Cher webmestre, le GDPR est un météore dans ta tronche !

Un article revient sur le GDPR en confirmant plus ou moins ce que je dis. Que les webmestres et les éditeurs n’ont rien compris à ce veut dire réellement le GDPR, car s’ils le comprenaient, ils n’en feraient pas du GDPRO-Washing sur leurs blogs (comme je le fais aussi en passant).


Un article revient sur le GDPR en confirmant plus ou moins ce que je dis. Que les webmestres et les éditeurs n'ont rien compris à ce veut dire réellement le GDPR, car s'ils le comprenaient, ils n'en feraient pas du GDPRO-Washing sur leurs blogs (comme je le fais aussi en passant).

Si vous cherchez dans les plugins de WordPress avec la requête GPDR, alors vous trouverez quelques plugins qui prétendent qu’ils permettent de respecter le GDPR. Quand on regarde un peu ces plugins, alors on se rend compte que les développeurs, les éditeurs, les webmestres et tous ceux qui gèrent un site de près ou de loin, n’ont absolument rien compris au GDPR. Ces plugins vous permettent d’afficher une notice d’utilisation de cookies de merde et afficher une cache à cocher dans les commentaires pour demander le consentement des utilisateurs. Mais ce n’est pour des notices ou des cases à cocher que les GAFAM paniquent à mort en considérant le GDPR comme la plus grande réforme sur les données personnelles depuis l’invention du web (Et c’est vrai d’un point de vue américain, car en Europe, il y avait déjà ce type de législation au niveau national même si l’ampleur n’était pas la même).

Personne ne respecte le GDPR

C’est pourquoi, un article de Thomas Baekdal est très intéressant à ce sujet, car il montre les vraies conséquences du GDPR. Et pour résumer, 99 % des sites ne respectent pas et ne respecteront pas le GDPR quand il sera mis en vigueur. Car si vous voulez que votre site respecte le GDPR, alors un tracker comme Ghostery ou uMatrix doit afficher l’image suivante quand on accède à votre site :

Comment faire pour qu'un site respecte le GDPR

Oui, c’est ce site et pour être honnête, je m’apprêtais à m’auto-flageller en disant que ce site possède tel nombre de trackers, mais il semble que je respecte le GDPR sans même le vouloir. Mais vous ne devez pas me féliciter pour autant, car Ghostery bloque uniquement les trackers tiers, mais le GDPR est une conception de vie privée par défaut (Privacy by Design) et cela signifie que vous devez supprimer la totalité des trackers et des codes qui peuvent traquer vos visiteurs. Et si on passe à un Tracker beaucoup plus puissant et impitoyable comme uMatrix, alors les résultats sont moins reluisants :

Respecter le GDPR sur son site, comment faire ?

Vous êtes pisté même quand Ghostery vous dit que le site est clean.

Qu’est-ce que ces informations signifient ? Elles signifient que même si ce site n’utilise pas de trackers tiers, vous êtes pisté quand même. Regardez la partie Cookie où vous avez plus de 11 Cookies (je ne sais même pas comment ils ont arrivé sur ce site, via un thème ou un plugin sans doute)  rien pour que ce site et 28 pour le domaine principal. Ensuite, vous avez également le Cookie de Gstatic pour Google Fonts et oui, Google Font vous espionne aussi et c’est un service de polices de caractère qui utilisé par de nombreux sites. Aujourd’hui, vous avez plein de sites et de blogs qui vous donnent les “astuces pour respecter le GDPR” (plein de sites d’avocats dans le lot, les charognent sentent le pognon à des kilomètres), d’autres vous donnent les “solutions techniques pour échapper au couperet du GDPR“, mais personne ne comprend le vrai enjeu : Les utilisateurs veulent une protection absolue de la vie privée. C’est pour ça que les bloqueurs de pub et de trackers ont le vent en pouple. Ils en ont marre d’être pisté et donc, vous devez créer des sites qui ne traquent pas leurs utilisateurs par défaut.

Vous ne devez pas leur imposer un consentement qu’ils n’ont jamais voulus. Bien sûr, ils vont cliquer sur Ok pour lire votre contenu, mais vous n’avez pas protégé leur vie privée avec cette méthode, vous les avez forcé à violer leur vie privée pour que vous continuez à les pister en vous disant : Ouf, j’ai respecté le GDPR. Et c’est ce que je disais dans un précédent article, personne ne pose la question de fond du GDPR et on propose déjà des solutions pour exploiter les failles juridiques et techniques.

Mais il n’y a pas que des péquenots au royaume des profiteurs, car si vous voulez vraiment voir l’implication du GDPR, écoutez ce que disent Google et Facebook. Mais résumons les principales de base du GDPR :

  • Chaque information collectée doit être consentie
  • Vous pouvez collecter uniquement ce qui est nécessaire et cette collecte ne doit pas être excessive avec ce que vous offrez en échange
  • Les internautes ont le droit de la transparence
  • Les internautes ont le droit d’oubli
  • Les adresses IP sont des données personnelles.

Lisez bien la seconde ligne. Vous ne pouvez pas dire à un lecteur qu’un code Adsense lui est nécessaire, car la publicité n’est pas nécessaire pour lui. Elle l’est pour vous, mais vous, on s’en fout, car c’est l’utilisateur qui est au coeur du GDPR. Et la seconde partie est tout aussi importante. Si vous lui offrez un article de merde en échange de 6 publicités et 10 trackers sur la page, alors c’est clairement un excès exponentiel. Evidemment, c’est variable. Sur un site de commerce en ligne, le mec va fournir son adresse de domicile et vous n’avez pas besoin de lui demander un consentement pour ça. Et sur la suppression des données, vous ne pouvez pas supprimer des données fiscales ou administratives, car cela pénaliserait la personne. Les exceptions du GDPR sont très précises et je le répète, le bien-être et la rentabilé du site ne doit jamais, mais jamais mis en équilibre avec celui qui vient vous visiter.

Mais quelles sont les données que vous pouvez collecter avec le GDPR ? AUCUNE !!

J’ai pris ce site en exemple en affichant fièrement le 0 tracker de Ghostery, mais ce site viole le GDPR, car j’utilise un outil de statistique interne qui n’est pas détecté par les trackers. Et ouais, t’as pas le droit de collecter, point final. On peut penser que les GAFAM vont utiliser toutes les tactiques pour exploiter les failles du GDPR, mais en fait, ils ont pris l’approche inverse. Car ils se sont dit que les batailles juridiques vont être tellement couteuses que c’est beaucoup moins cher de respecter le GDPR. Ainsi, quand vous visitez un service de Google, vous n’avez pas une notice d’avertissement de merde, mais carrément une page dédiée comme la suivante :

Google vous demande un consentement explicite avant même que vous n'accédiez à son service

Google vous demande un consentement explicite avant même que vous n’accédiez à son service

Google exploite une faille du GDPR, mais au moins, il tente de le respecter. Ce que cette page vous dit en substance : Vous devez nous autoriser à collecter vos données ou vous pouvez aller voir ailleurs si nous y sommes. C’est comme un site d’adultes où tu dois cliquer sur la bannière qui dit : Je jure devant les Saintes Ecritures que j’ai plus de 18 ans.

Si vous utilisez Google Adsense sur votre site (moi je le fais sur mes autres sites), alors attendez-vous à ce que votre revenu se vautre dans la boue après l’application du GDPR. Pourquoi ? Google tente de respecter le GDPR, mais il ne peut pas garantir que tous les éditeurs, faisant partie d’Adsense, le respectent et donc, par défaut, il ne proposera plus de publicités ciblées pour les éditeurs européens. Facebook est allé plus loin, car il a supprimé carrément le programme des catégories de partenariats qui permettait aux annonceurs d’utiliser des données tierces (n’appartenant pas à Facebook) pour créer des publicités ciblées.

Ce qui nous ramène aux éditeurs et aux webmestres qui sont très loin de respecter le GDPR alors que c’est la panique générale chez les GAFAM. Quand on vous dit que c’est une réforme majeure, c’est vraiment majeur. Pour lancer une petite pique, regardons ce que Ghostery nous dit sur la page officielle du GDPR :

La page officielle du GDPR possède 1 tracker, c'est bon, mais ça ne respecte pas le GDPR

La page officielle du GDPR possède 1 tracker, c’est bon, mais ça ne respecte pas le GDPR

Tsss, Tsss, 1 tracker sur la propre page du GDPR, c’est pas sérieux, messieurs ! Bon, on pardonne puisque c’est un tracker lié à McAfee, mais comme on l’a vu, Ghostery ne détecte que quelques trackers, mais que nous dit uMatrix ?

uMatric détecte plusieurs trackers sur la page officielle du GDPR

Quand c’est rouge, c’est vraiment mauvais signe, car uMatrix estime que ces trackers violent directement la vie privée. Donc, le site officiel du GDPR utilise Google Fonts, un CDN avec ywxi (ça peut aller), mais également wsimg qui est un service d’image appartenant à GoDaddy… Un site européen, qui promeut une vie privée absolue, mais qui utilise un service appartenant à une entreprise américaine, vous avez dit bizarre ?

 

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, moyenne : 5,00 sur 5)
Loading...

Houssen Moshinaly

Rédacteur web depuis 2009 et blogueur dans la vulgarisation scientifique.

Depuis plusieurs années, la science est attaquée de tous les cotés. Les vaccins, les pesticides, les OGM, mais également sur le plan de la politique. Marre d'entendre des âneries sur les médias de masse, j'ai décidé de lancer ce blog pour critiquer tous ces attaques incessantes sur la science. Je parle de l'agriculture comme des lois liberticides ou des pseudosciences.

Je ne prétend pas être un expert dans les domaines et considérez plutôt mes articles comme une opinion éclairée, mais personnelle sur des sujets qui sont souvent assombris par les marchands de peur et la pseudoscience. Mon ton peut être cassant et tranchant, car cette plume canalise une colère souvent justifiée.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *