextInpact…


@Guenael Pépin : une petite erreur ? il n’existe pas de “loi CNIL” puisque la CNIL = Commission Nationale de l’Informatique et des Libertés, mais une loi LCEN : Loi pour la Confiance dans l’économie Numérique, une Loi pour une République Numérique, une loi Châtel sans parler de la 1e : la loi Informatique et Liberté qui régulent le net depuis ses débuts il y a 20 ans !

https://www.ide-conseil-webmarketing.fr/glossaire-marketing-digital/l/

Ces législations ont été une chance pour les acteurs du digital de créer une relation de confiance avec leurs utilisateurs permettant l’explosion du numérique.

Le RGPD c’est le défi de l’avenir pour conserver cette relation de confiance avec l’IA, les objets connectés, les voitures autonomes,…

Relevez le défi !








Vader_MIB a écrit :



“Avec une incompréhension face à l’extraterritorialité de cette nouvelle réglementation.” Venant des Etats-Unis, c’est l’hôpital qui se fout de la charité.







Fallait pas qu’ils viennent nous envahir de cookies jusqu’à l’indigestion <img data-src=" /><img data-src=" />



Le rgpd, c’est un prétexte et cest au bon vouloir de l’éditeur. J’ai reçu des courriels de google, yahoo, skylum, mais rien vu du côté de paypal, ebay, facebook, aliexpress, gog, steam, ni de l’éditeur chinois de l’application liée à ma balance connectée, avec un compte sur un serveur chinois. Et pcinpact ? Comment est-il INpacté ? Ulule non plus ne m’a rien dit, ni Orange, pas plus qu’Apple ou Amazon, et j’ai failli oublier Microsoft. Je suppose que tous les services publics sont ok, impôts, sécu, mutuelle et j’en oubli sûrement,


Et pendant ce temps là quand on fait chier les pme le président de la commission européenne brandit sa petite paire de couilles coupé à la naissance devant marc.

Pas le notre marc z…








Neliger a écrit :



Complications et paperasseries énormes, sans réelle protection des utilisateurs au final.



Une loi comme une autre, quoi.





Exactement.




  • Couts financiers enormes (surtout pour les PME) avec le risque d’une gigantesque amende (4% du CA ??!) si l’entreprise fait la moindre erreur…

    &nbsp;Bienvenue dans l’Internet -2.0 (disponible qu’au sein de l’UE)…..



    &nbsp;Et tout ca parce que les politiques prennent les Internautes pour des c*ns qui sont incapables de prendre leur responsabilite et lire les conditions d’utilisation des sites/applications…

    &nbsp;Enfin, beaucoup approuvent ici, donc ce ne sont pas les seuls a le penser visiblement&nbsp;<img data-src=" />



A mon avis les personnes séjournant dans un pays via un visas de tourisme ne sont pas considérées comme des “résidents”

Du coup, toute personne ayant son adresse principale dans l’UE il doit être protégée

Le problème que je vois là dedans c’est que bien-sur il est impossible pour une service de savoir si tu es résident ou non d’un pays : A mon avis ils ne peuvent qu’inférer avec les infos qu’ils ont…








refuznik a écrit :



Bah je dirais bon débarras.

J’ai bien du recevoir une vingtaine de mails de boites depuis une semaine se conformant  au rgpd allant de la vente classique à plus spécifiques type guitares, aux softs 3D, 2D etc… et j’en oublie. Ca fait du bien.







Pareil, ça me fait marrer ce flood à coup de “mé nous on est des gentils on vous respecte blablabla” <img data-src=" />



Comme s’ils avaient des choses à se faire pardonner.









kevinz a écrit :



Et tout ca parce que les politiques prennent les Internautes pour des c*ns qui sont incapables de prendre leur responsabilite et lire les conditions d’utilisation des sites/applications…

 Enfin, beaucoup approuvent ici, donc ce ne sont pas les seuls a le penser visiblement <img data-src=" />



Si tu acceptes qu’on fasse tout et n’importe quoi (surtout n’importe quoi) avec tes données que tu laisses volontairement ou non… Ce n’est pas le cas de tout le monde.









Stel a écrit :



Le web c’est pas que des grosses boites. C’est aussi des pme, c’est aussi des TPE, parfois juste 2 personnes, c’est aussi des gars tout seul dans leur chambre. Tout ces gens n’ont pas forcement de service juridique et encore moins les moyen de comprendre cette usine à gaz, de mettre en place les outils adaptés, et encore moins de savoir rédigé des CGU correctement.



Le web ca se résume pas à 23 boites qui font de l’optimisation fiscale par milliard et de la revente de bigdata, le web c’est bien plus que ca, et le RGPD c’est une usine à gaz de paperasseries et de complexité qui touche tout le monde.



Si tu restreins aux boites qui collectent des données sur les utilisateurs, ça touche moins de monde non?

Ca touche même beaucoup moins de monde non?



Et puis le RGPD ne touche pas que le web hein, ça concerne les services infos.



&nbsp;Ca pose des limites au fichage privé, y’a sûrement des trucs imparfaits dedans, mais il était temps. Se plaindre qu’un business souffre d’un règlement que toute entreprise aurait dû se fixer moralement plus tôt, c’est mettre l’économie bien au dessus de l’éthique, c’est dommage.



NextInpact prouve que l’on peut afficher des publicités sans mettre en place de pistage

Du coup l’argument serait assez malhonnête








kevinz a écrit :



Exactement.




  • Couts financiers enormes (surtout pour les PME) avec le risque d’une gigantesque amende (4% du CA ??!) si l’entreprise fait la moindre erreur…





    Quels “coûts financiers énormes” ? Obtenir le consentement de tes clients avant de traiter leurs données a un “coût énorme” pour toi ? Tu sais que tu n’es pas obligé de recueillir le consentement sur une feuille d’or ?









Sigma42 a écrit :



NextInpact prouve que l’on peut afficher des publicités sans mettre en place de pistage

Du coup l’argument serait assez malhonnête





Nextimpact est sur un créneau un peu particulier quand même : ils parlent globalement de Hightech (déjà ça segmente), ont un public qui ne VEUX PAS de pub ciblée (du coup ne pas en mettre ça devient un argument positif).



Par contre tu es un média généraliste, un jeux mobile ou autre comment tu choisis quelle pub afficher ? Comment tu explique juste a tes annonceurs : “alors ouai je vais balancer votre pub au petit bonheur la chance mais le prix reste le même hein !” ?



Si tu passe par Adsense tu déporte le problème sur Google mais si tu as ta propre régie ça devient vraiment compliqué d’expliquer ça à tes clients pubs.



Bon je me fais un peu l’avocat du Diable même si au fond je suis plutôt content du RGPD mais ça va avoir des impacts non négligeables sur tout un pan de l’économie.



Ça se fout un peu de la gueule du monde, se mettre en conformité avec la RGPD, si tu faisais le taff correctement avant (en respectant la législation en vigueur donc), c’est l’affaire d’une journée de boulot pour une PME (création du registre de données, maj des cgv, mentions légales, politique de confidentialité, etc).

Par contre oui, si tu as une base prospect et client que tu arroses niveau marketing sans avoir jamais recueilli leur consentement explicite, ça fait mal de revenir à la réalité. :)


Oui c’est sur les médias généralistes n’ont aucun intérêt a changer de politique

En toute logique ils n’auraient pas du tout miser sur la publicité mais il est trop tard…

Dans leurs édition papier, par définition les publicité n’étaient pas ciblées

Le problème c’est que si un média rend le tracking optionnel il se mettra en position de faiblesse par rapport a la concurence

Si cette pratique doit être condamnée, cela doit être fait pour tout le secteur : Comme ça pas de distortion de concurrence








bilbonsacquet a écrit :



Pas vraiment, car le but est de responsabiliser les gens. Si tu ne récolte que les info strictement nécessaire au fonctionnement du service et que tu les protèges (ce que tu devrais déjà faire soit dit en passant) les modifications ne sont pas trop importantes justement…







Oh mais je protège déjà les données, je n’ai pas attendu une loi.



Simplement on demande des justifications, des pages de contrat, des choses dont personne autour de moi ne semble avoir compris la teneur. Un gros flou.



” les États-Unis percevraient toujours le sujet comme lointain. Avec une incompréhension face à l’extraterritorialité de cette nouvelle réglementation.”

Les US ne comprennent pas l’extra territorialité ???



C’est l’hôpital qui se fout de la charité.Ce sont bien les premiers à appliquer leurs lois au reste du monde quand ça les arrange…


Bon débarras à tous ces services “gratuits” qui ne respectent pas les lois européennes. Si ils le faisaient, ils ne seraient pas en train de faire dans leur froc. Après tout le RGPD c’est juste une couche de sanction au dessus des autres lois dont certaines sont très vieilles.



Au cas où, pour les (toutes) petites structures, la CNIL met à disposition des guides et des modèles. Le coût que certains mettent en avant c’est plutôt du manque à gagner ^^


J’aurais a dire pour tous ceux qui se plaigne d’un impact fort sur les modèles économiques qu’il serait peu-être temps de remettre en question le dit modèle économique sur le plan moral (ce que la RGPD essaye de cadrer de ce que j’en ai compris) et arrêter de se foutre de la gueule du monde.



Pour les pub ciblées, faut arrêter les conneries, ça ne se passe que sur internet le tracking publicitaire de masse non consenti explicitement et ce n’est pas indispensable, les affiches dans la rue ou les pubs TV sont pas ciblés par rapport a la tête du client mais elle le sont en fonction du contenu proposé dans l’environnement de la dite pub, il serait peu-être temps de fonctionner comme ça sur le web.



L’internet du tout gratuit ne va pas disparaître selon moi mais il va très certainement évoluer vers autre chose (de plus sain espérons le). Aujourd’hui ça chouine a cause de l’effet d’annonce mais ça finira par entrer dans les clous et tout ira bien.


Extraterritorialité : ce ne serait pas un(des) territoire(s) qu’on voudrait annexer ?



Comme je l’ai dit hier <img data-src=" />



“Fallait pas qu’ils viennent nous envahir de cookies jusqu’à l’indigestion” (j’ai retourné le couteau, RGPD)


Hello,



Je peux te faire un retour d’expérience au niveau de la DSI d’un grand groupe d’expertise comptable français.



J’ai participé à l’intégration d’un outil de data gouvernance permettant, au passage, de se conformer au RGPD… On va dire que le projet dans sa globalité a du couter environ 2 millions d’euro.








plopl a écrit :



@Romaindu83:&nbsp;&nbsp; Y’a un autre site qui est passé aux abonnements, un truc nommé NextInpact…





Il existe toujours une version gratuite. Vu les limites imposées par la version gratuite, elle n’a aucune raison d’être. C’est mon point de vue.



Il faut relire l’article 3. Il ne parle pas de résidents mais de “personnes concernées qui se trouvent sur le territoire de l’Union”. Je ne trouve pas de “considérant” pour apporter un autre éclairage que “gus situé physiquement en Europe à un instant t”








Oliewan a écrit :



Bon débarras à tous ces services “gratuits” qui ne respectent pas les lois européennes. Si ils le faisaient, ils ne seraient pas en train de faire dans leur froc. Après tout le RGPD c’est juste une couche de sanction au dessus des autres lois dont certaines sont très vieilles.



Au cas où, pour les (toutes) petites structures, la CNIL met à disposition des guides et des modèles. Le coût que certains mettent en avant c’est plutôt du manque à gagner ^^







Être joyeux du malheur des autres, se satisfaire des gens qui vont pointer aux chomage.

Voila toute la bétise humaine résumer en un seul commentaire. BRAVO !

Vous avez tellement rien pigé que je vais pas prendre du temps à vous expliquer à quel point vous êtes à coté de la plaque.







Selph a écrit :



Ça se fout un peu de la gueule du monde, se mettre en conformité avec la RGPD, si tu faisais le taff correctement avant (en respectant la législation en vigueur donc), c’est l’affaire d’une journée de boulot pour une PME (création du registre de données, maj des cgv, mentions légales, politique de confidentialité, etc).

Par contre oui, si tu as une base prospect et client que tu arroses niveau marketing sans avoir jamais recueilli leur consentement explicite, ça fait mal de revenir à la réalité. :)









Encore un commentaire 100 % bullshit. On se croirait au bistro.







alex.d. a écrit :



Quels “coûts financiers énormes” ? Obtenir le consentement de tes clients avant de traiter leurs données a un “coût énorme” pour toi ? Tu sais que tu n’es pas obligé de recueillir le consentement sur une feuille d’or ?







Parce que toute la partie cookie des sites est à retravailler ( je dis bien a 100% pas juste 2 lignes à rajouter), il faut écrire des scripts qui se charge avant le chargement des cookies pour donner le choix aux gens de les accepter ou non.

Il faut payer des gens à dev ca, ils le font pas gratuitement.







recoding a écrit :



Si tu restreins aux boites qui collectent des données sur les utilisateurs, ça touche moins de monde non?

Ca touche même beaucoup moins de monde non?



Et puis le RGPD ne touche pas que le web hein, ça concerne les services infos.



Ca pose des limites au fichage privé, y’a sûrement des trucs imparfaits dedans, mais il était temps. Se plaindre qu’un business souffre d’un règlement que toute entreprise aurait dû se fixer moralement plus tôt, c’est mettre l’économie bien au dessus de l’éthique, c’est dommage.







Ca touche adsense, donc ca touche énormément de monde (vraiment beaucoup). Pour résumer il faut demander l’autorisation à tes visiteurs d’afficher adsense.

J’ai l’impression que la plupart des gens ici n’ont aucune idée de l’ampleur de la catastrophe qui arrive, quand vous verrez vos sites préféré soit fermer soit devenir payant ca va vous faire tout drôle.


















Ces textes ont été voté il y a deux ans, pas le 24 mai 2018








Stel a écrit :



Être joyeux du malheur des autres, se satisfaire des gens qui vont pointer aux chomage.

Voila toute la bétise humaine résumer en un seul commentaire. BRAVO !

Vous avez tellement rien pigé que je vais pas prendre du temps à vous expliquer à quel point vous êtes à coté de la plaque.









Encore un commentaire 100 % bullshit. On se croirait au bistro.







Parce que toute la partie cookie des sites est à retravailler ( je dis bien a 100% pas juste 2 lignes à rajouter), il faut écrire des scripts qui se charge avant le chargement des cookies pour donner le choix aux gens de les accepter ou non.

Il faut payer des gens à dev ca, ils le font pas gratuitement.







Ca touche adsense, donc ca touche énormément de monde (vraiment beaucoup). Pour résumer il faut demander l’autorisation à tes visiteurs d’afficher adsense.

J’ai l’impression que la plupart des gens ici n’ont aucune idée de l’ampleur de la catastrophe qui arrive, quand vous verrez vos sites préféré soit fermer soit devenir payant ca va vous faire tout drôle.



-Ca faisait 2 ans qu’on savait que ca allait arriver.

-La CNIL a bien dit qu’au début ils ne taperont pas (sauf pour ce qui était déjà en vigueur pour la loi de 78) mais accompagneront pour se mettre en règle. S’ils ferment, c’est bien qu’ils refusaient de se mettre en règle à la base.









Patch a écrit :



-Ca faisait 2 ans qu’on savait que ca allait arriver.

-La CNIL a bien dit qu’au début ils ne taperont pas (sauf pour ce qui était déjà en vigueur pour la loi de 78) mais accompagneront pour se mettre en règle. S’ils ferment, c’est bien qu’ils refusaient de se mettre en règle à la base.





bof tu savais que c’était voté mais tu ne connaissais pas les détails de l’application

ca n’a été transcris que récemment dans le droit francais



Il s’agit d’unréglement : l’application est immédiate et la transcription n’est pas obligatoire.


Carrément ! Les mecs, c’est les premiers à trouver des raisons plus farfelues les unes que les autres pour t’expliquer que la loi américaine s’applique à peu près partout dans le monde (USA #1 FTW!!!111).



Dernière en date : les Américains accidentels. Tu es né aux US par hasard parce que tes parents y étaient en vacances quand tu es né (et ont un peu merdé sur le timing pour le coup) ? Alors par ici l’argent, il faut que tu payes tes impôts aux US aussi !

https://www.francetvinfo.fr/monde/usa/les-etats-unis-me-reclament-6-000-euros-le…



Ah, et gare à toi si ta boite fait des trucs à Cuba ou en Iran (bon, sur le dernier point, j’exagère un peu, mais à peine)…


Je confirme. Ce sont surtout les pénalités très lourdes en cas de non conformité qui poussent les grosses boites à se mettre au pas.


La CNIL peut dire ce qu’elle veut, ce n’est pas la seule autorité en Europe à potentiellement pouvoir te taper dessus.



Et puis on peut avoir été au courant depuis 2 ans et quand même déployer une térachiée d’implémentations le 23 pour une première exécution des nouveaux batches le 24 afin d’être en règle pour le 25 (bon, c’est surtout mes collègues qui ont douillé, moi j’étais dans l’avion pour mes vacances <img data-src=" />). C’est malheureusement la réalité des services informatiques dans les grosses boites (et crois-moi, on se tape la tête contre le bureau au moins une fois par jour, afin de perdre quelques neurones pour se mettre au niveau des abrutis d’en-face).


En droite ligne de cet article, le phénomène ne touche pas que d’obscures applications et quelques jeux tombés quasiment en oubli, mais même des grands titres de presse américains qui ferment l’accès aux européens (au moins temporairement):

https://www.numerama.com/tech/378163-rgpd-face-aux-nouvelles-lois-de-grands-medias-americains-bloquent-leur-acces-a-leurope.html



Si on ajoute que FB aurait fermé les comptes qui n’acceptent pas de “consentir” annonçant un vrai bras de fer entre les GAFAS et les CNILs, ca veut dire aussi que des entreprises US qui n’ont pas comme cœur de métier le défonçage de données persos préfèrent malgré tout couper leurs services…



Outre l’interrogation sur la capacité véritable des CNILs à contraindre les GAFAS, la situation pourrait aussi conduire ceux qui ne peuvent plus accéder aux comptes et services à penser que le RGPD est juste un truc pour les emmerder.



Je ne doutais pas que le RGPD ne serait pas appliqué avant des années, qu’il y aurait des crispations classiques sur le mode “c’est de la paperasse pour rien”, par contre je ne pensais pas que d’énormes boites, sciemment ou par crainte, préféreraient jouer le jeu de la coupure de service pure et simple, ce qui pourrait faire très mal si l’Europe n’est pas capable de défendre l’intérêt de protéger les données persos (et au regard de l’état de faiblesse de l’Europe, on part pas gagnant).



De là à ce que Trump se mette en tête que le RGPD est une mesure protectionniste pour sanctionner les USA il n’y a qu’un pas qu’il pourrait franchir allégrement <img data-src=" />








Stel a écrit :



Parce que toute la partie cookie des sites est à retravailler ( je dis bien a 100% pas juste 2 lignes à rajouter), il faut écrire des scripts qui se charge avant le chargement des cookies pour donner le choix aux gens de les accepter ou non.

Il faut payer des gens à dev ca, ils le font pas gratuitement.&nbsp;





N’était-ce pas déjà le cas depuis la loi Informatique et Liberté de… 1978 ?

Ah mais oui, ce que le RGPD change, c’est essentiellement le montant des sanctions, du coup maintenant on est un peu plus motivé pour respecter la loi.









alex.d. a écrit :



N’était-ce pas déjà le cas depuis la loi Informatique et Liberté de… 1978 ?

Ah mais oui, ce que le RGPD change, c’est essentiellement le montant des sanctions, du coup maintenant on est un peu plus motivé pour respecter la loi.







Mais bien sûr tati ginette, vous reprendrez bien un verre de ricard.









oursgris a écrit :



bof tu savais que c’était voté mais tu ne connaissais pas les détails de l’application

ca n’a été transcris que récemment dans le droit francais



Les grandes lignes étaient largement connues. Ce qui a pu rester inconnu longtemps après était de l’ordre du détail par rapport à ce qui devait être mis en place (âge minimum du consentement des mineurs, par ex)… Affirmer l’inverse, c’est faire preuve d’une grande mauvaise foi.









Plastivore a écrit :



La CNIL peut dire ce qu’elle veut, ce n’est pas la seule autorité en Europe à potentiellement pouvoir te taper dessus.



Et puis on peut avoir été au courant depuis 2 ans et quand même déployer une térachiée d’implémentations le 23 pour une première exécution des nouveaux batches le 24 afin d’être en règle pour le 25 (bon, c’est surtout mes collègues qui ont douillé, moi j’étais dans l’avion pour mes vacances <img data-src=" />). C’est malheureusement la réalité des services informatiques dans les grosses boites (et crois-moi, on se tape la tête contre le bureau au moins une fois par jour, afin de perdre quelques neurones pour se mettre au niveau des abrutis d’en-face).



Ca je dirais, c’est le fonctionnement normal de toute les administrations (au sein d’une entreprise comme de l’Administration)… Partout, on te demandera de faire des trucs difficiles à faire d’urgence pour avant-hier <img data-src=" />









Z-os a écrit :



Il s’agit d’unréglement : l’application est immédiate et la transcription n’est pas obligatoire.





ok je te crois sur parole.

ca a du sens effectivement









crocodudule a écrit :



Si on ajoute que FB aurait fermé les comptes qui n’acceptent pas de “consentir” annonçant un vrai bras de fer entre les GAFAS et les CNILs, ca veut dire aussi que des entreprises US qui n’ont pas comme cœur de métier le défonçage de données persos préfèrent malgré tout couper leurs services…





Au contraire, ça montre que ces sociétés se basent sur le « défonçage de données persos » et ne trouvent donc aucun intérêt à fournir un service gratuit sans retour sur investissement.









Stel a écrit :



Ca touche adsense, donc ca touche énormément de monde (vraiment beaucoup). Pour résumer il faut demander l’autorisation à tes visiteurs d’afficher adsense.

J’ai l’impression que la plupart des gens ici n’ont aucune idée de l’ampleur de la catastrophe qui arrive, quand vous verrez vos sites préféré soit fermer soit devenir payant ca va vous faire tout drôle.



Justement, pour un débat assez proche, j’ai déjà regardé la liste des sites que je fréquente régulièrement, et leur dépendance à la pub/leur source de financement.



Et bien… il s’avère qu’il n’y a pas grand chose qui me manquerait. Et s’il reste peu de choses à la fois indispensables et qui deviennent payantes, alors ce sera tout à fait possible.



Certaines ressources, parmi les plus intéressantes, sont justement l’essence d’internet, par exemple des sites d’universitaires, avec quelques ko de données texte, hébergés par les universités ou des abonnements à 2€/an. Des “blogueurs” qui ne dépendent de personne. Des sites de dev/softs/services qui vivent sur leurs offres premium sans afficher de pub…



Et même de la presse en ligne avec abonnement&nbsp;<img data-src=" />



A l’inverse j’ai cessé de fréquenter certains gros sites, plus ou&nbsp; moins devenus des références dans leur secteurs, parce qu’avec l’augmentation de leur trafic et de leurs activités sont arrivés la pub en masse, les partenariats, puis des soupçons de collusions, et finalement de la modération sur leurs forums pour calmer les débats sur le sujet. Bref, de l’“internet gratuit” tant qu’on accepte un discours biaisé par la dépendance économique. (parfois malgré des éditorialistes passionnés et sincères)



Cela dit il n’y a pas des gentils (à part NXI&nbsp;<img data-src=" />&nbsp;) et des méchants, beaucoup sont dans une zone grise ou compliquée, restons mesurés.



J’ai plusieurs sites personnels, et je me demandais si j’avais des choses à faire. Le texte me semble relativement flou sur ça. Ça semble toujours viser des entreprises, mais qu’en est-t-il des sites à but non lucratif de particuliers ? Par exemple, un blog.








zefling a écrit :



J’ai plusieurs sites personnels, et je me demandais si j’avais des choses à faire. Le texte me semble relativement flou sur ça. Ça semble toujours viser des entreprises, mais qu’en est-t-il des sites à but non lucratif de particuliers ? Par exemple, un blog.







Tu fais du tracking de tes visiteurs ? Tu utilises des services utilisant le tracking (régie publicitaire, Google analytics, …) ?









Mihashi a écrit :



Au contraire, ça montre que ces sociétés se basent sur le « défonçage de données persos » et ne trouvent donc aucun intérêt à fournir un service gratuit sans retour sur investissement.





Si c’est évidemment le cas de FB et autres, je doute que le los angeles times et le chicago tribune, presse d’investigation à l’image sérieuse, se basent sur le défonçage de données persos pour se financer.









crocodudule a écrit :



Si c’est évidemment le cas de FB et autres, je doute que le los angeles times et le chicago tribune, presse d’investigation à l’image sérieuse, se basent sur le défonçage de données persos pour se financer.





Je pense que les américains ont plus souvent que nous à faire face à de gros procès pour tout et n’importe quoi.&nbsp; En l’état actuel des choses, ils n’ont pas spécialement porté attention à tout ça et arrivé à la date fatidique ils n’ont pas une vision assez claire des implications derrière le RGPD.&nbsp; Alors plutôt que de risquer des sanctions financières parfois énormes, ils préfèrent tout bloquer par précaution.&nbsp;



En vrai, continuer à naviguer en refusant, c’est possible. C’est parce que je dis oui sur leur site que je ne sais pas dire non dans mon navigateur. Et entre un visiteur qui vois quelques pubs acceptables (hé oui, ça existe, suffit de pas tracker, comme un panneau publicitaire dans la rue) et pas de visiteur, le choix est censé être simple.



Mais non, certaisn sites préfèrent visiblement perdre leurs visiteurs (et donc leur matière première, il faut le dire, les clients sont les boîtes de pub) plutôt que de tolérer qu’ils ne soient pas totalement soumis à leur surveillance.








wanou2 a écrit :



Tu fais du tracking de tes visiteurs ? Tu utilises des services utilisant le tracking (régie publicitaire, Google analytics, …) ?







Piwik sur le même serveur.









zefling a écrit :



Piwik sur le même serveur.





Si tu as la dernière version les données de tes visiteurs sont anonymisés du coup tu es ok.









zefling a écrit :



Piwik sur le même serveur.





Je viens de jeter un oeil, piwik supprime la référence des deux derniers identifiant de l’adresse IP du coup j’ai x.x.0.0 au lieu de l’IP complète du coup ça ne permet pas l’identification d’une personne, alors ça doit suffire.









zefling a écrit :



Piwik sur le même serveur.







Tu peux suivre les recommandations de la CNIL :https://www.cnil.fr/sites/default/files/typo/document/Configuration_piwik.pdf



Personnellement j’ai été plus loin en activant DotNotTrack.

D’ailleurs, je déplore cette incohérence dans la politique de NXI :





© 2000 - 2018 INpact Mediagroup - SARL de presse. N° de CPPAP 0321 Z 92244. Marque déposée. Tous droits réservés. Design par Btoweb.fr. DoNotTrack





Mais sur la page “Vie privée”, Piwik n’est pas paramétré pour suivre le DNT :





Vous pouvez choisir ici de NE PAS autoriser le suivi de votre ordinateur via un cookie lui assignant un numéro d’identification unique. Notre outil d’analyse web n’enregistrera pas l’activité de votre ordinateur.

Pour faire ce choix et installer un cookie d’exclusion, veuillez cliquer ci-dessous.



Vous êtes actuellement suivi(e). Cliquez ici pour exclure votre ordinateur.





Le comportement de Piwik dans le cas du DNT est le suivant :





Vous n’êtes pas suivi parce que votre navigateur transmet que vous ne voulez pas l’être. Ceci est un paramètre de votre navigateur et vous ne serez pas en mesure de participer avant d’avoir désactivé la fonctionnalité “ne pas suivre”.









methos1435 a écrit :



Je pense que les américains ont plus souvent que nous à faire face à de gros procès pour tout et n’importe quoi.&nbsp; En l’état actuel des choses, ils n’ont pas spécialement porté attention à tout ça et arrivé à la date fatidique ils n’ont pas une vision assez claire des implications derrière le RGPD.&nbsp; Alors plutôt que de risquer des sanctions financières parfois énormes, ils préfèrent tout bloquer par précaution.&nbsp;





C’est une raison possible effectivement, néanmoins le symbole n’est pas anecdotique : des sites de presse (que j’admets ne connaître que de nom) préfèrent couper l’accès à leurs informations que de chercher à se conformer au RGPD.



C’est clairement contre productif comme résultat :/









Stel a écrit :





  1. Être joyeux du malheur des autres, se satisfaire des gens qui vont pointer aux chomage.

    Voila toute la bétise humaine résumer en un seul commentaire. BRAVO !



    &nbsp;2. Vous avez tellement rien pigé que je vais pas prendre du temps à vous expliquer à quel point vous êtes à coté de la plaque.





    1. Encore un commentaire 100 % bullshit. On se croirait au bistro.



    2. Parce que toute la partie cookie des sites est à retravailler ( je dis bien a 100% pas juste 2 lignes à rajouter), il faut écrire des scripts qui se charge avant le chargement des cookies pour donner le choix aux gens de les accepter ou non.

      Il faut payer des gens à dev ca, ils le font pas gratuitement.







    3. Ca touche adsense, donc ca touche énormément de monde (vraiment beaucoup). Pour résumer il faut demander l’autorisation à tes visiteurs d’afficher adsense.

    4. J’ai l’impression que la plupart des gens ici n’ont aucune idée de l’ampleur de la catastrophe qui arrive, quand vous verrez vos sites préféré soit fermer soit devenir payant ca va vous faire tout drôle.



      MDR. “Encore un commentaire 100% bullshit”, tu parlais du tien je suppose ?

      Non ? Bah on va reprendre tout ça, mais dans un ordre plus logique.



      3, 4 : ça fait depuis les années 80 que la notion de respect des données personnelles existe. Ca fait environ 3-4 ans que ce genre de “cataclysme” (je reviens sur le catastrophisme débile ensuite, promis) pend au nez de toutes les compagnies qui exploitent les données personnelles d’une manière ou d’une autre.

      Si ça leur tombe sur la gueule comme une massue, c’est que les dirigeants sont mauvais. Genre, grade “incompétent de merde”.&nbsp;

      &nbsp;

      1, 2 : si tu es suffisamment intelligent pour bosser correctement, quel que soit ton domaine, tu es assez intelligent pour déterminer le niveau de compétence de tes patrons. Et si tu vois qu’ils sont mauvais mais que tu restes quand même, c’est ton choix.



    5. “Oh mon dieu, les PME vont mettre la clé sous la porte à cause de ces restrictions législatives ineptes !”

      Non, que dalle… Sauf, bien sûr les PME dont 100% de l’activité économique se basait sur de l’exploitation de données personnelles et qu’elles n’avaient jamais pris soin de respecter le droit. Ce qui in fine renvoie aux points 3 et 4. Pour le reste, la CNIL va pas s’emmerder à aller chercher noise à des PME pour qui la récolte et l’exploitation sont limitées à un support accessoire à l’exploitation (genre le petit commerce qui a pas mis à jour son site).

      L’idée de cette initiative juridique, ce n’est pas de faire chier le monde, c’est de sabrer les mecs qui font nimp avec les données personnelles. Et ce n’est pas un mal.



    6. “Oh mon dieu tant de sites vont fermer juste à cause de ça”.

      Complètement faux, mais d’une force… Considérons les aspects suivants.

      a) L’internet gratuit a globalement vécu, pour plein de raisons. Ca fait au moins plus de 5 ans que les éditeurs de contenu “en ligne” ont des signaux d’alarme similaires à ceux qu’ont connus (même si différemment) les éditeurs papiers il y a 10 ans.

      b) Adblock existe depuis perpète, avec sa cohorte de copies. Globalement les publicitaires ont eux-même provoqué la course à l’armement en étant aussi irrespectueux que possible avec les internautes.

      De fait, aujourd’hui, que ce soit parce que on refuse proprement avec les cookies ou que l’on refuse par outil, le resultat est le même : quelqu’un qui ne veut pas de publicité ciblée (et donc bloque une source de revenus) pouvait déjà le faire.

      c) Inversement, si vraiment la majorité des gens étaient conscients des enjeux relatifs aux données personnelles, ils n’auraient pas attendu la mise en vigueur du RGPD pour agir. Le fait est que la réalité est autre : nombreux sont ceux qu’on pourraient qualifier d’addicts aux réseaux sociaux”.

      d) Enfin, rappelons que la proportion de personnes lisant proprement les conditions générales d’un site, et capables d’en saisir les tenants et aboutissants, doit représenter moins d’1% de la population quand les deux conditions sont cumulées.



      &gt;&gt;&gt; Dans les faits, on aura deux gros cas de figure côté fournisseurs…

    7. Ceux qui faisaient de la grosse merde sans aucun respect, qui vont soit se mettre d’équerre (mieux vaut tard que jamais) soit jeter l’éponge (bon débarras).

    8. Ceux qui ne se sont jamais préoccupés de la CNIL parce que la collecte de données était réservée à usage internes et qui soit laisseront courir soit investiront dans les adaptations nécessaires en fonction de leur trésorerie (sachant que, à nouveau, s’ils étaient d’équerre avec le droit de base, ça ne devrait pas poser trop de problèmes).



      Côté utilisateurs…

    9. Ceux qui sont attentifs à l’exploitation de leurs données, et qui le sont probablement depuis assez longtemps pour avoir de toute façon filtré les sites boulets. (une minorité).

    10. Ceux qui vont prendre peur parce qu’ils ne comprennent pas vraiment de quoi ils retournent et préféreront annuler de peur de souscrire un contrat qui leur échappe (petite minorité, probablement, mais je n’ai pas de source ;)).

    11. Ceux qui verront le popup d’information et acceptation comme un obstacle sur le chemin de leur drogue, pour qui cliquer sur “accepter” a toujours très bien fonctionné jusqu’ici, et qui s’empresseront de cliquer sur accepter (l’immense majorité).

      Alors le coup du cataclysme, il est franchement pas des masses crédible.



    12. Figure toi que si des sites que je consulte tombent juste à cause de l’entrée en vigueur du RGPD, alors je me dirais simplement que leur temps est venu juste quelques mois plus tôt que prévu. Confer le point précédent : on voit depuis plusieurs années les limites du modèle publicitaire, notamment à cause de l’absence d’auto-contrôle et de l’irresponsabilité des publicitaires. Les gens intelligents auront réfléchi en temps et en heure&nbsp; pour tenter de créer un modèle économique hybride ou pur payant qui leur permette de survivre. Les autres seraient de toute façon morts à court terme, le RGPD n’aura été qu’un accélérateur.

      &nbsp;










crocodudule a écrit :



C’est une raison possible effectivement, néanmoins le symbole n’est pas anecdotique : des sites de presse (que j’admets ne connaître que de nom) préfèrent couper l’accès à leurs informations que de chercher à se conformer au RGPD.



C’est clairement contre productif comme résultat :/





Je sais pas trop. Faudrait voir si ils ont beaucoup de trafic coté européen. Ils perdent peut être un peu mais combien d’amende ils devraient supporter si ne serait ce qu’un seul européen décidait de déposer plainte ? …



Jusque 4% du CA mondial pour les entreprises.








alex.d. a écrit :



Quels “coûts financiers énormes” ? Obtenir le consentement de tes clients avant de traiter leurs données a un “coût énorme” pour toi ? Tu sais que tu n’es pas obligé de recueillir le consentement sur une feuille d’or ?





C’est parce que tu es mal informe que tu dis des betises.

&nbsp;

&nbsp;C’est estime a 1.2 milliards d’euros pour les entreprises francaises…

&nbsp;De quelques 10aines de millions d’euros pour une grande societe, a “seulement” quelques 10aines ou milliers d’euros pour une PME…

https://epernot.com/fr/gdpr-rgdp-essentiel-mise-en-conformite/#Qui_est_concerne_par_le_RGPD

&nbsp;

&nbsp;Un grand nombres de PME en France etant deja fragiles, payer des milliers d’euros qu’elles n’ont pas ou se voir infliger une amende de 4% du CA, il ne faudra pas s’etonner si ton coiffeur ou ton livreur de fleurs du coin soit oblige de fermer boutique…

&nbsp;

&nbsp;Si ce n’etait qu’une reglementation a la cn de ce genre tous les 6 mois, les entrepreneurs francais etant courageux et de gros bosseurs, ca passerait… Mais ce sont des regelementations a la cn de ce genre toutes les 30 secondes en France!

&nbsp;Et apres tout le monde s’etonne que les PMEs ferment boutique, que les societes du CAC 40 sont toutes a l’etranger quasiment et que personne n’a de travail….



Les exigences de la GDPR ne sont pas les mêmes selon que l’on est un facebook géant qui nie le droit à la vie privée de ses utilisateurs et les track, et le petit site d’une PME ou d’un particulier qui n’a pas pour commerce de traiter des données personnelles sensibles.



En plus, c’est pas parce que t’es petit que tu peux faire n’importe quoi avec les données personnelles des autres. Un entrepreneur te dirait que c’est une opportunité parce que ça va peut-être créer une place sur le marché pour un système publicitaire plus respectueux des données des utilisateurs.

&nbsp;








kevinz a écrit :



C’est parce que tu es mal informe que tu dis des betises.







Comme beaucoup malheureusement, les commentaires de certains sont juste hallucinant.

Et je considère le public de nextinpact plutôt aguerri sur le web, j’ose même pas imaginer le reste du public ca fait peur.







kevinz a écrit :



C’est estime a 1.2 milliards d’euros pour les entreprises francaises…

De quelques 10aines de millions d’euros pour une grande societe, a “seulement” quelques 10aines ou milliers d’euros pour une PME…

https://epernot.com/fr/gdpr-rgdp-essentiel-mise-en-conformite/#Qui_est_concerne_par_le_RGPD



Un grand nombres de PME en France etant deja fragiles, payer des milliers d’euros qu’elles n’ont pas ou se voir infliger une amende de 4% du CA, il ne faudra pas s’etonner si ton coiffeur ou ton livreur de fleurs du coin soit oblige de fermer boutique…



Si ce n’etait qu’une reglementation a la cn de ce genre tous les 6 mois, les entrepreneurs francais etant courageux et de gros bosseurs, ca passerait… Mais ce sont des regelementations a la cn de ce genre toutes les 30 secondes en France!

Et apres tout le monde s’etonne que les PMEs ferment boutique, que les societes du CAC 40 sont toutes a l’etranger quasiment et que personne n’a de travail….







Je te rejoins entièrement sur l’ensemble de tes remarques.
















kevinz a écrit :



Un grand nombres de PME en France etant deja fragiles, payer des milliers d’euros qu’elles n’ont pas ou se voir infliger une amende de 4% du CA, il ne faudra pas s’etonner si ton coiffeur ou ton livreur de fleurs du coin soit oblige de fermer boutique…



Perso je préfère que mon coiffeur coiffe et que mon livreur livre, au lieu de traiter des données clients pour je ne sais quelle obscure raison…









kevinz a écrit :



Et apres tout le monde s’etonne que les PMEs ferment boutique, que les societes du CAC 40 sont toutes a l’etranger quasiment et que personne n’a de travail….



100% de demandeurs d’emploi en France pour 0 actif, c’est beau. T’as pas un chiffre encore plus débile à envoyer?









bloossom a écrit :



Les exigences de la GDPR ne sont pas les mêmes selon que l’on est un facebook géant qui nie le droit à la vie privée de ses utilisateurs et les track, et le petit site d’une PME ou d’un particulier qui n’a pas pour commerce de traiter des données personnelles sensibles.







Le GDPR est le même pour tout le monde.









bloossom a écrit :



En plus, c’est pas parce que t’es petit que tu peux faire n’importe quoi avec les données personnelles des autres.







On est d’accord.









bloossom a écrit :



Un entrepreneur te dirait que c’est une opportunité parce que ça va peut-être créer une place sur le marché pour un système publicitaire plus respectueux des données des utilisateurs.







Je ne pense pas. Déjà les régie pub classique aurait pu sauter sur le creneau pour profiter de ca et gagner des part sur google adsense, ils n’ont rien fait, absolument rien, même pas communiqué dessus.

Actuellement rien n’est fait, c’est juste les cons qui sont en bout de ligne qui se prennent tout les problèmes de mise en place de ce système , des couts , + des revenu publicitaires en chute libre à partir du moment ou tu respecte le GRPD. Je pense que google lui s’en fou, il lui reste le moteur de recherche + adword.










Tu as lu le liens que tu as mis ? Parce que typiquement ton fleuriste ou ton coiffeur ne sont absolument pas concerné. J’ai un pote qui bosse dans une boite de 85M€ de CA et qui emploie environ 110 salariés, le passage en mode GRPD leur&nbsp;a coûté environ 15.000€ surtout en raison du passage du fichier prospect en opt-in, la mise à jour du site internet et l’actualisation des CGV. Pourquoi ça ne leur coûte pas cher ? Car le traitement des données personnelles ne concerne que l’activité marketing et que ce n’est pas&nbsp;leur core-business.


&nbsp;Les régies publicitaires dites premium se sont jetées sur la RGPD car elles sont en mesures d’accompagner leur clients&nbsp;qui veulent des&nbsp;campagnes&nbsp;de qualité&nbsp;et leurs partenaires (les sites qui portent de la publicité) en faisant des offres assez qualitatives. ça ne va pas plus loin que ça.



Le seul soucis c’est que ces régies ne sont ouvertes qu’à des sites de qualités avec un trafic suffisant car elles font du placement de publicité plus que de l’affichage tout con. En fait, le marché de la publicité en ligne&nbsp;va rejoindre celui de la publicité en vrai :




  • publicité par affichage : pas cher et non ciblé (adsense & co)

  • placement de publicité dans des magasines par exemple : plus cher et plus ciblé (régies premium)



    Ceux qui vont devoir faire face à une baisse de leur chiffre d’affaires sont les sites qui ne sont pas en mesure de qualifier leur audience ou en mesure de présenter un contenu suffisant pertinent pour que celui-ci soit magnétisable par une régie premium.








kevinz a écrit :



&nbsp; C’est estime a 1.2 milliards d’euros pour les entreprises francaises…





&nbsp;C’est le coût du rattrapage sur le n’importe quoi qui est pratiqué depuis des années.



C’est même la preuve que l’autorégulation ne fonctionne pas: La gestion des données des internautes a toujours été pourrie, open bar dans la collecte et le traitement. Les fuites géantes de données de compte par des acteurs importants a jeté un mauvais coup de comm’ là dessus, mais personne n’a été surpris parmi les gens du secteur. Le droit de consultation et modification s’est souvent vu confronté à une absence de réponse.



Bref… En plus l’économie c’est pas si simple, ces 1,2 milliards ils&nbsp; vont aller où? Dans des sociétés d’info, de conseil, chez de nouveaux employés? En France, à l’étranger?

&nbsp;









kevinz a écrit :



C’est parce que tu es mal informe que tu dis des betises.





Je suis tellement mal informé que j’applique le RGPD. Toi aussi arrête les bêtises : si tu as beaucoup de choses à changer pour le RGPD, c’est qu’au départ tu n’appliquais pas correctement les lois Informatiques et Libertés, mais tu t’en foutais parce que les amendes étaient rares et d’un montant négligeable.

&nbsp;



evinz a écrit :



&nbsp;Et apres tout le monde s’etonne que les PMEs ferment boutique, que les societes du CAC 40 sont toutes a l’etranger quasiment et que personne n’a de travail….





Par définition, une société du CAC40 a sa cotation à la bourse de Paris.

&nbsp;



Les gens de Framasoft doivent perdre la tête en ce moment, tant de possibilité.








Patch a écrit :



Perso je préfère que mon coiffeur coiffe et que mon livreur livre, au lieu de traiter des données clients pour je ne sais quelle obscure raison…



&nbsp;

Étant une toute petite entreprise moi-même, je ne vois en plus pas trop l’intérêt de s’enquiquiner à faire je ne sais quoi avec les données, autre que ce dont j’ai besoin à titre professionnel (donc pas grand chose et déjà, dans mon domaine, encadré par la loi) pour un éventuel revenu aléatoire.



Idem pour ce qui consiste à mettre des publicités sur mes sites d’ailleurs.



Donc, je doute que les PME surtout les toutes petites aient vraiment quelque chose à craindre sauf si elles utilisent une application de CRM en ligne. Et, dans ce cas, c’est au prestataire de faire la preuve de la qualité et de la conformité de son application. Et là il peut y avoir des problèmes, notamment parce que changer de prestataire n’est pas évident.









Stel a écrit :



Le GDPR est le même pour tout le monde.





Le RGPD (ben oui, on est en France l’un des pays co-fondateurs de l’UE.) est le même pour tout le monde, mais il y a des seuils pour la mise en œuvre. Par exemple, d’après ce que j’ai lu, le registre n’est pas obligatoire pour les toutes petites entreprises (moins de 250 salariés). Pour le reste, respecter ses clients, donc ses données, me paraît quelque chose de tout à fait normal que les entreprises devraient de toute façon pratiquer.









Stel a écrit :



Comme beaucoup malheureusement, les commentaires de certains sont juste hallucinant.

Et je considère le public de nextinpact plutôt aguerri sur le web, j’ose même pas imaginer le reste du public ca fait peur.







Je te rejoins entièrement sur l’ensemble de tes remarques.





Je trouve quand même que pas mal de monde ici répond intelligemment en t’avançant des arguments que tu ignores. Ce serait cool que tu sois constructif :)

&nbsp;





numerid a écrit :



&nbsp;

Étant une toute petite entreprise moi-même, je ne vois en plus pas trop l’intérêt de s’enquiquiner à faire je ne sais quoi avec les données, autre que ce dont j’ai besoin à titre professionnel (donc pas grand chose et déjà, dans mon domaine, encadré par la loi) pour un éventuel revenu aléatoire.



Idem pour ce qui consiste à mettre des publicités sur mes sites d’ailleurs.



Donc, je doute que les PME surtout les toutes petites aient vraiment quelque chose à craindre sauf si elles utilisent une application de CRM en ligne. Et, dans ce cas, c’est au prestataire de faire la preuve de la qualité et de la conformité de son application. Et là il peut y avoir des problèmes, notamment parce que changer de prestataire n’est pas évident.





Il me semble qu’infine une boite est responsable de son traitement même si elle a externalisé. Dans le cadre d’un CRM en ligne ça ne suffit pas de dire “j’ai externalisé” il faut aussi s’assurer que le fournisseur est ok. Un cas très concret, si un client sonne à la porte d’une PME pour demander le retrait de ses données persos, il faut bien que ce soit possible au niveau CRM et pour ça le fournisseur doit quand même avoir un certains niveau de conformité.









numerid a écrit :



Le RGPD (ben oui, on est en France l’un des pays co-fondateurs de

l’UE.) est le même pour tout le monde, mais il y a des seuils pour la

mise en œuvre. Par exemple, d’après ce que j’ai lu, le registre n’est

pas obligatoire pour les toutes petites entreprises (moins de 250

salariés). Pour le reste, respecter ses clients, donc ses données, me

paraît quelque chose de tout à fait normal que les entreprises devraient

de toute façon pratiquer.









Sur pour le registre basé sur la taille ? Si une boite de moins de 250 salariés manipulent de la donnée sensible ( données de santé par exemple ) il ne me parait pas déconnant qu’ils doivent faire un registre.

&nbsp;



Une entreprise est responsable de son traitement, certes, et elles ont à demander à leur prestataire de fournir des preuves de la conformité au RGPD pas à faire le boulot de mise en conformité elles-mêmes sauf, évidemment à supprimer les traitements illicites qu’elles auraient été amenées à faire. Et là où ça pose problème c’est si elles doivent changer de prestataire de CRM. Si la base de données est petite ce n’est pas très grave, sinon, bonjour les dégâts.



Concernant le seuil de salariés pour le registre, j’ai vu passer ça ici :http://www.zdnet.fr/actualites/rgpd-comment-tenir-un-registre-des-traitements-39… et ça ne concerne, évidemment, pas les entreprises qui gèrent des données sensibles.



Mais la plupart des petites structures ne gèrent pas de données sensibles.



Cela dit, j’ai fait un registre aujourd’hui pour me plier à l’exercice :-)








Patch a écrit :



100% de demandeurs d’emploi en France pour 0 actif, c’est beau. T’as pas un chiffre encore plus débile à envoyer?






&nbsp;What ?      







Patch a écrit :



Perso je préfère que mon coiffeur coiffe et que mon livreur livre, au lieu de traiter des données clients pour je ne sais quelle obscure raison…






 Pour l'obscure raison de savoir ou livrer et a qui par exemple...       

&nbsp;Ou a quel numero te joindre pour te prevenir que ton rendez-vous est annule ou si une place se libere... Si tu as une promo fidelite, si tu as paye ta facture etc. etc.



&nbsp;Ils te demandent certaines informations pour le plaisir de perdre du temps tu penses ?









kevinz a écrit :



&nbsp;What ?




  Pour l'obscure raison de savoir ou livrer et a qui par exemple...        

&nbsp;Ou a quel numero te joindre pour te prevenir que ton rendez-vous est annule ou si une place se libere... Si tu as une promo fidelite, si tu as paye ta facture etc. etc.



&nbsp;Ils te demandent certaines informations pour le plaisir de perdre du temps tu penses ?





Oui enfin quel est l’impact de la RGPD pour ce genre d’entreprise ?&nbsp; Ils n’ont pratiquement rien à faire pour se mettre en conformité&nbsp; ….



&nbsp;





numerid a écrit :



Une entreprise est responsable de son traitement, certes, et elles ont à demander à leur prestataire de fournir des preuves de la conformité au RGPD pas à faire le boulot de mise en conformité elles-mêmes sauf, évidemment à supprimer les traitements illicites qu’elles auraient été amenées à faire. Et là où ça pose problème c’est si elles doivent changer de prestataire de CRM. Si la base de données est petite ce n’est pas très grave, sinon, bonjour les dégâts.



Concernant le seuil de salariés pour le registre, j’ai vu passer ça ici :http://www.zdnet.fr/actualites/rgpd-comment-tenir-un-registre-des-traitements-39… et ça ne concerne, évidemment, pas les entreprises qui gèrent des données sensibles.



Mais la plupart des petites structures ne gèrent pas de données sensibles.



Cela dit, j’ai fait un registre aujourd’hui pour me plier à l’exercice :-)





Effectivement je n’étais pas au courant de cette obligation pour les entreprises de plus de 250 salariés. Par contre l’article dit bien qu’une petite entreprise doit tenir un registre si elle manipule des données sensibles. C’est effectivement peu courant mais pas rare je pense . Par exemple les petites startup qui manipules de la données de santé ou financière.



Mais effetivement le commerce moyen ( exemple du coiffeur ) n’est clairement pas impacté par ça.









ben5757 a écrit :



Effectivement je n’étais pas au courant de cette obligation pour les entreprises de plus de 250 salariés. Par contre l’article dit bien qu’une petite entreprise doit tenir un registre si elle manipule des données sensibles. C’est effectivement peu courant mais pas rare je pense . Par exemple les petites startup qui manipules de la données de santé ou financière.



Mais effetivement le commerce moyen ( exemple du coiffeur ) n’est clairement pas impacté par ça.





C’est ce que je disais. Et une bonne partie des petites structures (cabinets médicaux, cliniques privées par exemple) qui gèrent des données sensibles, ont déjà un arsenal législatif et règlementaire ainsi que des contraintes qui les empêchent de faire n’importe quoi. Donc le registre ne devrait pas être compliqué à tenir pour ces structures.

&nbsp;









kevinz a écrit :



What ?



Tu dis que personne n’a de travail en France. Tu ne comprends même pas ce que tu écris toi-même?







kevinz a écrit :



Pour l’obscure raison de savoir ou livrer et a qui par exemple…



Depuis quand avoir une adresse et un nom c’est du traitement de données?



Il n’y a pas à dire, tu portes bien ton pseudo…









numerid a écrit :



C’est ce que je disais. Et une bonne partie des petites structures (cabinets médicaux, cliniques privées par exemple) qui gèrent des données sensibles, ont déjà un arsenal législatif et règlementaire ainsi que des contraintes qui les empêchent de faire n’importe quoi. Donc le registre ne devrait pas être compliqué à tenir pour ces structures.

&nbsp;





Après pour les médecins je trouve la situation pas super rassurante au niveau secu. Un medecin de capagne avec lequel je discutais stocke tous ses dossiers sur un serveur windows. Le prestataire a installé le serveur de la façon suivante :




  • Mot de passe admin de merde ;

  • Compte remote avec accès permanent pour pas avoir à se déplacer en cas de soucis&nbsp;

  • Disque dur non chiffré



    je lui ai fait faire deux trois changement pour que ce soit mieux mais j’imagine que la secu des données informatisés chez la plupart des médecins est traité avec la même négligence.



    &nbsp;