Rappel : Vous n'ĂȘtes *pas* obligĂ©s de mettre des bandeaux pour les cookies et des demandes de consentements de partout.

Pas besoin de blùmer le RGPD pour ça puisqu'il ne l'impose pas.

[suspense intenable]

Il vous suffit de ne *pas* stocker et utiliser de données personnelles autrement que par pure nécessité pour fournir le service demandé explicitement par l'utilisateur.

Simple en fait

Ça me fatigue juste de voir les gens rñler comme si le RGPD et la CNIL rendaient impossible de naviguer sur le web.

Ce qui rend impossible de naviguer ce sont les pratiques détestables des éditeurs et annonceurs. La balle est dans leur camp.

--

Le problÚme n'est pas le besoin de consentement, c'est votre envie de stocker et utiliser des données personnelles pour autre chose que ce que vous a demandé l'utilisateur.

ArrĂȘtez, c'est tout. Fin de la solution

@edasfr

Certes, mais un débat récent avec @aeris nous a amenés sur le terrain de "qu'est-ce qu'une donnée perso". Pour lui, tout. Pour moi, ça dépend.

Ses arguments se tiennent, et pour l'instant, je comprends que par précaution on fasse "bandeau par défaut", et ce "à cause du rgpd" (nota: je comprends, mais je ne suis pas d'accord).

@djelouze @edasfr En tout cas, une IP, un cookie, une rĂ©solution d’écran, un referer, un user-agent, un fingerprint JS, c’est clairement de la donnĂ©e perso


@djelouze @edasfr Il y a des trucs qui pourraient éventuellement mener à discussion, mais tout ça, clairement non.

@djelouze @edasfr D’une maniĂšre gĂ©nĂ©rale, j’aurais tendance Ă  considĂ©rer que tout ce qui est en dessous de 33% ici est une donnĂ©e perso. Parce qu’en recroiser 3 (ce qui est TRÈS facile Ă  obtenir) ne laisse que 3% d’erreur d’identification de l’individu
 Tout ce qui est < 1% devrait limite relever d’une obligation d’analyse d’impact : la donnĂ©e elle-mĂȘme est identifiante.

@djelouze @edasfr Quand tu vois que rien que l’entĂȘte Language m’identifie Ă  plus de 99.99%
 đŸ˜±

@djelouze @edasfr Et que ma rĂ©solution d’écran m’identifie avec une probabilitĂ© d’erreur de 1 sur 50.000


@aeris

Et on est d'accord que ces ratios ne concernent que l'identification Ă  partir de tous les paramĂštres ? C'est en d'autres termes la contribution de chaque paramĂštre Ăą mon identification ?

Sinon, je ne vois pas comment ma langue pourrait m'identifier si sûrement parmi tou·te·s les internautes francophones...

@edasfr

@djelouze @edasfr La dĂ©finition exacte d’aprĂšs le site. C’est donc bien par valeur, et non la contribution totale.

Follow

@djelouze @edasfr Et c’est tout le problĂšme d’une donnĂ©e perso. Les gens ne se rendent pas vraiment compte de la prĂ©cision exacte d’une donnĂ©e, qu’ils ont tendance Ă  trĂšs fortement minimiser


@djelouze @edasfr Exemple Ă  la con :

- Langue FR : 283 millions de personnes sur 7.5 milliards : 3.7% d’erreur d’identification đŸ˜±
- Fuseau horaire : ~1/24Ăšme du monde = 4.2% d’erreur đŸ˜±

Les 2 cumulĂ©s : 0.15% d’erreur !!!! đŸ˜± đŸ˜± đŸ˜±

@djelouze @edasfr La position du service va du coup aussi beaucoup jouer avec ses 2 paramĂštres. Une petite boĂźte FR verra majoritairement du FR/UTC+2, donc la proba d’erreur va monter en flĂšche, plus proche du 100% que d’autre chose. À l’inverse une petite boĂźte US aura quasiment la certitude de l’unicitĂ© de l’individu avec la mĂȘme donnĂ©e


@djelouze @edasfr Bref « C’est compliqué », mais jusqu’à preuve du contraire (et l’analyse qui le prouve pour ĂȘtre conforme RGPD), une donnĂ©e a plus de chance d’ĂȘtre une donnĂ©e personnelle qu’autre chose.

@aeris @djelouze @edasfr Y a pas une rĂ©partition uniforme des fuseaux horaires donc le cumul en pratique devrait ĂȘtre un peu plus haut que ça
 Dans cet exemple en tout cas.

@GeoffreyFrogeye @djelouze @edasfr Oui, il faudrait regarder les chiffres exactes, ça donne juste des ordres de grandeur 😂

@GeoffreyFrogeye @djelouze @edasfr UTC+2, c’est 459.000.000 habitants. Sur 7.5 milliard, ça fait donc 6.12%.
À l’inverse UTC+11 fait 16.850.000 habitants. On tombe à 0.22%


@aeris 0.15% d'erreur sur 7,5 milliards, ça fait quand mĂȘme 11 250 000 personnes. x)
Donc si tu stocke que ça, est-ce vraiment une donnĂ©e perso ? (sans ID, date ou quoi que ce soit)

Puisqu'il est pas possible de recroiser ces données avec d'autres


@djelouze @edasfr

@Darks

J'allais justement de la fréquence de base :)

On a un peu le mĂȘme soucis sur l'analyse de risque clinique : pour savoir si il faut faire une analyse, on doit analyser les risques. Ça ressemble Ă  l'analyse d'impact : quand une erreur, aussi faible soit-elle te conduit Ă  un choix parmi 1 million, l'analyse n'est p-ĂȘ pas nĂ©cessaire. Mais elle a Ă©tĂ© faite !

../..

@aeris @edasfr

@Darks @djelouze @edasfr Non, il faut le voir dans l’autre sens. Tu as 0.15% d’erreur de te planter dans l’association de 2 visiteurs avec les mĂȘmes valeurs.

@Darks @djelouze @edasfr Et tu stockes « forcĂ©ment » une donnĂ©e autre Ă  cĂŽtĂ©, sinon cette donnĂ©e n’a aucun intĂ©rĂȘt Ă  ĂȘtre stockĂ©e (ou ne serait effectivement plus une donnĂ©e perso)

@aeris Imaginons, j'ai Fr/UTC+2 dans ma bdd.
→ Je n'ai qu'une entrĂ©e ⇒ j'identifie une personne unique parmi 11 millions. Donc en fait personne.
→ J'ai plusieurs entrĂ©es (N) ⇒ j'identifie Ă  1 / (0.15 * N)  % la personne. Donc si N est "grand", ma donnĂ©e n'est plus personnelle.

Ceci Ă©tant dit, en Ă©crivant ça je trouve le truc foireux
 đŸ€”

@djelouze @edasfr

@Darks @djelouze @edasfr Vois le truc dans l’autre sens. Un visiteur se pointe en FR/UTC+2. Tu as une db avec 12 millions de personnes. Tu n’as pas FR/UTC+2 dedans. Tu en dĂ©duis que c’est un nouveau visiteur.
Tu vois une autre personne avec FR/UTC+2. Quelle est la probabilitĂ© qu’il s’agisse de la mĂȘme personne que prĂ©cĂ©demment, sachant que tu n’avais jamais vu ce motif avec 12 millions de personnes auparavant.

@Darks @djelouze @edasfr On ne cherche pas Ă  calculer la propa d’identifier un individu parmis 12 millions, la proba qu’il s’agisse du mĂȘme sachant que tu as dĂ©jĂ  vu ce motif avant.

@aeris Je vois. Donc 1 / (p × N), oĂč p est le taux d'identification global et N le nombre d'apparitions, si je suis bien ?

@Darks Faudrait faire les calculs exacts, les probas conditionnelles, c’est toujours le merdier à calculer 😂

@Darks En tout cas Am I Unique a dĂ©jĂ  traitĂ© 1 394 986 analyses, et « fr-FR,fr;q=0.5 » n’a Ă©tĂ© vu que 0.77% du temps et mon fuseau horaire que 10.17% du temps. Rien qu’avec ces 2 paramĂštres, on sait m’associer Ă  un groupe de 1092 personnes chez Am I Unique
 C’est LARGEMENT plus qu’il n’en faut pour ĂȘtre utilisĂ© pour du ciblage publicitaire par exemple.

@Darks Et sur la population mondiale, je serais dans un groupe de 5.8 millions de personnes. Soit « seulement » la petite couronne de l’Île de France
 Ça remet des choses en perspective


Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!