-
Un petit thread sur la récente décision de la CNIL autrichien, Google Analytics… et le fait qu’on est encore une fois bien content de regarder ailleurs parce que c’est 🇺🇸 ! …/…Permalink On twitter.com
♻️ 9 Retweets
❤️ 20 Favorites
Mood 0
-
On va revenir sur les 2 points majeurs de cette décision dont vous trouverez une traduction en anglais ici : noyb.eu/sites/default/files/2022-04/Bescheid%20geschw%C3%A4rzt%20EN.pdf …/…Permalink On twitter.com
♻️ 1 Retweets
❤️ 1 Favorite
Mood 0
-
Point n°1 : l’invalidation des analyses de risques. Le RGPD introduit la notion d’analyse d’impact relative la protection des données. La CNIL en parle pas mal ici : cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-aipd Là où il y avait incompréhension… social.imirhil.fr/@aeris/108237865276281490Permalink On twitter.com
❤️ 1 Favorite
Mood 0
-
Autant en faire une n’absout pas du reste de la conformité RGPD ! À aucun moment il n’est à ma connaissance question de transformer cet AIPD réglementaire en un espèce de « oui ça peut déborder mais bon on a cadré le truc et donc on va dire que ça passe ». …/…Permalink On twitter.com
Mood -3 🙁
-
Le truc devrait plutôt être considéré comme un exercice de style permettant d’analyser le problème d’un traitement à réaliser en voyant toutes les facettes du problème et pas juste celui qui arrange l’entreprise. L’AIPD version CNIL… social.imirhil.fr/@aeris/108237874357086003Permalink On twitter.com
Mood 0
-
Là maintenant c’est clair net et sans bavure avec la décision autrichienne : l’analyse de risque est plutôt une bonne preuve que vous ne devriez PAS mettre le traitement en œuvre que l’inverse. …/…Permalink On twitter.com
Mood 0
-
La CNIL 🇫🇷 avait aussi déjà sanctionné dans ce sens. Tout traitement qui peut « en théorie » être détourné ne peut PAS être mis en œuvre sans mesure de protection complémentaire (« privacy by design » quoi). …/…Permalink On twitter.com
❤️ 1 Favorite
Mood -2 🙁
-
Je pense par exemple à la condamnation de Carrefour : cnil.fr/fr/sanctions-2250000-euros-et-800000-euros-pour-carrefour-france-carrefour-banque Le risque existe et n’a pas été **complètement** éliminé ? Alors le traitement est illicite. Point. …/…Permalink On twitter.com
Mood 0
-
Point n°2 : la notion de traitement. C’est cette fois clair net et précis dans le texte du RGPD, mais ça ne semble vraiment pas l’être dans la tête des entreprises. cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4 …/…Permalink On twitter.com
Mood 0
-
Autant vous dire que la notion de « traitement » se résume un peu trop à « structuration/adaptation/modification/extraction/utilisation » dans la tête de trop de monde… 😑 Alors qu’elle est en fait extrêmement vaste. …/…Permalink On twitter.com
♻️ 1 Retweets
❤️ 1 Favorite
Mood -5 🙁
-
Bref, la CNIL autrichienne a aussi sifflé la fin de la récré. Oui, établir une connexion à un site Internet, donc transmettre son adresse IP au site en question, est une finalité à part entière. Même si vous n’en faite… social.imirhil.fr/@aeris/108237912249945220Permalink On twitter.com
Mood 0
-
« Faire des stats d’audience » sera du coup une **autre** finalité, qui sera **après** celle de « se connecter au site internet permettant de réaliser les stats d’audience ». …/…Permalink On twitter.com
Mood 0
-
Et du coup, ben… faut appliquer le RGPD dessus, à cette fameuse étape que tout le monde aurait bien aimé oublier… …/…Permalink On twitter.com
Mood -2 🙁
-
Ça veut dire en particulier… lui trouver une base légale ! Oui, vous me voyez venir… ☺️ …/…Permalink On twitter.com
Mood -3 🙁
-
Bon, on va régler directement le cas du site principal. Soit vous êtes un client et au pire, « nécessaire à l’exécution du contrat ». Parce que pas grand monde ira contester que si vous voulez utiliser un… social.imirhil.fr/@aeris/108237929028795783Permalink On twitter.com
❤️ 1 Favorite
Mood +3 🙂
-
Pour les non clients c’est moins évident, mais je pense que « consentement » ira très bien. Même si la notion de lien HTML peut induire en erreur (on ne sait pas très bien où on peut arriver en cliquant, mais on a souvent l’adresse complète en… social.imirhil.fr/@aeris/108237934118250158Permalink On twitter.com
Mood 0
-
Et cliquer sur un lien se rapproche quand même pas mal du consentement libre, éclairé, spécifique, via un acte positif, tout ça tout ça… Donc bon, c’est discutable à la marge mais ça me semble pas mal quand même comme base légale. …/…Permalink On twitter.com
Mood -4 🙁
-
Mais attention, ici on ne parle du coup **QUE** du site principal. **PAS** de votre solution d’audience (ou même de vos CDN tiers hein, je vous vois…) …/…Permalink On twitter.com
❤️ 1 Favorite
Mood +1 🙂
-
Votre solution d’audience, l’utilisateur : 1- ne peut pas y avoir consenti sciemment en cliquant sur le lien d’entrée 2- ne peut pas avoir signer un contrat pour autoriser ça (c’est proscrit par EDPB directement dans WP29 06/2014) …/…Permalink On twitter.com
Mood +1 🙂
-
Et l’intérêt légitime, c’est complètement mort aussi, c’est aussi directement interdit par EDPB. …/…Permalink On twitter.com
♻️ 1 Retweets
❤️ 2 Favorites
Mood 0
-
Bref, votre solution d’audience, c’est juste… mort… Consentement et puis c’est marre. Un 2nd, pas celui qui vous sert pour votre site principal ! …/…Permalink On twitter.com
❤️ 1 Favorite
Mood +1 🙂
-
On remarque aussi que, faute de pouvoir mettre en œuvre des mesures techniques de protection (vu que sinon, ben on peut juste plus du tout se connecter au site hein, l’adresse IP est nécessaire…) **à cette étape** du traitement,… social.imirhil.fr/@aeris/108237968063053793Permalink On twitter.com
Mood -2 🙁
-
Sans consentement à ce 1er traitement technique, toutes les solutions palliatives dans les étapes d’après sont… illicites… Puisque ne sont que des détournements de finalité d’une finalité illicite… 🤷 …/…On twitter.com
Mood +1 🙂
-
Là on est bien content parce que la solution directement strikée par la CNIL autrichienne est Google. GAFAM + 🇺🇸, ça fait 🍾 pour tout le monde. …/…Permalink On twitter.com
❤️ 1 Favorite
Mood -1 🙁
-
Mais les autres solutions du coup ? Ben… c’est pareil… Vous avez un Matomo bien tout configuré comme la CNIL 🇫🇷 l’a dit ? Il y a très certainement un loup dans la bergerie quand même ! Que ce loup soit 🇺🇸/GAFAM ou 🇫🇷/PME n’y change rien ! …/…Permalink On twitter.com
❤️ 1 Favorite
Mood -1 🙁
-
Et c’est logique à y réfléchir de toute façon. Le fait d’avoir cette transmission à l’origine de la chaîne fait qu’il est (très) facile d’intercaler un élément merdique dans la chaîne « sans que ça ne se voit » pour traiter des données avant la couche… social.imirhil.fr/@aeris/108237993371012299Permalink On twitter.com
Mood 0
-
Sans forcément parler de malveillance, ça peut être un simple bug qui fait que l’anonymisation ne fonctionne pas correctement (ou se retrouve désactivé lors d’une mise-à-jour), ou juste l’entreprise qui a «… social.imirhil.fr/@aeris/108237997677503611Permalink On twitter.com
Mood 0
-
Dans le cas de la CNIL autrichienne, il a aussi été noté que ce point de faiblesse peut être utilisé aussi par les autorités 🇺🇸 pour récupérer des données sur un utilisateur précis sur demande. En gros une bonne grosse backdoor suite à une assignation quoi… …/…Permalink On twitter.com
♻️ 1 Retweets
❤️ 2 Favorites
Mood 0
-
Donc voilà, c’est ma vision à moi et IANAL. Mais c’est encore une fois une décision qui à mon sens va dans le bon sens et est logique par rapport au RGPD et à l’esprit de la loi que ce règlement porte. …/…Permalink On twitter.com
Mood +1 🙂
-
Fin de la partie rétrospection juridique, on va passer à la partie prospection personnelle du coup ! …/…Permalink On twitter.com
Mood 0
-
Je l’avais déjà dit plusieurs fois dans pas mal de coin, mais ce règlement est une formidable porte d’entrée pour plus ou moins interdire tout ce qui n’est pas de l’auto-hébergement, à tous le moins tout service capitaliste reposant dans les mains d’un tiers. …/…Permalink On twitter.com
❤️ 1 Favorite
Mood -4 🙁
-
Les différentes jurisprudences sur ce règlement (1144 déjà, dont 399 juste pour 🇪🇸 😊) vont plus ou moins toutes dans la même direction. Et qui n’est vraiment pas à l’avantage des services gérés par un tiers… …/…Permalink On twitter.com
Mood +3 🙂
-
Ce n’est pas tant une impossibilité juridique en tant que telle qu’une complexité administrative (gestion du consentement, des demandes d’accès, des droits d’opposition, de la gestion des prestataires, etc) assez peu compatible avec les objectifs d’une entreprise. …/…Permalink On twitter.com
Mood 0
-
Exemple à la con en dehors du cas Google Analytics : - si vous êtes data processor, alors vous ne pouvez pas faire la moindre modification de fonctionnalité sans demander l’accord de **tous** vos clients. Vous gérez comment le fait que… social.imirhil.fr/@aeris/108238074535470649Permalink On twitter.com
❤️ 1 Favorite
Mood 0
-
- si vous êtes data controller, alors à la limite vous pouvez faire des modifs de votre propre chef, mais ça n’empêche pas que vous risquez d’avoir quelques soucis avec vos co-controller… et que c’est le bordel pour propager vos besoins… social.imirhil.fr/@aeris/108238080023025384Permalink On twitter.com
Mood 0