En attendant le RGPD…

Le nouveau Règlement Européen pour la Protection des Données Personnelles applicable le 25 mai prochain (dans 15 jours, bonne chance) a pour but de protéger nos données personnelles.

Je reviendrai sans doute dans un autre article sur la complexité de sa mise en œuvre, car même avec la meilleure volonté du monde, les textes officiels ne sont pas d’une clarté limpide. Mais qu’en est-il des lois applicables depuis plusieurs années déjà ?

Nos institutions nationales respectent-elles la loi ?

Résumé des obligations en vigueur

Si ces règles sont renforcées avec le RGPD, depuis 4 ans maintenant, un certain nombre de cookies nécessitent l’acceptation du visiteur avant d’être déposés sur son ordinateur. Il s’agit de ceux de certains services de mesure d’audience, de ceux provenant des plateformes sociales, de ceux qui permettent de diffuser de la publicité comportementale.

Vous avez vu apparaître un peu partout sur le web des bandeaux vous invitant à accepter ces cookies, sans acceptation de votre part (ou action sur la page qui vaut pour acceptation), aucun de ces cookies ne doit être déposé. C’est juste la loi !

Nos institutions respectent-elles les lois en vigueur actuelles sur les données personnelles ?

En 4 ans, on peut dire que nos administrations ont eu le temps de modifier leurs sites, alors jetons un coup d’oeil rapide sur certains d’entre eux.

www.impots.gouv.fr

Voilà un site qui a beaucoup fait parler de lui dernièrement en imposant la lecture d’une vidéo hébergée sur Youtube. Au passage, Google récupérait évidemment certaines données grâce à ses cookies.

Machine arrière après le tollé général, la vidéo n’est plus obligatoire et sa visualisation ne transmet plus de données à Google. En revanche, sans aucune décision de votre part le cookie de mesure d’audience sera déposé. Si vous décidez d’en savoir plus en cliquant sur le bandeau d’informations sur les cookies, vous resterez sur votre faim. Aucune indication à ce sujet contrairement à ce qu’impose la loi.

Et hop, un cookie sans notre accord...

Résultat : Pour ne pas me mettre définitivement mal avec les services des impôts, je donnerai un 5/20 pour l’effort, mais il reste du travail qui aurait dû être fait depuis longtemps.

edit : 16 mai 2018
Si impots.gouv.fr utilise pour sa mesure d'audience un cokkie AT Internet autorisé par la CNIL, l'appréciation change pour : "Après un premier trimestre très décevant, nous observons une véritable volonté de bien faire, continuez pour ne pas décevoir".

www.elysee.fr

Comment dire ? Vous souhaitez un exemple de TOUT ce qui est interdit ? C’est gagné ! Le site phare de la nation est totalement hors la loi. Rien n’a été fait pour la moindre mise en conformité depuis 4 ans.

Des fans de l'Elysée dans la salle ?

À peine arrivé, on me propose de suivre la présidence sur Facebook (euh… passons). Et bien évidemment on me colle une bardée de cookies que je n’ai pas acceptés, dont celui de Facebook. En complément, celui de mesure d’audience Google Analytics, 2 mouchards publicitaires, et 4 en provenance de réseaux sociaux.

Hop, 7 trackers dans mon ordinateur...

Le top étant le bandeau explicatif des cookies sur lequel le seul bouton accessible m’invite à dire « Je comprends » (entre nous, combien comprennent?) sans aucune autre information.

Et si je n'ai pas compris ?

On finit par un énorme mensonge sur la page des informations légales où l’on me dit « Aucune information personnelle n'est collectée à votre insu. Aucune information personnelle n'est cédée à des tiers » !
Dans la pratique on vient d’enregistrer certaines de mes données qui sont cédées à toutes les plateformes citées précédemment sans qu’à aucun moment je n’aie pu décider de quoi que ce soit !

Résultat : un vrai zéro pointé, et pour le mensonge je demande le conseil de discipline (dites la CNIL, il est connu ce site, vous faites quoi ? Voilà 4 ans qu’ils se foutent ouvertement de vous et de la loi).

www.education.gouv.fr

Je me suis souvent dit que plutôt que de mettre partout des alertes que personne ne lit, il serait plus utile d’éduquer la population, d’où ce petit tour sur le site du ministère de l’Éducation nationale. Je n’aurais pas dû.

J’arrive, et voilà 7 cookies qui s’installent sans mon accord sur mon ordinateur. Pire, je décide de visiter la page des mentions légales, et là… c’est le drame ! Ce ne sont pas moins de 18 cookies que je récupère. Il faudrait d’ailleurs que l’on m’explique ce que viennent faire là les 10 mouchards publicitaires ?!

Des trackers publicitaires sur le site de l'éducation Nationale ? Oui oui.

Et le mensonge continu , je cite : « Le site www.education.gouv.fr respecte la vie privée de l'internaute et se conforme strictement aux lois en vigueur sur la protection de la vie privée et des libertés individuelles. Aucune information personnelle n'est collectée à votre insu. Aucune information personnelle n'est cédée à des tiers »

Résultat : 0/20 et renvoi de l’école pendant 15 jours pour ces gros mensonges, même si un lien dans le bandeau m’explique que je peux me débrouiller avec mon navigateur pour gérer mes cookies.

www.justice.gouv.fr

Dépité, je me rends sur le site du ministère de la Justice, car si même là on ne respecte pas la loi, à qui faire confiance ? Et là, je reprends foi !

Non seulement, je n’ai droit à aucun cookie inséré sur mon ordinateur, mais mieux que ça, même si je fais défiler la page (ce qui vaut acceptation), toujours rien ! A la place un vrai bandeau d’information sur les cookies.

Enfin ! Je n'y croyais plus

Et si je clique sur le bouton « personnaliser », je peux accepter ou interdire chacun des cookies en fonction de leur finalité ! Le top !

Un seul mot : bravo !

Résultat : 20/20 et une mention pour l’exemplarité et le fait d’aller au-delà de la loi en respectant totalement les données personnelles des utilisateurs.

www.assemblee-nationale.fr

Doit-on en rire ? L'assemblée nationale dont 505 députés sur 547 votants on voté pour le RGPD ne respecte pas non plus la loi en vigueur. Il vous impose le tracker de Google Analytics, n'affiche pas de bandeau sur les cookies, et ment éhontément, je cite : "Aucune information personnelle n'est collectée à votre insu. Aucune information personnelle n'est cédée à des tiers.".

Faites ce que je dis, pas ce que je fais...

Mais relativisons

Je ne sais pas si le RGPD sera mieux respecté que les lois déjà en vigueur et dont même les plus gros sites foulent les bases à deux pieds sans vergogne. Mais relativisons…

Même si vous avez vu passer des changements de conditions d’utilisation que vous avez une fois de plus acceptées sans les lire, ceux qui utilisent ces données qui font d’eux les futurs maîtres du monde ( GAFA), continueront joyeusement, et ceci avec l’aval de la plus grande partie des internautes. Un exemple récent avec le site But qui rend réellement service à ses visiteurs mobiles (qui ne se posent pas la question de l’utilisation de leurs données).

Clin d'oeil

Les conditions d'utilisation des reseaux sociaux - crédit : WK18

 

Epilogue

Sur le principe j’adhère à 100 % au projet RGPD. Enfin l’Europe se dote d’une barrière législative face aux géants américains (qui en plus de piller nos données ne paient pas leurs impôts chez nous).
Dans la pratique, j’attends de voir. Depuis 4 ans la loi est bafouée, les utilisateurs n’ont aucune conscience du pillage de leurs données personnelles et ne s’en préoccupent donc pas pour la plupart. Ce nouveau règlement va-t-il y changer quelque chose ? Qui vivra verra...

crédit photo :  From "I Fought the Law" by Olivia Locher

(je recevrai un mail quand un article est publié (no spam)

12 thoughts on “En attendant le RGPD…

  1. Philippe

    Salut Sylvain,
    Certains sites vous encore plus loin avec un bandeau accepter ou refuser TOUS les cookies présents sur le site, encore plus pratique qu'un cocher/décocher du type justice.gouv.fr.
    Amitiés,

  2. Françoise

    Merci Sylvain pour cet état des lieux circonstancié qui montre le gap qui existe entre la théorie et la pratique.
    On peut supposer que les exemples des sites de nos instances étatiques illustrant ce gap, relèvent davantage de la négligence que d'un choix délibéré de transgression ou même de "jem'enfoutisme" primaire...

    Cela ne retire rien au fait que ces sites devraient avoir valeur d'exemple !

    D'où ma question, naïve sans doute 😉 : est-ce qu'un site "lambda" qui se ferait épingler par la Cnil, pourrait faire référence à ces contre-exemples pour échapper à des sanctions ?

    Au-delà, oui, le RGPD est une bonne initiative, au moins par sa dimension européenne et sa vocation de prise de conscience par rapport aux comportements des GAFA et surtout des BATX...

  3. Sylvain Auteur de l’article

    @ Philippe
    Si je ne me trompe, c'est aussi le cas sur le site du ministère de la justice, sur la première ligne, on peut tout accepter ou tout interdire. Il manque peut-être juste une petite couche d'UX si tu ne l'a pas vu 🙂

    @ Françoise
    Je penche pour le j'menfoutisme ou l'incompétence...
    Pas sur que la CNIL prenne cela pour une circonstance atténuante...
    En revanche, elle sera je pense conciliante avec les PME/ TPE un peu dépassées par tout ce bazar.

  4. Slave 2.0

    Comme d'habitude un ton décontracté et un travail de fond pour prouver une fois de plus que ce blog est une superbe référence. Merci pour les analyses de sites .gouv

  5. Nicolas Laruelle

    D'avance, merci, Sylvain, de faire le travail à notre place et de nous revenir bientôt sur ton blog avec un guide précis, concis et agréable à lire comme tu sais le faire. 😀

    Si je peux ajouter mes '2 cents', j'ai tout de même envie de dire aux clients les plus anxieux, paranos, perfectionnistes, puristes de foutre la paix 5 minutes à votre webmaster / votre agence, avec cette histoire de RGPD.

    Déjà, la mise en application du truc est trop brusque. Nous (les bons) on est surbookés quoi ! Même pas le temps de lire des blogs et poser des commentaires. Rien !
    Attendez 2 minutes qu'on se renseigne sur ce truc.
    Et puis, avec une petite centaine de clients pour les sites Web, dont une bonne partie réalisée en mode 'budget', vous imaginez bien qu'on a du pain sur la planche... Les "argh RGPD arrive, urgence, faut updater mon site pour le rendre légal, vite-vite (et pas cher)" , ça va quoi... 😀

    Puis, comme tu le soulèves bien dans ton analyse 'ciblée' 😉 ça vise "les gros" au départ, et beaucoup de "gros" ne sont pas prêts d'être en règle, sous peu. Quel chantier !
    Il parait qu'il y aurait des amendes à payer si on n'est pas en ordre...
    De combien de membres est composée cette team qui va traquer les petits sites WordPress qui n'ont pas ajouté de petite case supplémentaire sur leurs formulaires de commentaires de blog ? Et ils sont bien payés les mecs ?

    Et (en ce qui me concerne) qu'est-ce qui prouve que je travaille avec l'Europe moi ? C'est l'état d'urgence, mais, vraiment, où tu l'as trouvée cette information ? 😉

    Soyons rationnels : c'est une loi. Voilà. Il y a pleins de lois et parfois, tu peux faire des petites exceptions 5 minutes sans conséquences, surtout sur le Web 😉 Comment tu connais la dernière saison de Game Of Thrones qui vient à peine d'être diffusée aux états-unis, alors que tu ne parles pas un mot d'anglais, hein ?
    Pas vu pas pris.

    Franchement, je crois qu'on va tous se détendre et prendre le temps, tran-quille-ment de voir venir la chose, posé, au calme, relax, et qu'on va adapter petit à petit, hein !? Non ?

    De toute façon, il y aura toujours moins clean que soi. Surtout sur le Web, pas vrai ? 😉

  6. Paul Ischinel

    Autre illustration du 'Faites ce que je dis, pas ce que je fais' : sur certains sites de l'État, on a l'obligation de passer par le système de captcha Google pour vérifier qu'on est pas un robot quand on remplit un formulaire. Un exemple ? Essayez de commander une vignette Crit'air... (expérience vécue cet été). Si vous n'acceptez pas les connexions silencieuses à google.com et gstatic.com, vous êtes de la revue... Il faut aller dans la FAQ pour savoir qu'on peut aussi commander via un formulaire papier et un paiement par chèque. Mais, attention, malheureux esprits rétrogrades, vous voulez pas faire votre homo numericus ? comme le précise la FAQ, 'Si vous avez accès à internet et disposez d’une carte bancaire, nous vous conseillons plutôt cette modalité de demande, rapide et sécurisée [arf, arf, arf] qui permet de disposer d'un justificatif de commande.' Perso, j'ai commandé par papier et tant pis pour le justificatif de commande...

  7. Marc

    Bonjour Sylvain,

    Pour résumer :

    1/ L'intention est bonne (informer, donner la possibilité de choisir, respecter les choix)
    2/ La mise en application est coûteuse (à minima) voire complexe
    3/ Les moyens (publics) pour exercer le contrôle ne seront jamais à la hauteur

    Donc je penche pour :

    1/ ne pas paniquer et faire au cas par cas
    2/ adopter le privacy by design pour tout nouveau projet web

  8. Valentin

    La petite blague :
    Mon voisin de 75 ans est venu sonner chez moi pour me demander ce qu'il devait faire pour respecter la RGPD suite à une pub vu sur un papier local...
    Entre l'annonceur qui n'a pas compris que le papier cible les particuliers et le particulier qui croit qu'il doit se mettre en conformité avec la RGPD... Je ne suis pas certain que l'utilisateur moyen soit en mesure de protéger ses données, ni même d'avoir conscience de ce que l'on peut en faire.

    C'est pas gagné !

  9. Alexandre Hilf

    Bonjour à tous,

    En complément de ce superbe article, une aide pour faire un check de votre site internet.
    .

    C'est une infographie pour faire un check-up de votre site pour le RGPD.

    Alexandre,

Partagez sur :

Les commentaires sont fermés.