Impact du RGPD: vous en pensez quoi ?

En mai prochain, finies les déclarations à la CNIL pour les fichiers de
personnes.

A la place, un énorme truc, le RGPD, directive européenne qui va
chambouler la manière dont les sites internet fonctionnent (et changer
aussi bien sûr tous les business de « data » et notamment le « big data »).

En résumé:

  • plus possible de récupérer des données personnes autres que celles
    nécessaires à votre business

  • toutes les entreprises qui « font des trucs » en europe sont concernées

  • demander à quelqu’un si on peut récupérer ses données personnelles
    devra se faire à part du traitement normal et de manière claire (en gros
    finies les cases précochées dans le flux formulaire d’un truc habituel)

  • en cas de fuite de données, il faudra le signaler tout de suite

  • les gens pourront à tout moment demander l’effacement de leurs données

  • un refus par une personne d’enregistrer ses « données personnelles » ne
    pourra pas lui interdire l’accès à un service

  • « données personnelles » signifie tout un tas de trucs, y compris par
    exemple l’adresse IP donc concrètement, si vous avez un outil de stats
    ou des logs qui récupèrent les adresses ip des visiteurs, vs êtes
    concernés !

  • TOUTE la chaine de collecte et traitement des données est concernée
    donc VOS sous-traitants ou partenaires (par ex services d’hébergement)
    sont co-responsables avec vous donc vous devez revoir vos contrats avec
    eux (cf par exemple
    https://www.cnil.fr/sites/default/files/typo/document/20111027_MOD_CLAUSE%20SOUS%20TRAITANT_VD.pdf
    )

  • ceci ne concerne par simplement le b2c mais aussi le b2b (donc par
    exemple les fichiers de clients du moment qu’il y a des noms et
    coordonnées ou mails par exemple)

  • les sociétés de + de 250 personnes doivent avoir un DPO, à savoir une
    personne responsable de ceci

  • la CNIL devient un organe de contrôle

En bref, c’est un énorme truc qui pose plein de questions auxquelles
personne n’a de réponse: concrètement par exemple:

  • des sites comme societe dot com ne peuvent plus mentionner les noms des
    gérants ou actionnaires sans autorisation de leur part

  • tous les annuaires : idem

  • tous les sites qui proposent des simulations ou autres en échange des
    données persos sont de fait KO (puisqu’on peut avoir accès au service
    sans donner de coordonnées persos)

  • "fuite de données " obligeant à une déclaration quasi publique, les
    "méchants " n’ont même plus à inventer des ramsomwares ou autres mais
    juste à faire croire qu’il y a fuite de données

  • bien évidemment la cnil n’a pas les moyens de contrôler mais comptons
    sur l’art et la tradition française de la dénonciation pour que les
    concurrents dénoncent ceux et celles qui ne remplissent pas les
    conditions de la loi

  • a priori c’est la fin de pas mal de sociétés de « big data »

La question est maintenant de savoir SI vous allez vous préparer à cette
révolution ou si vous attendez que les autres le fassent (car faire des
efforts seul coûte cher).

A titre informatif (je ne prends pas les noms :-)), Est-ce que
certains d’entre vous se sont penchés sur la question ? Qu’en ont-ils
déduit , décidé ?

Lien intéressant: https://www.gdpr-expert.eu/#textesofficiels

1 « J'aime »

Oula ils veulent tuer internet ? Ca me semble vachement compliqué tout ca. Va falloir créer sa boite à l’étranger :slight_smile:

2 « J'aime »

Inutile de créer ta boite à l’étranger, si tu fait du business avec un ressortissant d’un pays EU alors tu es concernés. :slight_smile:

Ça m’étonnerait qu’ils aillent chercher les poux à une société à madagascar. Si ? :joy: :joy:

Hello @Bazouni, oui la réglementation Européenne évolue et c’est une bonne chose car l’actuelle date des années 90’. La réglementation évolue en faveur de l’utilisateur/client et ça aussi c’est une bonne chose.

Cela va nous obliger à faire les choses proprement et je pense que c’est aussi une bonne chose. :smiley:

Si si. :wink:

@Pierre_A je vs trouve bien optimiste car ce truc sent à plein nez le texte fait uniquement par des juristes qui ne tiennent pas compte de la réalité des choses. Oui, la balance penche trop actuellement en faveur des trucs de big data ou commerçants de données mais là on est dans le délire inverse. Par exemple, votre nom sur CE site, c’est une donnée personnelle et donc le taulier du site devra vous demander l’autorisation et vous pourrez à tout moment demander à supprimer votre nom mais tout en continuant à avoir accès au service. cela signifie aussi qu’on pourra créer un compte facebook SANS donner le nom, prénom.
Par ailleurs, la vérification qu’on devra faire auprès des tiers partenaires est concrètement impossible. imaginez que vs êtes hébergeur et que vous devez vérifier que VOS clients n’ont pas de fuite de données sur les adresses ip des logs auxquels ils ont accès mais que vous gardez ?!?
Imaginez aussi le bordel que ça crée par rapport aux plugins wordpress qui récupèrent des données, comme akismet ?!? Vs avez un contrat avec eux qd vous avez un blog wordpress ? :wink:
Et quid de sites comme societe dot com ? Fini le nom des actionnaires ou gérants des sociétés. pareils sur pagesjaunes, tous les annuaires, etc, etc…
Si cette loi est vraiment appliquée, vous pensez bien que tout un tas de gens vont envoyer des avocats attaquer les sites concurrents ou qui ne respectent pas la loi. j’ai déj vu par exemple le cas d’un avocat qui pour tenter de faire effacer le nom de quelqu’un sur un site, prend comme prétexte que le nom est une donnée personnelle et que sa présence sur un site (un truc sur blogger ) hébergé à l’étranger, n’est pas autorisée :-)) Voir aussi https://pagefair.com/blog/2017/gdpr_risk_to_the_duopoly/

Bonjour @Bazouni, je vais essayer de te répondre point par point. :wink:

Disclaimer : je ne suis pas juriste, j’en fait ma propre interprétation, je bosse sur le sujet de la protections des données personnelles et leur exploitation depuis de nombreuses années dans des contexte multiples et pour des PME comme des grands compte. C’est un sujet qui me tient à coeur aussi bien côté de l’utilisateur final que du côté de ceux qui exploitent ces données.

Au contraire je trouve que la balance s’équilibre vers le consommateur (enfin !). Ce n’est pas le « délire » inverse. C’est juste que le monde du dev web et du webmarketing à été habitué à jouer dans un jeu sans contraintes et que maintenant l’état vient mettre son nez pour protéger le consommateur suite à des abus manifeste et répétés d’acteurs privée.
Pour rappel le rôle de l’état est de protéger le plus faible contre les abus du plus fort. Il font ce qu’ils peuvent avec les armes qu’ils ont, en l’état le droit. :wink:

Pour la première partie en effet mon nom sur ce forum est ma propriété et seul moi peux autoriser son usage.
Ce que dit la RGPD c’est que je devrais consentir à son utilisation de façon éclairé (comprendre ce que je fait) et explicite (pas une case cochée par défaut).
En l’état pour ce forum je donne mon autorisation à l’inscription et je suis en capacité de supprimer mon compte et les données liés à tout moment. Le cadre de la RGPD est donc pleinement respecté.

Là ou je ne te suit pas c’est sur le fait d’avoir le droit de supprimer ses données personnelle et avoir un accès sans compte. :wink:
Je ne voit nul part une partie qui précise qu’on peux avoir un accès à un système automatisé (un forum, FB ou autre sans compte). :wink:
Pour moi soit tu as un compte et tu as accès au service.
Soit tu n’as pas de compte et tu n’as pas accès au service, par contre le service doit supprimer tes données à la demande et te permettre la portabilité de tes données de façon simple.

Je travaille avec des hébergeurs et ce sont déjà des procédures qui sont en places.
Cela s’appelle des contrats, des processus de qualité et des normes (tu sait les fameux ISOxxx ^^).
C’est possible depuis des années de border ces sujets, avec un partage des responsabilité.
L’important est de savoir qui fait quoi, et qui est responsable de quoi.

Je trouve que le fait de responsabiliser les acteurs de la chaine et une bonne choses. Les sous-traitants qui ne font pas les choses dans les règles de l’art du métier vont mourrir et cela va épurer le marcher.

Quand tu actives un plugin comme Askimet tu doit te créer un compte sur Askimet.com ; à ce moment là tu signes un contrat. En effet, le fait d’accepter les CGU, CGV c’est un contrat.
En tant que propriétaire du blog tu es libres d’utiliser ce service, si tu l’utilises tu le fait sous le contrat d’Askimet. :wink:
En tant qu’utlisateur/lecteur du blog sans RGPD tu subit le contrat, avec la RGPD le propriétaire du blog doit t’informer de la façon dont tes données vont être utilisé et te permettre de t’y opposer à tout moment. Par exemple en limitant le fait de déposer un commentaire à ceux qui ont accepté les CGU du blog. CGU expliquant toutes les dépendances du services à des services tierces et les transferts de données potentiels.
C’est, pour moi, une réel avancé dans la protection du droits des consommateurs.
Même si cela va demander du travail à tout le monde pour se mettre en conformité, c’est finis le temps ou chacun fait ce qu’il veux sans se poser de questions sur le manière dont il respecte (ou pas la plupart du temps) les données personnelles de ses utilisateurs.

Le fait que les annuaires soit condamnés à mourir n’est pas une mauvaise chose en soit. Cela s’appelle l’évolution du monde. :wink:
Les grosses structures vont faire le nécessaires pour se mettre en conformité et ceux qui n’y arriveront pas vont disparaitre. Ce sont des nids à SPAM.
Pour rappel plus de 99,9% du trafic emails à travers le monde est considéré comme du SPAM. Il est temps que cela cesse.

Cette loi sera appliqué elle a été signé il y a plusieurs années par l’ensemble des états membres de l’UE et entre en vigueur le 25 mai 2018. Il n’est pas possible de reculer. Il a fallut pratiquement 10 ans pour que ce réglement aboutisse car, pour rappel, la loi Française date des années 90… Autant dire que la loi actuelle à 3 fusées de retard !

Il y aura surement des procès et des jurisprudence venant compléter les points flous. Après une période d’incertitude (pour ceux qui ne respecteront pas la loi stricto-sensus avec mai 2018) alors le cadre sera clair pour tout le monde. :slight_smile:

J’espère que ces quelques points permettrons à ceux qui les lisent d’y voir plus clair.
Encore une fois je ne suis pas juriste et c’est mon interprétation personnelle appuyé par 12 ans de direction technique et des milliers de projets (déployé dans 30+ pays en EU) touchants aux données personnelles qui parlent.

Avec plaisir pour continuer la discussion.

1 « J'aime »

Bonjour,

  • « rôle de l’état », ça c’est la théorie mais là, ce n’est pas l’état, c’est Bruxelles et en face c’est internet donc quelque chose SANS territoire géographique calqué sur celui de la Terre … on peut continuer de faire comme si mais concrètement, cela ne fonctionne pas (cf les problèmes de paiement d’impôt) et surtout ça avantage encore + les « forts » face aux faibles car les forts ont les moyens d’éviter les lois tandis que les petits s’épuisent à les respecter tout en prenant la loi de pleine face, souvent déclenchée contre eux par des concurrents…
  • « nom sur le site » … Vous pouvez supprimer votre compte SAUF que la mention de celui-ci, par exemple dans une réponse que je vous fais, ne sera pas supprimée… or c’est une donnée personnelle. Pour respecter le RGPD, le proprio du site devra donc pouvoir effacer TOUTE mention de votre nom.; imaginez le travail … On peut même imaginer du chantage de ce type où « effacez ou payez, sinon je vous attaque en justice » ou on peut même monter une activité qui propose à des gens de faire ce chantage en leur nom et de partager ensuite les bénéfices…
  • accès au compte dans accepter l’utilisation des données: c’est clair dans la loi. Donc tu ouvres un compte FB. Avec le RGPD, FB doit demander de manière séparée, claire et simple, si tu es d’accord pour qu’ils conservent et utilisent tes données. Tu réponds « non ». le RGPD dit qu’ils n’ont pas le droit de te refuser l’accès au service --> ils font comment à part te permettre d’ouvrir un compte avec un pseudo puisque la SIMPLE mention de ton nom sur une page web EST de fait une conservation de données ?
  • Responsabilité des tiers; DES procédures sont mises en place mais elles ne garantissent pas ce que demande le RGPD. As tu un contrat avec chacun des plugins que tu mets dans un Wordpress ? . Comment un hébergeur peut être sûr que TU n’as pas de fuite de données, pour garantir sa responsabilité ? le RGPD est calqué sur la responsabilité qu’ont les banques de s’assurer de la provenance de l’argent qu’on y met sauf que là, les données sont intraçables quand à leur provenance… Il faut bien lire la clause de confidentialité que recommande la CNIL. Comment un client d’hébergeur SAIT il quels sont les TIERS qui ont accès par exemple aux IP des visiteurs de son site (anti virus, cdn, sauvegarde, etc…) c’est concrètement impossible.
  • ne prenons pas Akismet mais un autre plugin comme AMP ou les plugins de partage sur les réseaux sociaux: tune signes aucun contrat quand tu les installes
  • « avec la RGPD le propriétaire du blog doit t’informer de la façon dont tes données vont être utilisé et te permettre de t’y opposer à tout moment » -> donc tout site va indiquer à celles et ceux qui le visitent qu’ils peuvent faire enlever leur adresse IP des endroits où elle est gardée ?? Heuu… Tu imagines le bazar vu que même le propriétaire ne sait pas où vont les adresses IP. D’ailleurs, au passage, cela implique le droit à demander à ton FAI de supprimer tout ton historique…
  • donc concrètement fin de infogreffe, whois, societe.com etc… :wink:
    A+

Je comprend ton point de vue, par ailleurs très étayé mais je ne te rejoins pas du tout.

Je crois que tout cela est contre productif pour toute les startups dont la réelle capacité d’émergence repose sur des techniques certes parfois borderline mais qui permettent d’accéder au marché et de toucher une large communauté.

Moralité, les grands acteurs en place pourront se mettre en conformité mais les autres auront beaucoup plus de mal.

Du coup la barrière à l’entree sera d’autant plus compliquée à franchir pour les nouveaux entrants avec cette réglementation complexe et contraignante.

Un vision bureaucratique favorisant les business en situation monopolistique.

4 « J'aime »

Je n’ai pas tout lu mais d’après ce que j’ai compris c’est anti web et ca va vraiment casser les c****.
Je reste sceptique par rapport à ca. Je vois mal comment l’état ou n’importe quelle autre structure pourrait contrôler l’ensemble des sites y compris ceux dans d’autres pays. Ca me paraît impossible.

1 « J'aime »

Hello,

je vous partage une tribune parue hier qui illustre l’impact très fort du RGPD sur le growth hacking à partir de son entrée en vigueur fin mai 2018 :

En clair fini la collecte de données personnelles à l’insu du plein gré de l’utilisateur, ce qui englobe son email

Donc, fini l’emailing sur un prospect non explicitement opt-in :

Là où ça va encore plus loin c’est qu’avec la mise à jour en parallèle du règlement Européen e-privacy il faudra très probablement un opt-in explicite sur tous les cookies, y compris les cookies tiers (ie non utiles à la webanalyse, donc publicitaires, comme le pixel Facebook), avec interdiction d’empêcher la navigation si l’utilisateur ne les a pas accepté :

Qu’en pensez vous ?

Et surtout comment on organise la riposte ? cc @Camille @VivianSolide @boristchangang

Left’

l’objectif de tout cela est de nous obliger à passer par de la pub payante. A qui profite le crime : facebook Linkedin google …les géants de la pub en ligne.
Il va falloir revenir en arrière de 20 ans et ressortir les campagnes de Phonning…Oup ça non plus on peut plus…
aie ça fait mal quand même…

3 « J'aime »

Au final est-ce une si mauvaise nouvelle ?
Ça va élaguer pas mal.

En revanche, dans les faits, faut pas avoir trop peur.

  1. C’est mai 2018 la mise en vigueur, on aura eu le temps de trouver des feintes
  2. Pouvoir public + Digital = MégaLOL (bien souvent)

Si tu personnalises ton message comme il le faut, que tes listes sont cleans et que SURTOUT tu apportes une valeur ajoutée, peu de chances d’être pris dans les mailles du filet.
De toutes façons, si ça devait être mis en place à la lettre, il y’en aura toujours qui vont abuser beaucoup trop et qui se feront attraper avant toi (car tous les utilisateurs du forum le savent déjà :wink: ).

Ta remarque est très juste @trist.
Tant que tu pourras faire des Lookalike dans Facebook je rigolerai bien de cette double posture de Marco :stuck_out_tongue:

fini l’emailing sur un prospect non explicitement opt-in

C’est à dire qu’il devient absolument impossible et interdit d’envoyer un email à un prospect, entreprise comme particulier, si ce dernier n’a pas explicitement donné son accord

Mais c’était pas déjà le cas ? :joy:

Non, mais plus sérieusement, personne n’a attendu le parlement européen pour avancer sur le sujet. Ils ont 5 ans de retard (cf : blockchain / décentralisation de la data).

2 « J'aime »

Pas d’accord sur le fond. Pour avoir un peu creusé le GDPR, une fois en vigueur il permettra à la CNIL de vérifier rapidement et simplement pour chaque entreprise faisant du business en Europe si elle respecte un « cahier des charges » sur la protection des données personnelles : PIA, nomination d’un DPO, interface opt in cookies non équivoque etc.
Dès mai 2018 ce donc sera beaucoup plus simple pour eux de vérifier si ta boîte est « GDPR compliant ». En gros ils inversent la charge de la preuve : avant il leur fallait prouver que tu étais en tort, demain ils n’auront qu’à pointer le fait que tu as manqué à tes obligations et tu devras te défendre du contraire, sous peine de régler une amende très lourde (2-4% du CA jusqu’à 20€).
Et je ne parle même pas du fait que n’importe qui (y compris le prospect lassé par nos emails non sollicités)
pourra exiger de se voir communiqué toutes les données que tu détiens sur lui et le process par lequel tu les as acquises…

Après je suis lucide sur le fait qu’ils n’iront pas mener la vie dure aux startups mais d’abord les moyennes et les grosses. Sauf peut être les outils de récupération d’email et de scraping de data…

Sur la double posture des régies avec users loggués, je suis on ne peut plus d’acccord.

Pour la prospection commerciale, il restera toujours LinkedIn (ouf!)

C’est sans doute la solution tu as raison. Espérons qu’on aura la réponse avant mai 2018 :slight_smile:

Question 1 :

Que faire quand les données sont accessibles publiquement ? Sur Google, je peux lancer une recherche de type booléen pour avoir accès à des profils Linkedin SANS avoir de compte Linkedin. Meme sans cliquer sur l’URL du résultat, j’ai des centaines de résultats comme M. Dupont Directeur Commercial ou Mme Henri DRH etc …

Est-ce que je peux considérer que cette donnée est rendue publique ? Et que du coup, je peux m’en servir librement ?

Suis-je en ligne avec cette nouvelle loi ?

Question 2 :

Google fait du big data en crawlant le web. Google m’a t’il demandé de venir crawler mon site et de le référencer dans son bot ?

Question 3 :
Selon cette future loi, je dois prouver que la personne a donné son accord pour pouvoir lui envoyer un email. Si par exemple, je suis dans une foire ou une salon pro, que je rencontre un prospect et qu’après la discussion, il me dit : Envoyez moi un email - Voici mon adresse que je note sur un post-it.

J’ai le droit ou pas de lui envoyer un email ? Si on me contrôle, je montre le post-it ?

C’est une question, qui oui, n’a pas de sens je le sais. Tout ça pour dire qu’entre le monde réel et les technocrates, le gap est encore long.

1 « J'aime »

Mailjet a fait un joli quizz sur le sujet si jamais ça vous intéresse :

2 « J'aime »

@Camille totalement d’accord.

La blockchain rend la propriété des données utilisateurs aux utilisateurs eux-même. Elles sont anonymes pour le reste du monde.
Un utilisateur pourra voir son nom et prénom sur un site sans que ces données soient utilisables par le site.
C’est la next step de Bruxelles, c’est certain. Oh mais tient ça existe depuis 2009 avec la blockchain :joy:
On peut prévoir un boom du cours du Bitcoin et une accélération de la mise en service d’application de cryptage de données ! Merci Bruxelles :ok_hand:

1 « J'aime »