Dites les pros du #RGPD, cas concret : un site qui utilise un Piwik/Matomo auto-hébergé, qui ne collecte aucune donnée personnalisée et qui respecte DNT, hormis un bandeau d'information sur les cookies et une page qui explique le tout, ça suffit ou il faut aller plus loin ?

J'ai vu la page Privacy Policy de Matomo que je trouve pas mal faite. A faut plus ou ça suffit dans mon cas ? matomo.org/privacy-policy/

@Nico3333fr La CNIL a fait une bonne doc sur comment configurer Piwik pour être clean (executive summary : il ne suffit pas d'installer Piwik).

Et pourquoi un bandeau d'avertissement cookies s'il n'y a pas de cookies ?

@bortzmeyer Oui, j'avais lu ça cnil.fr/fr/solutions-pour-les-

Bin le bandeau d'avertissement est pour dire à ceux qui n'ont pas DNT activé qu'il y a des cookies :) (normalement, c'est consentement explicite, non ?)

@Nico3333fr @bortzmeyer

Dire qu'il y a des cookies ne vaut en aucun cas consentement. C'est de la simple information. Reste à recevoir le véritable consentement pour avoir le droit de déposer les cookies.

Spoiler: "poursuivre sa navigation" n'est pas un acte positif tel que requis par la CNIL. On parle d'un clic sur un bouton "J'accepte", typiquement.

@maxauvy @Nico3333fr Et il doit évidemment y avoir un bouton "Je n'accepte pas" sinon, ça ne sert à rien.

@maxauvy @bortzmeyer
ou alors, on tourne le problème à l'envers => on ne collecte rien de base, et un petit mot qui dit "j'aimerais bien avoir qq stats perso + explications, z'acceptez ou non ?"

@Nico3333fr @maxauvy @bortzmeyer Ben c’est pas tourner le problème à l’envers ça, mais appliquer le RGPD 😂

@aeris @maxauvy @bortzmeyer oui, j'ai bien compris, c'est juste que je ne savais pas si appliquer la doc de la CNIL pour Piwik suffisait ^^ (j'ai mal formulé, autant pour moi)

@Nico3333fr @aeris @bortzmeyer

Appliquer la conf Piwik de la CNIL suffit sur l'aspect information/consentement.

Mais ça ne dispense pas des autres obligations liées au RGPD, notamment le fait que c'est tout de même un traitement que tu dois porter dans ton registre, documenter un minimum (notamment la conf, puisqu'elle te dispense de la demande de consentement) etc. :)

@maxauvy @Nico3333fr @aeris @bortzmeyer
Hello,
Les journaux d'accès web httpd/nginx sont-ils dans le scope du GDPR? (IP adress)
Même interrogation pour les logs firewall (80/443)... ? 🤔
ty !

@Mekka @maxauvy @Nico3333fr @aeris Une loi n'est jamais aussi précise techniquement (et à juste titre, car la technique évoluera).

La portée du #RGPD, ce sont les données personnelles et il n'y a aucun doute que les adresses IP sont des données personnelles.

@bortzmeyer @Mekka @Nico3333fr @aeris

Exactement, adresses IP, adresses matériel (MAC, IMEI...) sont des données à caractère personnel.

La loi n'est effectivement pas aussi précise, quand bien même la CNIL a commencé à mettre le nez notamment dans cette histoire de durée de conservation des logs et traces diverses et variées.

@maxauvy
D'après ce que j'ai compris, le RGPD ne s'applique pas aux individus pour un usage personnel, seulement aux organisations (cela ne constitue pas une raison pour ne pas en adopter les bonnes pratiques).
@bortzmeyer @Mekka @Nico3333fr @aeris

aeris ☣ 🇫🇷 @aeris
Follow

@GuyMarty @maxauvy @bortzmeyer @Mekka @Nico3333fr
« par une personne physique dans le cadre d'une activité strictement personnelle ou domestique; »
Le strictement me fait « peur » quand même, sachant que le G29 a l’air assez stricte sur les termes justement.
Du coup un site dispo en ligne risque de ne pas être « strictement à usage personnel » et donc être couvert par le RGPD.

@aeris @GuyMarty @maxauvy @Mekka @Nico3333fr Logique, autrement pas mal d'entreprises de déguiseraient en trucs perso pour échapper au RGPD.