Dites les pros du #RGPD, cas concret : un site qui utilise un Piwik/Matomo auto-hébergé, qui ne collecte aucune donnée personnalisée et qui respecte DNT, hormis un bandeau d'information sur les cookies et une page qui explique le tout, ça suffit ou il faut aller plus loin ?

J'ai vu la page Privacy Policy de Matomo que je trouve pas mal faite. A faut plus ou ça suffit dans mon cas ? matomo.org/privacy-policy/

@Nico3333fr La CNIL a fait une bonne doc sur comment configurer Piwik pour être clean (executive summary : il ne suffit pas d'installer Piwik).

Et pourquoi un bandeau d'avertissement cookies s'il n'y a pas de cookies ?

@bortzmeyer Oui, j'avais lu ça cnil.fr/fr/solutions-pour-les-

Bin le bandeau d'avertissement est pour dire à ceux qui n'ont pas DNT activé qu'il y a des cookies :) (normalement, c'est consentement explicite, non ?)

@Nico3333fr @bortzmeyer

Dire qu'il y a des cookies ne vaut en aucun cas consentement. C'est de la simple information. Reste à recevoir le véritable consentement pour avoir le droit de déposer les cookies.

Spoiler: "poursuivre sa navigation" n'est pas un acte positif tel que requis par la CNIL. On parle d'un clic sur un bouton "J'accepte", typiquement.

@maxauvy @Nico3333fr Et il doit évidemment y avoir un bouton "Je n'accepte pas" sinon, ça ne sert à rien.

@maxauvy @bortzmeyer
ou alors, on tourne le problème à l'envers => on ne collecte rien de base, et un petit mot qui dit "j'aimerais bien avoir qq stats perso + explications, z'acceptez ou non ?"

@Nico3333fr @maxauvy @bortzmeyer Ben c’est pas tourner le problème à l’envers ça, mais appliquer le RGPD 😂

@aeris @maxauvy @bortzmeyer oui, j'ai bien compris, c'est juste que je ne savais pas si appliquer la doc de la CNIL pour Piwik suffisait ^^ (j'ai mal formulé, autant pour moi)

@Nico3333fr @aeris @bortzmeyer

Appliquer la conf Piwik de la CNIL suffit sur l'aspect information/consentement.

Mais ça ne dispense pas des autres obligations liées au RGPD, notamment le fait que c'est tout de même un traitement que tu dois porter dans ton registre, documenter un minimum (notamment la conf, puisqu'elle te dispense de la demande de consentement) etc. :)

@maxauvy @Nico3333fr @aeris @bortzmeyer
Hello,
Les journaux d'accès web httpd/nginx sont-ils dans le scope du GDPR? (IP adress)
Même interrogation pour les logs firewall (80/443)... ? 🤔
ty !

@Mekka @maxauvy @Nico3333fr @aeris Une loi n'est jamais aussi précise techniquement (et à juste titre, car la technique évoluera).

La portée du #RGPD, ce sont les données personnelles et il n'y a aucun doute que les adresses IP sont des données personnelles.

@bortzmeyer @Mekka @Nico3333fr @aeris

Exactement, adresses IP, adresses matériel (MAC, IMEI...) sont des données à caractère personnel.

La loi n'est effectivement pas aussi précise, quand bien même la CNIL a commencé à mettre le nez notamment dans cette histoire de durée de conservation des logs et traces diverses et variées.

@maxauvy @bortzmeyer @Nico3333fr @aeris
Ok Merci pour cette précision !
Donc pour l'instant cela ne touche '"que" la partie navigation sur le site web.
La 2ème partie (logs httpd/firewall) étant en cours d'etude, j'imagine la complexité avec les différentes problématiques (securité etc...)
Je sais qu'il y avait eu un cas de jurisprudence à ce sujet : Loi FR (1an) vs EU = libre à vous de mettre 14 jours.
laquadrature.net/fr/requisitio

PS : fermeture massive de "hotspot" & co à venir ?😅

aeris ☣ 🇫🇷 @aeris

@Mekka @maxauvy @bortzmeyer @Nico3333fr Ça touche absolument à tout ce qui contient une donnée personnelle.
Log de tes serveurs web ou firewall, outils de stats type piwik, adresse mail dans les commentaires de blog, inscription à une newsletter…

· 0 · 0

@aeris @maxauvy
Oki ty.
Sauf qu'à ce jour cela ne semble pas totalement défini (#BestPratices) sur la partie gestion des logs : "La loi n'est effectivement pas aussi précise".
Je pense notamment aux problématiques sécu puis quand on voit la divergence FR vs EU...🤔
Même si la recommandation de @LaQuadrature me va très bien.

@bortzmeyer @Nico3333fr
@GuyMarty