RGPD au 1er Avril 2021

system · April 1, 2021, 9:47am

Bonjour,
suite aux nouvelles directives RGPD, il est dit que l'on est exempté de demander le consentement des utilisateurs si on ne collecte aucune donnée personnelle et qu'on utilise uniquement des Cookies pour comptabiliser l'audience de son site web, genre Analytics.
https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience

Est-ce qu'on peut se limiter à mettre un petit pop up en bas de page avec le message suivant :
Ce site utilise des cookies uniquement pour réaliser des statistiques et des mesures d’audience. Aucune donnée personnelle n'est collectée. en savoir plus

Le lien "en savoir plus" pointant vers le "cookies policy" du site.

Il y en a dans le meme cas que moi ? qu'avez vous fait ?

EricB19 · April 1, 2021, 12:49pm

Si tu diffuses de la publicité (même un blog amateur), tu es tenu d'appliquer les règles du RGPD et donc d'obtenir au préalable de consentement (wall) et aussi d'afficher le texte cookies Policy. Les cas d'exemption sont très très limités.

system · April 1, 2021, 1:28pm

Je ne diffuse aucune publicité, c'est le site vitrine de notre marque. Analytics ne sert qu'a comptabiliser l'audience.

Le probleme c'est que plus je lis d'articles et moins c'est clair dans ma tête, car chacun y va de son interpretation. De fil en aiguille je suis tombé sur le site Matomo.org, qui est une alternative à Google Analytics, et ils indiquent que GA ne respecte pas la RGPD donc c'est pas bon…
https://fr.matomo.org/blog/2020/08/risk-fines-after-google-privacy-shield-invalidation/

Du coup je suis en train de migrer vers Matomo en auto hebergé (on premise)…

EricB19 · April 1, 2021, 3:32pm

Matomo est une société qui veut "vendre" une alternative aux stats google analytics.
La partie gratuite (ils ont même un plugin wordpress) ne fournit pas grand chose comme données.
Et le RGPD c'est autre chose. Tout le monde y est soumis. La seule différence c'est qu'a compter d'aujourd'hui, la CNIL est moins clémente. Le site de la CNIL est très clair et précis sur les obligations et les contraintes. Regardes simplement si tu es dans les clous ou pas au niveau des cookies ou autres obligations. Certains professionnels proposent des audits pour vérifier la mise en conformité avec la RGPD.

En gros un e-commerçant doit assurer l’intégrité et la protection des données personnelles qu'ils collecte, registre, accès et délais de conservation des données, conformité (consentement) des campagnes d'e-mailing des formulaires , signaler toute compromission ou perte de fichiers (c'est d'actualité en ce moment) à la CNIL etc..

ArnaudB67 · April 1, 2021, 3:48pm

Il faut revoir tous notre copie et utiliser des outils officiels par contre il y en a pas mal et ça risque de coûter.

Il y a (liste non exhaustive)

Tarte au citron, le moins cher
Cookiebot
Cookie First

et je rajoute Cookie Script peut être le moins cher pour du payant

Usercentrics : un bras

Comment choisir ça sera la question !

system · April 1, 2021, 5:09pm

Le site de la CNIL est très clair et précis sur les obligations et les contraintes

je suis désolé mais je ne partage pas ton avis sur ce point. Le site nous fait naviguer de pages en pages, au final on ne sais plus ou on est, et parfois on se rend compte qu'on a tourné en rond.
Sur d'autres sites on pense trouver une synthése avec un langage un peu plus vulgarisé pour bien comprendre mais ce n'est pas mieux non plus, on retrouve bien les questions qu'on se pose mais jamais les réponses claires et précises.
Sur ce site par exemple on peut lire :
https://www.eficiens.com/nouvelle-reglementation-cnil-gestion-cookies-1er-avril/

> Ce que la CNIL a clarifié dans sa communication du 8 mars 2021, c’est la gestion spécifique des outils de mesure d’audience. En octobre déjà, la CNIL distinguait bien

> les traceurs exemptés de consentement, dont certains traceurs de mesure d’audience
> les traceurs nécessitant le recueil du consentement préalable, et notamment la publicité (personnalisée ou pas) et le partage sur les réseaux sociaux
> Dans l’article de mars 2021, elle précise dans quels cas une solution de mesure d’audience pourrait être exemptée.
>
> Et a promis d’afficher sur cette même page « la liste des solutions pouvant être configurées pour être utilisées sans recueil du contement » **Sauf que… au 29 mars il n’y a toujours pas de liste**

Bref, pour ce qui me concerne, j'ai installé matomo, je l'ai configuré comme ils le préconisent pour etre conforme à la RGPD, et les données collectées me suffisent largement.

system · April 2, 2021, 11:11am

Bonjour,
j'ai enfin trouvé un lien qui enlève toute ambiguité concernant Google Analytics :
https://www.google.com/about/company/user-consent-policy/

> Si le contrat que vous avez conclu avec Google incorpore ces règles, ou si vous utilisez un produit Google qui les intègre, vous devez vous assurer que certaines informations sont divulguées aux utilisateurs finaux de l'Espace économique européen et du Royaume-Uni et que vous avez obtenu leur consentement.

JulietteG2 · June 3, 2021, 5:43pm

bonjour,

je viens de recevoir un message de google, commencant par:

> Bonjour {Customer Type},
> Le 25 mai 2018, nous avons mis à jour les Règles de Google relatives au consentement de l'utilisateur dans l'UE en vue de l'entrée en vigueur du Règlement général sur la protection des données (RGPD). Les modifications que nous avons apportées détaillent vos responsabilités vis-à-vis des utilisateurs finaux de vos sites et applications dans l'Espace économique européen (EEE) ainsi qu'au Royaume-Uni, concernant les informations que vous devez divulguer et le consentement que vous devez obtenir.

> Nous avons constaté que les sites/applications répertoriés dans le fichier ci-joint ne respectent pas nos règles. Celles-ci reflètent notre interprétation du RGPD, qui s'appuie sur les consignes fournies par les autorités chargées de la protection des données (APD) dans l'UE et/ou au Royaume-Uni. En effet, ces sites ou applications :
> • ne cherchent pas à obtenir le consentement des utilisateurs ; et/ou
> • n'indiquent pas correctement quels tiers (y compris Google) auront également accès aux informations sur l'utilisateur que vous collectez sur votre site/application. Vous pouvez consulter ces outils, ainsi que la liste de fournisseurs de technologie publicitaire, dans vos comptes Ad Manager,AdSense ou AdMob.
>

> Action requise
> Veuillez vérifier les sites/applications répertoriés dans le fichier ci-joint et faites en sorte qu'ils respectent nos règles. Nous allons réexaminer vos sites/applications régulièrement et surveiller votre compte.
> Nous pouvons prendre des mesures, y compris suspendre votre compte, si les règles ne sont toujours pas respectées d'ici le 22 juil. 2021.

le mail provient bien de google.com>

Et oui le message commence vraiment par un balise {Customer Type}… des vrais amateurs ces googleliens.

En gros il menace de suspendre notre compte si l'on l'applique pas la RGPD selon leur interprétation.
le site en question, de contient aucun formulaire, et ne dépose aucun cookies.
Le seul problème est la présence d'un google analytics.

Avec toutes ces info contradictoir, je ne sais pas quoi faire:
- Faut-il conditionner l'activation d'analytics a une l'acceptation explicite?
- Faut-il juste utiliser un bandeau cookie pour notifier qu'un google analytics est présent sur la page ?
- Faut-il parler des log apache sauvegarder par les hébergement mutualisés OVH ?

Gaston_Phone · June 3, 2021, 6:01pm

Bonsoir @JulietteG2

Je me demande, si par manque de consentement sur ton site, GOOGLE n'acceptera plus de référencer ton site et/ou plus de pub adwords.

JulietteG2 · June 3, 2021, 6:51pm

C'est à peu près ce qui est indiqué, vu que cet email concerne un compte adwords.