Questions

[Loris]

Pour répondre à la GDPR, c’est assez simple pour CNO.
Données personnelles récoltées :
- login
- mdp
- localisation (non obligatoire)
- email
- localisation (annuaire de @Ego' ) (non obligatoire)
Raisons : login, communication, annuaire/contact (optionnel)

Localisation physique des données : France (ville ? Réplications ?)
Transferts : aucun
Chiffrement ?

Processus de droit à l’oubli sur demande : oui, efficace, rapide (suppression de compte et des messages afférents).

[Qui Revient de Loin]

Ça parait simple, pourquoi ça poserait problème aux forums US ?

[Yusei]

Ce qui pose problème, c'est que c'est du boulot en plus, et donc c'est plus simple de ne rien faire et de bloquer l'accès aux européens. Il y a plein de magazines/journaux américains qui ont choisi cette option.

À priori le plus pénible sur le plan technique pour la plupart des sites c'est de gérer le fait que le visiteur doit valider l'utilisation des cookies (et ce qu'on fait s'il refuse).

[Jipibur]

Les cookies de connexion (login), ne sont pas concernés par la GRPD. C'est les outils de trackage qui le sont.
Donc, si l'utilisateur dit non, tu enlèves Google Analytics, et les widgets Facebook.
 

[Yusei]

Les cookies de connexion (login), ne sont pas concernés par la GRPD.

Le problème c'est que la définition des cookies non concernés est assez floue. C'est ceux qui sont "nécessaires à un service expressément demandé par l'utilisateur", donc pour le login, oui, c'est bon, mais dès que tu stockes plus d'informations de session, c'est moins clair.

[chaosorcier]

Encore 3 posts bots ce matin (bigbang inscrit le 15/01) malgré la bonne volonté de la modération faire le nettoyage tous les
jours doit user.
 

[le Zakhan Noir]

Il faut y voir une forme de consécration. Poutine a décrété que Casus No serait un lieu d'influence pour les prochaines présidentielles et il envoie ses troupes virtuelles

[Loris]

Ce qui pose problème, c'est que c'est du boulot en plus, et donc c'est plus simple de ne rien faire et de bloquer l'accès aux européens. Il y a plein de magazines/journaux américains qui ont choisi cette option.

C'est de la pure flemme. Parce que, franchement, c'est pas bézef quand on parle juste d'un forum...

À priori le plus pénible sur le plan technique pour la plupart des sites c'est de gérer le fait que le visiteur doit valider l'utilisation des cookies (et ce qu'on fait s'il refuse).

Ca, c'est une autre loi. Et c'est une simple bannière, faut pas déconner.

J'ai bossé sur les deux dans ma boîte actuelle.

[Loris]

Les cookies de connexion (login), ne sont pas concernés par la GRPD.

Le problème c'est que la définition des cookies non concernés est assez floue. C'est ceux qui sont "nécessaires à un service expressément demandé par l'utilisateur", donc pour le login, oui, c'est bon, mais dès que tu stockes plus d'informations de session, c'est moins clair.

Les cookies concerncés par la GDPR sont ceux qui contiennent des PI. Or, c'est franchement rare de mettre ce genre de données sensible dans un cookie (on ne fait plus ça depuis 15 ans si on est pas un biffin).
Encore une fois, le coup des bannières qui vous parle des cookie, c'est une _autre_ loi, de 2002.

https://fr.wikipedia.org/wiki/Directive ... es#Cookies

[Yusei]

Ca, c'est une autre loi. Et c'est une simple bannière, faut pas déconner.

Ce n'est pas une autre loi, et ce n'est pas une simple bannière: l'utilisateur doit pouvoir refuser l'utilisation des cookies, et il doit pouvoir changer d'avis par la suite s'il a accepté. On ne peut plus se contenter de dire qu'en utilisant le site, le visiteur accepte les cookies.

Ce n'est pas super exigeant non plus, mais je ne suis pas surpris que des amateurs qui gèrent leur site sans savoir rentrer dans le code n'aient pas envie de s'embêter avec ça. C'est plus gênant pour les gros sites de magazines américains qui devraient avoir quelqu'un capable de s'en occuper.

[Loris]

Ca, c'est une autre loi. Et c'est une simple bannière, faut pas déconner.

Ce n'est pas une autre loi, et ce n'est pas une simple bannière: l'utilisateur doit pouvoir refuser l'utilisation des cookies, et il doit pouvoir changer d'avis par la suite s'il a accepté. On ne peut plus se contenter de dire qu'en utilisant le site, le visiteur accepte les cookies.

Tu me parais mélanger des choses. Ce dont tu parles provient bien de la directive ePrivacy
EDIT : j'ai pigé d'où provient notre désaccord. Ma boîte est concernée aussi par des lois britanniques (2012). Le consentement explicite aux cookies a été appliqué par nous quand ça a été mis en place au UK (loi européenne de 2011 transcrite sous le nom "the cookie law" en 2012 au UK). La GDPR reprend ce consentement explicite et tu ne l'as peut-être découvert que là mais tu te rappeleras que les bannières de consentement explicite sont arrivées un peu partout (dès qu'un site avait un pied au UK) avant que tout le monde ne découvre la GDPR.

La GDPR implique que le site web doit être capable de justifier sa collecte de données personnelles (les cookies ne contenant pas de données permettant d'identifier un individu ne sont pas concernés), d'expliquer ce qui est fait des données et d'être capable d'implémenter une suppression à la demande.
Il s'avère que j'ai assez bossé sur ces deux lois avec des données autrement plus sensibles et un environnement complexe au-delà de l'imaginable pour bien connaître les deux. Mais je n'insisterai pas.

Ce n'est pas super exigeant non plus, mais je ne suis pas surpris que des amateurs qui gèrent leur site sans savoir rentrer dans le code n'aient pas envie de s'embêter avec ça. C'est plus gênant pour les gros sites de magazines américains qui devraient avoir quelqu'un capable de s'en occuper.

La plupart des fournisseurs de forum ont probablement développé des plugins pour la bannière ePrivacy. Après, faire le travail de la gdpr pour un simple forum est facile et les outils de droits à l'oubli existent probablement déjà dans tout moteur de forum un peu de qualité, même gratuit, puisqu'il s'agit de pouvoir effacer un compte utilisateur et tous les messages concernés (y compris citation).

Après, pour les mags américains, c'est plus compliqué : commentaires, interconnexion avec les réseaux sociaux, etc. On est au-delà du forum d'un foutu éditeur de jdr.

Et, encore une fois :
1/ la bannière sur les cookies provient de ePrivacy (200) EDIT : et reprise, c'est vrai, par la GDPR
2/ les cookies sont concernés par la GDPR mais uniquement s'ils contiennent des PI
3/ la GDPR ne se limite pas, loin de là, aux cookies mais à tout collecte/stockage/transfert de PI.

[Yusei]

Tu me parais mélanger des choses. Ce dont tu parles provient bien de la directive ePrivacy de 2002.

Je ne sais pas, je me base sur ce genre de choses: https://www.cookielaw.org/blog/2016/11/ ... st-change/
Et pas sur le texte officiel, donc il est possible que je me trompe. Wikipedia indique que l'ePrivacy concerne le droit à l'opt-out, mais maintenant les sites doivent proposer l'opt-in, non ?

Dans les faits ce ne fait que quelques mois que je vois fleurir des bannières empêchant de visiter le site avant que j'aie configuré mes préférences de cookies. Avant c'était juste "on utilise des cookies, pour en savoir plus cliquez ici".

[Loris]

Tu me parais mélanger des choses. Ce dont tu parles provient bien de la directive ePrivacy de 2002.

Je ne sais pas, je me base sur ce genre de choses: https://www.cookielaw.org/blog/2016/11/ ... st-change/
Et pas sur le texte officiel, donc il est possible que je me trompe. Wikipedia indique que l'ePrivacy concerne le droit à l'opt-out, mais maintenant les sites doivent proposer l'opt-in, non ?

Dans les faits ce ne fait que quelques mois que je vois fleurir des bannières empêchant de visiter le site avant que j'aie configuré mes préférences de cookies. Avant c'était juste "on utilise des cookies, pour en savoir plus cliquez ici".

En fait, tous les sites qui avaient un pied au UK ont été obligé ce qui a été appelé la "EU Cookie Rule". Les bannières devaient demander un consentement explicite mais "one off". Donc t'as peut être cliqué une collection de bannière sur des sites UK mais t'en as peut-être pas vu tant que ça. Après, ça a été repris dans la GDPR.
Comme dit plus haut, ma boîte étant mondiale, on a implémenté la Cookie Rule y'a bien 6 ans.

On December 13, 2011, the UK data protection authority (the “ICO”) issued updated guidance on the new cookie rules (Privacy and Electronic Communications (EC Directive) (Amendment) Regulations 2011) implemented as part of the review of the EU e-Privacy Directive.

https://www.insideprivacy.com/internati ... hnologies/

Purée, ça a été dur de retrouver tout ça... Y'en a plus que pour la GDPR... On ne parle toujours que des dernières stars à la mode...
En même temps, vu l'amende à la clef, tu m'étonnes que tout le monde s'excite
Ca nous avait demandé un audit de tous nos sites webs/webapps pour examiner si y'a cookie et coller des bannières, à l'époque (ou supprimer le cookie, basta).

[Jipibur]

Dans les faits ce ne fait que quelques mois que je vois fleurir des bannières empêchant de visiter le site avant que j'aie configuré mes préférences de cookies. Avant c'était juste "on utilise des cookies, pour en savoir plus cliquez ici". 

Parce que jusqu'à présent, on était sous la loi européenne de protections des données par les cookies (dont le nom exacte m'échappe) mais qui était pleine de loophole. Et c'est elle qui a fait fleurir les fenêtres "On utilise des cookies allez ciao merci".

C'est la GRPD qui a renforcé les choses en rajoutant une couche qui dit "attention, si vous collecter des données de navigations / comportement, vous devez donner réellement le choix d'accepter ou non". Et du coup, les fenêtres ont changés de têtes.
(on parle bien de données ramassés par des outils externes, Google Analytics, Amazon, FB et cie, ceux récoltés par le site dans le cadre de l'utilisation du site, par exemple tes commandes sur un site d'achat, ne sont pas concernés par la fenêtre de opt-out).

Mais en gros, ca ne concerne que les données personnelles, les cookies comme ceux du forum qui permettent de gérer la connexion active, ne sont pas concernés (vu qu'ils ne contiennent normalement pas de données).
 

[Hyeronimus]

Le vrai choix, ce sera quand le fait de refuser sera configuré par défaut et ne sera plus bloquant.