Factornews ne repose pas sur WordPress ou un truc du même genre. Il repose sur du code développé en interne par notre équipe de choc à  savoir __MaX__, Shtong et spy-seth. Et vous ne voyez que la partie visible.

Le gros du boulot est de concevoir une interface permettant aux rédacteurs d'écrire leurs conneries et de poster leurs photomontages bidons via ce que les ricains appellent le backoffice. Celle de Factor est particulièrement bien conçue à tel point que je peux newser sur mon smartphone depuis les toilettes. Gamekult a invité __MaX__ pour en parler dans un podcast de Presse au Kult qu'on vous recommande. Il faut un abonnement Premium.

Lire la suite sur le site : [Copinage] __MaX__ vous parle de l'arrière-boutique.

Un chtit code au passage 5Q1RW3

Un petit deuxième : QN9QQ5

Et un merci ! (J'ai pris le 2eme code)

Si quelqu'un a un code à me filer en mp je serais comblé! :-P

MP envoyé à Samax

Et un 3ème : HUUG0J

Un code de plus : UVU21U

Merci beaucoup Toutoune, code pris.

0IX6EH

Partager ma passion back office: RXUF80

Cheat code : V8HZZP

L'émission était cool, c'est très difficile de rendre ce genre de sujet divertissant.
À propos de la GDPR, j'ai tiqué sur l'explication de Google analytics. Les cookies de statistiques anonymes, comme Analytics n'obligent pas un consentement du visiteur. (https://www.iubenda.com/en/help/5525-cookies-gdpr-requirements)

Ah! et pour info, la bannière de cookie qui pollue le web n'est pas forcément nécessaire et pourrait juste être un lien dans le footer.

neWo a écrit :
[...] pourrait juste être un lien dans le footer.

T'es sûr de ça ? Tu as une source officielle ? Il me semblait qu'il y avait obligation de rendre cet aspect particulièrement visible, et donc pas planqué dans un footer.

neWo a écrit :
L'émission était cool, c'est très difficile de rendre ce genre de sujet divertissant.
À propos de la GDPR, j'ai tiqué sur l'explication de Google analytics. Les cookies de statistiques anonymes, comme Analytics n'obligent pas un consentement du visiteur. (https://www.iubenda.com/en/help/5525-cookies-gdpr-requirements)

Ah! et pour info, la bannière de cookie qui pollue le web n'est pas forcément nécessaire et pourrait juste être un lien dans le footer.

Attention c'est long ! mais bon la discussion est intéressante :)

Je crois que je l'évoque dans l'émission, mais j'ai travaillé un an sur la mise aux normes RGPD dans mon ancienne boite. Ce qui a donné lieu a beaucoup trop d'appels à la CNIL, et de discussion avec des "spécialistes" de la CNIL qui soit dit au passage, comprenaient à peu près autant que moi les articles de lois et avaient tendance à esquiver une grosse portion des questions en zone grise (comprendre "je capte pas trop ce qu'ils veulent dire").

Donc ce que je vais te dire là, c'est sortit de la bouche de deux interlocuteurs de la CNIL avec qui l'échange a été plus riche et constructif, et surtout factuel. On parle de la France bien entendu et de leur interprétation des textes de loi... donc :

Dans le cas d'un système de stats personnel (les datas sont sur TON serveur, c'est toi qui gère tout) :

- Tu dois préserver les données 13 mois maximum et tu dois anonymiser les informations (il doit être impossible d'identifier une personne peu importe la manière dont tu l'identifies, IP, sexe, age...)
- Tu dois avoir des cookies qui expirent au bout de 13 mois
- Tu ne dois pas utiliser les informations dans un but d'analyse (recoupement de profils par exemple)
- Tu dois être capable de butter n'importe quelle information sous la demande de l'utilisateur.
- Tu dois être capable de dire quand la personne a donné son accord

Si tu respectes ça, tu peux te passer d'une popin/up, tu peux juste afficher une info dans le pied de page.

Dans tout ce qui va suivre, y'a littéralement pas d'équivoque possible, la CNIL est claire là dessus, tu dois demander une acceptation (non-tacite) de l'utilisateur par une action volontaire :

- Transmission d'information à un tiers, peu importe l'information, anonymisée ou non. Comprendre : chargement de ressources externes qui vont stocker un hit avec une adresse IP ( une font google par exemple ), statistiques tiers, captcha, utiliser un CDN... tout ce que tu es capable d'imaginer qui n'est pas hébergé chez toi.
- Non anonymisation des données, même si c'est chez toi
- Utilisation des données dans un autre but que ce pourquoi l'utilisateur renseigne des infos. Exemple : si tu demandes des infos pour créer un compte et que tu utilises ces données pour faire un emailing ou un mailing papier.

Et je pense que j'en oublie... mais ce sont les plus importantes. Et il faut savoir que dans ce cas de figure, techniquement tu ne DOIS PAS poser de cookies avant que l'acceptation soit passée.

Bonus stage : Pour une information, admettons l'adresse email, que tu utilise pour se connecter, faire des mailings et vendre à des tiers. Tu dois très clairement le spécifier et avoir un système d'acceptation pour les trois utilisations (une case à cocher quoi).

Ultra Bonus stage : si jamais il y a un micro changement dans la manière dont tu traites ou exploite les données. Tu dois buter les cookies et redemander à l'utilisateur d'accepter les conditions.

Il faut savoir que tu peux faire tout et n'importe quoi avec un tiers, et surtout, le tiers peut faire tout et n'importe quoi. Ce qui veut dire que si tu poses un Google Analytics avant même d'avoir demandé une acceptation, des données privées ont déjà été émises à un tiers (encore une fois, anonymisées ou non). Ce qui vient à dire que en gros, quand tu prends tous les très gros sites aujourd'hui et que tu regardes les appels externes, personne ne respecte les règles les plus importante de ces lois.

Et tu sais comment Google, FB, Twitter & co se dédouanent de ça dans leurs EULA ? "Nous ne pouvons être tenus responsables des demandes d'acceptation concernant la vie privée en utilisant nos outils, vous devez... vous... demander l'acceptation de l'utilisateur".

Et tu le sens monter le paradoxe dans tout ça ?
- Comment tu fais quand t'as un AWStats sur ton serveur pour anonymiser ? Tu dév une mécanique qui offusque les adresses IP dans les fichiers awstats ?
- Comment tu fais quand t'as un serveur apache qui log les hits sur ton serveur pour anonymiser ? Tu dév une mécanique qui offusque les adresses IP dans les logs apache ?
- Comment tu fais pour stocker la date d'acceptation si tu anonymises les informations ? Je veux dire, devant un tribunal, si l'info est anonyme, comment tu prouves que "Anonyme118965" c'est bien le plaignant et que effectivement, Jeudi 22 Février 2019 à 16h38 il a accepté ta politique de cookies ?
- Comment tu peux garantir à ton visiteur que ton tiers en face il va pas utiliser les données à mauvais escient ?
- etc, etc...

C'est pas parce que j'ai bossé beaucoup sur le sujet que j'adore ce qu'ils ont fait. Les articles de lois ont été pondus n'importe comment, et il est littéralement impossible de gérer d'un bout à l'autre de la chaîne une anonymisation totale et parfaite d'un appel sur internet.

Parce que tu peux pousser beaucoup plus loin le délire :
- Quid des routeurs sur ton chemin... ils anonymisent eux ?
- Quid des reverse dns, des mutualisés, des firewalls... ils buttent les données au bout de 13 mois ?
- Les VPNs ?
- Les équipements réseau de grosse infra comme OVH ?

Conclusion : si tu veux être raccord RGPD, tu te dois d'abolir les outils tiers si tu ne veux pas emmerder l'utilisateur avec des popins. Si tu as envie d'utiliser du tiers, tu dois impérativement avoir un accord volontaire et tu ne dois pas charger de ressources externes tant que ça n'a pas été accepté.

Mais ça pique trop de regarder ses stats analytics s'écrouler parce que personne ne clique sur le bouton (si tu le fais bien), et ça pique trop de ne pas pouvoir mettre de Adwords. Fondamentalement, les gens se branlent de ta vie privée, eux ce qu'ils veulent, ce sont des jolies stats et rentrer du pognon avec leur régie pub. Et c'est pas le RGPD qui va changer ce comportement.

RavenShadow a écrit :
MP envoyé à Samax

Merci c'est reçu :)

Merci Max pour tous ces détails que personne n'aime chercher par soi-même. Une question comme ça :
Est-ce que à ta connaissance des CGU ont été modifiées d'une façon perverse par une entreprise en se disant que de toute façon, vu le nombre de fois où on te demande de donner ton accord et la dose de textes juridiques à lire, l'utilisateur se lassera et acceptera n'importe quoi sans s'en rendre compte ? Je ne parle pas de la vente du premier né, hein, mais plutôt de reventes d'infos, d'appropriation définitives de données, droits de réutilisation des photos à des fins publicitaires, etc. Une sorte d'effet pervers généralisé du RGPD, quoi : personne ne lit, tout le monde accepte, profitons-en pour faire passer tout ce qu'on veut et maintenant on pourra dire "oui mais ils ont cliqué sur Accepter".

Il y a des documents de synthèse clairs avec des exemples concrets et fréquents (GAnalytics et AdSense pour ne pas les nommer) sur la bonne méthodologie à suivre pour être conforme ?

Je pense que les boites qui ont des intentions merdiques sur la vie privée n'ont pas attendu le RGPD pour glisser des trucs salaces dans les CGUs. Potentiellement les boites "normales" ont au plus éventuellement ajouté des conditions complémentaires pour être sûr d'avertir les utilisateurs qu'ils peuvent utiliser leurs données à d'autres escient que juste se connecter à leur site.

De toute façon d'après ce que je disais plus haut, j'ai envie de te dire qu'une boite qui glisse un truc sensible dans un pavé de texte est déjà hors du cadre légal. Puisque les traitements très spécifiques des données personnelles (revente, appropriation de droits etc...) doit être faite de manière éclairée. Si tu préfères ça devrait être genre deux cases à cocher :
- Oui j'accepte qu'on revende mes informations
- Oui j'accepte que vous deveniez propriétaire des mes photos

Pour les docs de synthèse, pas vraiment. Pour moi le lien neWo ne me semble pas raccord sur tous les aspects du RGPD avec ce que la CNIL m'a dit. Mais par exemple, alors que tu dis ça neWo "Ah! et pour info, la bannière de cookie qui pollue le web n'est pas forcément nécessaire et pourrait juste être un lien dans le footer. ", tu trouves dans ton lien "Consent to cookies must be informed and based on an explicit affirmative action; subject to the local authority, these actions may include continued browsing, clicking, scrolling the page or some method that requires the user to actively proceed." ce qui veut dire que non, un simple footer n'est pas suffisant :) ( et le scroll ça me fait sourire parce que si une simple rotation de molette est une acceptation à la revente de ses infos personnelles, ça serait bien bien du foutage de gueule ).

Tout ça pour dire, tout le monde a son avis (moi y compris même si j'ai tenté d'avoir des infos valable auprès de la CNIL) et globalement tu recoupes une portion des informations mais tout n'est pas forcément bien expliqué.
C'est d'ailleurs pour ça que j'ai contacté la CNIL. Aucun article (et même leur site), n'est limpide et exhaustif sur le sujet... surtout quand on touche à des tiers.

Merci Max pour la discussion, c'est super informatif. Je ne connais pas la position de CNIL, en effet.
J'ai juste fais mes recherches au niveau européen mais ma boite ou mes clients ne me poussent pas à passer du temps là dessus. Je suis toujours époustoufler que tout le monde suivent les 2, 3 mêmes exemples qui existent, comme la cookie banner, sans savoir ; ça me frustre au plus au point.
Et j'ai le sentiment que même si j'allais lire directement à la source, les directives européennes, etc, le sujet ne serait toujours pas fixé.

L'idée de ses lois pour protéger la vie privée et ralentir la collecte de données est super bienvenue mais l'execution est en effet désastreuse. J'ai l'impression que cela aurait du être implémenté plus du côté des navigateurs web, comme le doNotTrack (bon, tout le monde s'en fout aussi en fait).

Personnellement je n'ai pas attendu GDPR pour utiliser ublock pour bloquer tous les tiers inutiles (à la navigation) et si la loi permets aux webmasters de se poser la question de quand "trop de tiers tue le tiers", c'est pour le mieux (mais apparemment il semblerait que ça ne soit pas vraiment le cas).

Enfin si la loi va trop loin et pas assez loin en même temps, ce serait ça le paradoxe.

La concentration dans le domaine du web et l'automatisation à grande échelle de la collecte des données est un vrai problème que je suppose GDPR a tenté d'adresser.