Dites les pros du #RGPD, cas concret : un site qui utilise un Piwik/Matomo auto-hébergé, qui ne collecte aucune donnée personnalisée et qui respecte DNT, hormis un bandeau d'information sur les cookies et une page qui explique le tout, ça suffit ou il faut aller plus loin ?

J'ai vu la page Privacy Policy de Matomo que je trouve pas mal faite. A faut plus ou ça suffit dans mon cas ? matomo.org/privacy-policy/

@Nico3333fr La CNIL a fait une bonne doc sur comment configurer Piwik pour être clean (executive summary : il ne suffit pas d'installer Piwik).

Et pourquoi un bandeau d'avertissement cookies s'il n'y a pas de cookies ?

@bortzmeyer Oui, j'avais lu ça cnil.fr/fr/solutions-pour-les-

Bin le bandeau d'avertissement est pour dire à ceux qui n'ont pas DNT activé qu'il y a des cookies :) (normalement, c'est consentement explicite, non ?)

@Nico3333fr "Il y a des cookies" et "je ne collecte pas de données" sont deux affirmations contradictoires.

@bortzmeyer Heu pas sûr de te comprendre là ?
Je ne collecte pas de donnée *personnalisée* (IP anonymisées, etc.).

@Nico3333fr @bortzmeyer Ça reste un traitement de données personnelles au sens RGPD, donc ça doit apparaître dans ton registre de traitement.

@Nico3333fr @bortzmeyer Ça sera effectivement un traitement pseudonymisé, donc ton PIA dessus sera simple. Mais tu dois quand même définir des délais de suppression & cie.

@aeris @Nico3333fr Le plus simple est de ne pas collecter de données du tout (donc, pas de cookies). Pas de données, pas de problème de protection de données.

@bortzmeyer @aeris @Nico3333fr

Ce sujet m'intéresse aussi. Comment faire alors pour la gestion des sessions ? Pour le règlement de la CNIL, je me souviens qu'il y avait expressément une exception pour ce qui relevait des nécessités de fonctionnement pour la navigation, avec l'exemple "sessions".

Dokuwiki répertorie très bien tous les cookies : dokuwiki.org/faq:cookies. C'est pas le cas de tous les CMS et forums... Comment faire ?

Et, si l'utilisateur refuse, read-only uniquement, alors ?

@r3vlibre @bortzmeyer @Nico3333fr Les cookies « techniques » (session, panier, etc) ont une exclusion dans le RGPD.

@aeris @r3vlibre @Nico3333fr Par contre, si on authentifie les gens, les données ainsi récoltées sont des données personnelles. #RGPD

aeris ☣ 🇫🇷 @aeris
Follow

@bortzmeyer @r3vlibre @Nico3333fr Le cookie associé n’est pas une donnée personnelle en lui-même. Par contre si tu t’en sers pour identifier une personne (au travers d’autres sites par exemple, coucou Facebook & cie !), alors ça en devient une.