Dites les pros du #RGPD, cas concret : un site qui utilise un Piwik/Matomo auto-hébergé, qui ne collecte aucune donnée personnalisée et qui respecte DNT, hormis un bandeau d'information sur les cookies et une page qui explique le tout, ça suffit ou il faut aller plus loin ?

J'ai vu la page Privacy Policy de Matomo que je trouve pas mal faite. A faut plus ou ça suffit dans mon cas ? matomo.org/privacy-policy/

@Nico3333fr La CNIL a fait une bonne doc sur comment configurer Piwik pour ĂȘtre clean (executive summary : il ne suffit pas d'installer Piwik).

Et pourquoi un bandeau d'avertissement cookies s'il n'y a pas de cookies ?

@bortzmeyer Oui, j'avais lu ça cnil.fr/fr/solutions-pour-les-

Bin le bandeau d'avertissement est pour dire à ceux qui n'ont pas DNT activé qu'il y a des cookies :) (normalement, c'est consentement explicite, non ?)

@Nico3333fr "Il y a des cookies" et "je ne collecte pas de données" sont deux affirmations contradictoires.

@bortzmeyer Heu pas sûr de te comprendre là ?
Je ne collecte pas de donnée *personnalisée* (IP anonymisées, etc.).

@Nico3333fr @bortzmeyer Ça reste un traitement de donnĂ©es personnelles au sens RGPD, donc ça doit apparaĂźtre dans ton registre de traitement.

@Nico3333fr @bortzmeyer Ça sera effectivement un traitement pseudonymisĂ©, donc ton PIA dessus sera simple. Mais tu dois quand mĂȘme dĂ©finir des dĂ©lais de suppression & cie.

@aeris @Nico3333fr Le plus simple est de ne pas collecter de données du tout (donc, pas de cookies). Pas de données, pas de problÚme de protection de données.

@bortzmeyer @aeris @Nico3333fr

Ce sujet m'intéresse aussi. Comment faire alors pour la gestion des sessions ? Pour le rÚglement de la CNIL, je me souviens qu'il y avait expressément une exception pour ce qui relevait des nécessités de fonctionnement pour la navigation, avec l'exemple "sessions".

Dokuwiki répertorie trÚs bien tous les cookies : dokuwiki.org/faq:cookies. C'est pas le cas de tous les CMS et forums... Comment faire ?

Et, si l'utilisateur refuse, read-only uniquement, alors ?

aeris ☣ đŸ‡«đŸ‡· @aeris
Follow

@r3vlibre @bortzmeyer @Nico3333fr Les cookies « techniques » (session, panier, etc) ont une exclusion dans le RGPD.

· 0 · 0

@aeris @r3vlibre @Nico3333fr Par contre, si on authentifie les gens, les données ainsi récoltées sont des données personnelles. #RGPD

@bortzmeyer @r3vlibre @Nico3333fr Le cookie associĂ© n’est pas une donnĂ©e personnelle en lui-mĂȘme. Par contre si tu t’en sers pour identifier une personne (au travers d’autres sites par exemple, coucou Facebook & cie !), alors ça en devient une.

@aeris @bortzmeyer @Nico3333fr Ah, ouf, merci ! J'avoue que j'ai pas encore pu lire les détails. J'ai vu passer "gdprchecklist.io/", j'ai pas encore regardé. C'est bien ? Vous avez une autre ref ?

J'ai pas grand chose, un forum, un wiki, auj... Mais j'aimerais monter une instance Hubzilla.

D'ailleurs, si un utilisateur souhaite supprimer tt le contenu personnel qu'il aurait publié sur un wiki. Cmt on fait ? Y a l'historique :/
(je parle mĂȘme pas d'Internet Archive ou archive git :/)

@aeris @bortzmeyer @Nico3333fr Je tente de me rĂ©pondre Ă  moi-mĂȘme... Comme toute la doc sur le site de la CNIL s'adresse aux entreprises et que l'usage domestique n'entrait pas en ligne de compte, je pensais qu'un forum ouvert uniquement Ă  des connaissances rentrait dans l'usage domestique. "Domestique" c'est un carnet d'adresses. Et un jour, il risquera d'ĂȘtre public, donc j'ai menĂ© ma p'tite enquĂȘte.

1) La priorité est bien de cadrer les pratiques des "big-data": theadminzone.com/threads/gdpr-

1/N

@aeris @bortzmeyer @Nico3333fr
A noter que dans (1), il est mention d'un cadre diffĂ©rent pour l'usage d'un service par "consentement" (ex. gafam) ou par "intĂ©rĂȘt" (ex. communautaires).

2) Ensuite, j'ai trouvé cette synthÚse qui s'adresse aux petites entreprises et qui est bien faite : kanjian.fr/7-points-declaircis

3) Cette synthÚse lle réfÚre à la doc de la CNIL pour les TPE/PME: cnil.fr/fr/la-cnil-et-bpifranc

4) Pour un résumé complet : nextinpact.com/news/106135-le-

2/3

@aeris @bortzmeyer @Nico3333fr
5) Enfin, pour les forums communautaires, le téléchargement des données concerne avant tout les données du profil, et pas forcément le contenu émis

RĂ©ponse d'un juriste pour la plate-forme collaborative TikiWiki: dev.tiki.org/New-EU-data-prote:
> People need to be able to delete their account, meaning all their user info. We can still keep track of their edits in page histories and posts and such through their nickname.

/!\ C'est un cas particulier, Ă©videmment.

3/3