Maxime Byrnison, Panserbjørne @maxauvy@mastodon.etalab.gouv.fr
Ex-contrôleur CNIL / RSSI, maintenant Délégué à la Protection des Données (DPO).
Un peu misanthrope.
PPDL.
Inscrit·e en avr. 2017
TOP !
Je suis une complémentaire santé qui envoie ses courriers papier en Comic Sans MS.
Obligatoire via certains employeurs, j'envoie également dans un même courrier papier l'identifiant de connexion à l'espace adhérent et le mot de passe (4 chiffres) associé.
Je précise aussi qu'en cas d'oubli je pourrai le fournir à nouveau, je le stocke donc probablement en clair.
Enfin, je dispose d'une politique de mot de passe parfaitement risible en 2020.
Je suis, je suis ? #QuestionPourUnChampion
Bien, c'est dredi, je voudrais attaquer mon article sur les cookies, pisteurs, CMP...
Mais j'arrive pas à arrêter un plan. Je suis frustration.
T'façons j'arrive pas à me satisfaire de cet article, donc s'il y a des questions, je suis là.
Peut-on parler de repost après 3 mois, je ne sais pas, la question est ouverte.
Quelques petites modifs et ajouts à la marge, rien qui justifie une relecture pour celles et ceux ayant déjà parcouru ce petit quelque chose.
[REPOST] A la découverte de l'ISO 27701, la norme qui contribue à protéger vos données personnelles (en plus du #RGPD évidemment).
Maintenant je vais aller pleurer un peu parce que ça reste quand même mon quotidien et que moi j'ai pas d'armure stylée ou d'épée Vorpal.
Et pour finir pour le moment, si un petit article explicatif sur tout ça (la publicité en ligne, le GESTE, l'IAB et son TCF, le real-time bidding...) vous passionne subitement, je peux en faire un article de blog (vu que ça fait longtemps, quand même, et que reprendre mon "brouillon" sur l'ISO 27701 m'énerve).
Wala wala. Bisous.
Dans le coup, j'ai (vraiment) hâte de voir les résultats de la consultation publique, et ce qui va en découler.
Parce qu'en l'état, le texte ne laisse que peu de marge de manœuvre à l'IAB, au GESTE, et à tout ce petit monde.
Quant à faire le choix (en connaissance de cause) d'un compromis conformité CNIL // conformité TCF de l'IAB // maintien du revenu publicitaire, c'est extrêmement ambitieux : la CNIL comme l'IAB peut vous couper l'herbe sous le pied, et vos utilisateurs se barrer ailleurs.
Globalement c'est du très positif, cette recommandation.
Un seul vrai regret : le quasi-silence sur les applis mobiles.
Quand bien même ça s'applique à elles de façon directe, il eut été bon de mentionner ces dernières. Un court équivalent aux "Bonnes pratiques lors du consentement via les navigateurs" aurait éclairci les choses.
Petite pépite ici :
"La Commission incite également à ne pas avoir recours à des techniques de masquage de l’identité de l’entité utilisant des traceurs, telles que la délégation de sous-domaine."
J'aurais rajouté un "La Commission n'est pas dupe." ou "Merci de ne pas prendre les contrôleurs pour des jambons." 😇
Oui oui 20minutes, Libération, 01net... on vous a vus, et pas que nous 😋
(Oui, on va tellement pouvoir se faire plaisir à demander tout ça dans le cadre d'une SAR ou autre 
)
Donc : le consentement est donné à un instant donné, pour des finalités précises et une durée limitée.
On précise (on vous connaît, les annonceurs) que l'enregistrement de la preuve du consentement n'est pas un prétexte à collecter plus de données que nécessaire pour cette preuve 😉
Et puisqu'il y a contexte...
Il faut associer au consentement son horodatage, et ce à quoi on a consenti. Genre, à quelle version des ToS on faisait référence. Comment il a été reçu, ce consentement. Tout ça.
🍿 🍿
Dans le coup, qui dit consentement au sens du RGPD, dit "preuve du consentement". Et là, ça promet des heures de fun.
Voyons s'il y a plus de suspense dans ce texte que dans la S01 de The Witcher.
(spoiler : fort à parier que oui tellement la série se traîne)
"La Commission rappelle qu'il doit être aussi simple de retirer que de donner son consentement."
Ah bah mince, on doit laisser un truc de gestion des cookies accessible ? Sans l'enterrer dans un obscur lien planqué au fond d'une politique de confidentialité (après avoir pris soin de colorer le lien de la même couleur que le texte sinon c'pas drôle) ?
Rhooo, y'a de l'abus.
Et de fait on confirme que laisser l'internaute se démerder avec les réglages du butineur, c'est non.
Le paragraphe qui vaut de l'or, tant attendu, tout ça tout ça <3
La fermeture de la CMP n'est pas un choix, et ne vaut donc pas acceptation des cookies.
Pas de consentement pour ça. C'était déjà clair avant, sauf pour les annonceurs, donc c'est re-précisé.
On met (enfin) au même niveau le consentement et le non-consentement (le refus, quoi).
Et on précise bien : dans les mêmes modalités techniques.
Exit les couleurs et autres "dark patterns" qui influent sur le choix de l'internaute !
Attaquons cette (saine) lecture qu'est le projet de recommandation de la CNIL concernant les cookies/pisteurs.
Bon, déjà, la CNIL roule sur les 5 finalités de l'IAB, et redéfinit les siennes.
C'est pas plus mal.
Ça peut être vaguement problématique si l'IAB impose le TCFv2 au 31 mars comme hypothétiquement prévu, vu que ça peut demander quelques adaptations.
Avec de la chance, l'IAB n'imposera plus de mauvaises traductions françaises.
Est-ce que des pouettos ont déjà utilisé Cleanfox par ici ?
Je me demande ce que ça vaut 😉
Merci d'avance !
Ex-contrôleur CNIL / RSSI, maintenant Délégué à la Protection des Données (DPO).
Un peu misanthrope.
PPDL.
Inscrit·e en avr. 2017
