• [^] # Re: Précisions sur la décision allemande pour les rapports de statistiques

    Posté par (site web personnel) . En réponse à la dépêche Changeons ces logiciels open source qui nous espionnent. Évalué à -3.

    Sommaire

    Bonjour Francesco et Bonne Année,

    Je comprends que tu souhaites en savoir plus, mais, désolé, je ne suis pas juriste, et lire le RGPD et sa jurisprudence dans différents pays européens ne me passionne pas.

    Je suis désolé que tu n'ai pas trouvé ton bonheur dans les liens données dans la dépêche. Néanmoins, je rappelle quelques uns des liens données en fin de dépêche au cas où ils t'auraient échappés :

    1. Cookies and other tracking tehcnologies, April 2020 (rapport de l'équivalent de la CNIL irlandaise)
    2. Le RGPD, un an après (NextInpact)
    3. Est-ce que Google analytics est compatible avec le RGPD ?
    4. Comment rendre votre appli mobile compatible avec le RGPD

    Attention, le premier lien télécharge directement un PDF sans afficher de page web, ce qui peut donner l'impression que le lien ne fonctionne plus être (la redirection pointe sur http://dataprotection.ie/sites/default/files/uploads/2020-04/Guidance%20note%20on%20cookies%20and%20other%20tracking%20technologies.pdf).

    À la page 5 de ce PDF, le terme "cookies" est utilisé dans son sens très très large et y inclue toute forme de collecte de donnée, même de façon inscidieuse avec le fingerprinting qui consiste, par exemple, à prendre la taille de votre écran (souvent le browser est en plein écran), les versions de l'OS/browser, les polices de caractères...

    What other types of tracking technologies are in use?

    The cookies most internet users are aware of are typically browser, or http, cookies.
    However, other types of cookies and tracking technologies include local storage objects (LSOs) or ‘flash’ cookies, software development kits (SDKs), pixel trackers (or pixel gifs), ‘like’ buttons and social sharing tools, and device fingerprinting technologies. The law on cookies generally applies to all of these tools.

    Cookies and other tracking technologies, including pixels, location tracking and device fingerprinting generally require the consent of the user because they involve access to information, or the placing of information on, a user’s device or terminal equipment.
    There are only two circumstances where cookies are exempt from the requirement to obtain consent and these are outlined in detail below.

    À la page 7, nous pouvons lire cette question/réponse:

    Yes. Analytics cookies are used as a measuring tool for websites, including to provide information on the number of unique visitors and the pages they browse during their visits. Some analytics may use first-party cookies with the analytics function carried out by the controller or by another party on behalf of the controller. The Article 29 Working Party has clarified that this other party will be a joint controller or a processor, depending on whether it uses the data for its own purposes or whether it is prohibited from doing so by contractual arrangements.

    Third-party analytics carried out by parties other than the controller, sometimes for their own purposes, may be considered to represent a greater privacy risk to the user.

    The Article 29 Working Party considers that first-party analytics cookies are not likely to create a privacy risk when they are strictly limited to first-party aggregated statistical purposes, and when they are used by websites that already provide clear information about such cookies in their privacy policy, as well as adequate privacy safeguards. This should include a user-friendly mechanism to opt out of any data collection for analytics.

    It is unlikely that first-party analytics cookies would be considered a priority for enforcement action by the DPC.

    Un extrait de la traduction en français :

    Les cookies statistiques nécessitent-ils un consentement ?

    Oui. Les cookies statistiques sont utilisés comme un outil de mesure pour les sites web [...].

    Les analyses effectuées par des tiers (comme Google Analytics) [...], peuvent être considérées comme présentant un risque plus important pour la vie privée de l'utilisateur.

    Le groupe de travail "Article 29" considère que les cookies gérés directement par le site web ne sont pas susceptibles de créer un risque pour la vie privée lorsqu'ils sont strictement limités à des fins statistiques agrégées (anonymes). [...] Il convient d'inclure un mécanisme convivial permettant de refuser toute collecte de données.

    Plus loin, à la page 7, le document mentionne aussi la régmentation ePrivacy Regulations.

    De ma compréhension, les statistiques anonymes utilisées directement par le site web sont compatibles avec le RGPD, du moins avec l'intérprétation du groupe de travail "Article 29". Par contre, quand ces données sont anonymisées par un tiers, comme Google Analytics, c'est considéré comme beaucoup plus dangeureux pour la vie privée. Dans tous les cas, toujours selon ma compréhension, le consentement de l'utilisateur/utilisatrice doit être demandé pour la transmission de toute données non nécessaire au fonctionnement de l'application.

    Merci de ne plus me poser de questions sur ces régementations, je ne suis pas juriste. Merci de lire toi même ces documents, et d'aller en chercher d'autres si tu n'y trouves pas ta réponse. Désolé, mais je n'ai pas envie de refaire ce travail à ta place, je n'ai ni l'envie, ni le temps pour le faire. Par contre, pose la question à l'ensemble du lectorat LinuxFr.org, dont de très nombreuses personnes sont bien meilleures que moi sur le sujet.

    Je veux bien que tu nous en dises plus sur Mozilla/Firefox, c'est justement le sujet de cette dépêche.

    Commentaire sous licence Creative Commons Zero CC0 1.0 Universal (Public Domain Dedication)