Je suis en train de me demander si tous les Allemands peuvent maintenant porter plainte contre quasiment tous les sites qu'ils utilisent pour les CDN, mais aussi les boutons like, "suivez-nous sur Twitter/Facebook/Instagram/Youtube", etc.
En effet les divers application de cette décisions peut faire TRÈS mal pour pas mal de sites web. Mais le contournement peux aussi d'être de rajouter 1 ligne (ou plus) dans la popup déjà bien chargé de consentement.
C'est donc aussi la fin des liens vers des ressources externes (image, javascript, fonts comme ici qui ne serait pas hébergés sur une plateforme que l'on maitrise).
Et donc aussi la fin des fournisseurs de pub ? Ce serait merveilleux.
Mais bon, des juristes vont bien trouver un truc pour leur permettre de continuer à empoisonner le web.
Ce qui est une violation du RGPD qui demande un libre consentement aux cookies. «Accepte ou paie» est une claire violation du libre consentement, vivement que ça passe par un tribunal…
Moi, j'en ai vu un groupe et j'ai commencé à discuter, mais le vigile du supermarché m'a dit "monsieur, on ferme, il faut arrêter de parler aux fruits et légumes", donc je dois pas m'y prendre comme il faut.
Posté par dovik (site web personnel) .
Évalué à 3.
Dernière modification le 02 février 2022 à 23:19.
Et pour ceux qui se demandent et qui n'ont ni lu l'article, ni fait de recherche :
Max Schrems, né en octobre 1987 à Salzbourg, est un activiste autrichien militant pour la protection des données privées. En octobre 2015, Max Schrems obtient l’invalidation, par la Cour de justice de l'Union européenne, de l’accord baptisé Safe Harbor, qui encadrait le transfert des données des internautes européens vers les États-Unis et leur utilisation par de nombreuses entreprises américaines, puis en juillet 2020, l’invalidation du Privacy Shield.
Si je met sur mon site un appel à une ressource hébergée par un autre site (par exemple un logo ou un bout de JS type bootstrap), et que cet autre site se fait racheter par un géant de l'acabit de Google, mon site peut devenir l'objet d'une condamnation.
C'est une drôle de décision, car elle met à mal le principe de neutralité. Faire une requête vers un site tiers peut être, ou pas, condamnable, selon le site pointé.
Cloudflare, qui cache et protège plein de sites (via son CDN), et opère un DNS très utilisé (1.1.1.1) doit bien rigoler :).
Cela n'a pas de rapport avec la neutralité du net, mais avec le fait que certaines entreprises décident d'exploiter les données personnelles des gens sans leur accord. Par exemple il suffit que Google n'exploite plus les données personnelles (en tout cas celles de gens non inscrits chez eux) pour que ce soit OK.
La neutralité du net, ou neutralité d’internet, est une notion popularisée en 2003 par Tim Wu, professeur de droit à l'université Columbia à New York. On parle aussi de neutralité des réseaux ou encore d'internet ouvert. Son principe est de garantir l’égalité de traitement et d’acheminement de tous les flux d’information sur internet, quel que soit leur émetteur ou leur destinataire.
La neutralité du net est l’un des principes fondateurs d’internet, qui exclut la création d’accès à internet « à plusieurs vitesses », par une gestion favorisant certains flux d’information au détriment d’autres (discrimination), ou la création d’accès à internet limités (à certains contenus ou certaines plateformes).
Ici, on discrimine la plateforme de Google car c'est un Léviathan suceur de données personnelles. Mais ça a tout à fait à voir avec la neutralité du net.
À quel moment tu fixes la limite de "non là c'est trop". C'est arbitraire, je suis désolé.
D'ailleurs, ça recoupe les problématiques du genre "mon logiciel est libre mais pas si tu gagnes des sous avec ou que tu es méchant avec les campagnols".
Pour faire vite, ce que je voulais dire : je comprend le principe derrière la décision juridique, mais c'est un vrai nid à emmerdes légales, et ça peut déraper très vite.
Tu met le doigt sur un truc. Le principe libertarien de la concurrence libre et non faussée qui serait un graal se casse les dents sur des compagnies en situation de monopoles qui ont mécaniquement des comportements prédateurs avec tout ce qui les entoure.
C'est de l'égalitarisme vs l'équité. Est-ce que tout citoyen doit payer le même montant d'impôt ou est-ce que ça doit être lié à son revenu/patrimoine/usage ?
Tant que les gamam ne seront pas démentelé on aura ces problèmes et ce genre de réponses.
Ca n'a rien à voir avec la neutralité du net. Le fait d'interdire la diffusion de photos pédophiles sur le net limite dans les faits ce qu'il est possible de faire transiter dans les tuyaux, et c'est parfaitement normal. Internet n'est pas un espace de non-droit. Dans le cas d'espèce, le RGPD peut aussi être appliqué en dehors du net : si tu maintiens une liste de données personnelles sur un calepin avec un crayon HB, dans un fichier Libre Office sur ton poste, ou dans le cloud, tu as besoin du consentement des personnes dans tous les cas, sauf usage légitime. L'IP étant une donnée personnelle, les règles du RGPD s'y applique sur le net comme ailleurs.
Après un peu de repos, oui bon, neutralité du net n'est sans doute pas la bonne expression. Merci pour les corrections.
Mais je continue à trouver cette décision très étrange :-/. C'est le site intermédiaire qui se fait condamner, et pas Google. Or, c'est bien Google qui sert les ressources sans demander le consentement.
Je me demande si le site web aurait pu se défendre ainsi :
- Ils n'envoient aucune IP à Google, ils ne font que mettre une balise link dans leur page qui pointe vers Google
- Le support des balises link n'est pas obligatoire pour un navigateur web (HTTP Link headers, if supported)
- L'usage des polices proposées n'est pas obligatoire pour le rendu (User agents […] may be designated […] as supporting the suggested default rendering defined by this specification. This is not required)
- Le fait de mettre la balise pointant vers une police de Google n'est donc qu'une suggestion de présentation et pas un prérequis ni un ordre de le faire.
- Si l'utilisateur utilise un navigateur qui fait ça directement sans rien demander à l'utilisateur, le propriétaire du site web n'y est pour rien. Ça aurait été pareil si le propriétaire du site web n'avait rien mis comme balise et que l'utilisateur avait un navigateur qui par défaut va chercher les polices chez Google.
C'est vrai que l'hypocrisie n'est pas un délit.
Et puis c'est la décision de l'utilisateur de se faire traquer, il n'avait qu'à utiliser Lynx comme navigateur.
Je t'invite à remplacer police et balise link dans ton argumentaire par cookie traceur.
Je ne suis pas sûr de comprendre le sens de ta remarque.
Est-ce que tu veux dire que moralement l'argumentaire est mauvais car la police sert de cookie traceur. Oui peut-être, encore que j'imagine que ce n'était pas la finalité du concepteur du site web car au final c'est Google qui est gagnant sur ce point, pas lui. Mais mon point de vue était surtout du point de vue juridique.
Est-ce que tu veux dire que mon argumentaire pourrait s'appliquer aussi à tous les vrais cookies traceurs ?
Je ne pense pas car un navigateur ne peut pas faire la différence entre un cookie traceur et un cookie légitime. Et de nombreux sites ne fonctionnent plus si on désactive tous les cookies. Alors que la plupart des sites fonctionnent avec les polices par défaut.
Alors que la plupart des sites fonctionnent avec les polices par défaut.
Euh, non. Beaucoup de sites utilisent des polices pour afficher des logos et des images. Tu ne dois pas avoir beaucoup essayé. Mon navigateur ne charge pas les polices distantes pas défaut et en fait, ça casse beaucoup de sites, avec même des effets catastrophiques sur la mise en page complète dans des cas pas si rares que ça.
Euh, non. Beaucoup de sites utilisent des polices pour afficher des logos et des images. Tu ne dois pas avoir beaucoup essayé. Mon navigateur ne charge pas les polices distantes pas défaut et en fait, ça casse beaucoup de sites, avec même des effets catastrophiques sur la mise en page complète dans des cas pas si rares que ça.
J'ai testé le top 10 des sites (selon wikipedia), une dizaine de sites pris au hasard sur news.google.fr, des sites associatifs, les sites relatifs à l'éducation que je consulte habituellement, tous mes onglets ouverts… Tout au plus j'ai eu quelques alignements bizarres, quelques textes inattendus, mais rien qui ne gêne le bon fonctionnement du site ou sa lecture.
Du coup, je veux bien tes exemples de sites où c'est catastrophique.
Alors techniquement il aurait put utiliser des outils comme umatrix, et autre pour éviter la fuite d'informations, mais la loi est aussi faite pour protéger ceux qui n'ont pas des connaissances poussées en informatique.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
la loi est aussi faite pour protéger ceux qui n'ont pas des connaissances poussées en informatique.
C'est tout le sens de ma remarque : est-ce que dans ce cas de figure, elle est assez bien faite ou est-ce que le propriétaire du site web aurait pu s'en sortir avec un argumentaire comme celui que je propose ?
C'est comme magasin qui mets en place une vidéosurveillance sans prévenir et qui se défends en disant vous n'avez qu'à être invisible :-)
Dans ton analogie, il manque la documentation normative sur laquelle les fabricants de caméra et les fabricants d'être humains se sont mis d'accord, et qui dit qu'une caméra ça peut servir à la fois à faire joli et à être filmé, et que pour être filmé il faut que les humains fassent X ou Y mais que ce n'est pas obligé. Et il faudrait aussi que les enregistrements ne soient pas faits au bénéfice du magasin, que celui-ci n'y ait jamais accès et n'ait pas à demandé à ce qu'ils soient faits.
Je ne pense pas. Nous savons tous comment faire pour ne pas avoir de cookie sur notre navigateur favori et ça n'a pas empêché google de prendre une belle prune pour sa gestion de ceux-ci (La CNIL sanctionne google à hauteur de 150 millions d'euros).
Par ailleurs, quelque soit l'option technique proposée, dans le cas d'une connexion effective, et même s'il n'y a pas transfert de l'adresse IP, c'est bien ma connexion sur ce site qui fournit mon IP à google. Google doit donc au mieux apparaître comme sous-traitant (au titre du RGPD, article 4.8), au pire comme responsable conjoint (article 26) dans la politique de confidentialité du site.
Qu'on retienne une définition ou l'autre, le responsable de traitement, à savoir l'éditeur du site "prend des mesures appropriées pour fournir toute information visée aux articles 13 (liste des informations à fournir dont à qui elles sont envoyées)…" (article 12 du RGPD) ce qui n'a visiblement pas été fait.
Par ailleurs, une donnée à caractère personnelle ne peut être traitée (et en particulier collectée) que sur certaines bases juridiques. Concernant une typo qui est une "option (suggestion ?) de présentation", je ne vois que l'intérêt légitime (que l'éditeur a plaidé à mon avis) ou le consentement. L'argument de l'intérêt légitime aurait probablement porté si la typo en question n'avait été disponible que sur google fonts. Je rappelle que l'intérêt légitime est un "consentement automatique mais retirable à tout moment", si on en veut un résumé et qu'il ne peut être employé que dans certains cas précis. Et encore faut-il donner les moyens de le retirer…
Là, il est assez clair que le consentement est requis. Et comme l'éditeur est responsable de traitement, c'est à lui de le demander: si ça avait été du rôle de google, il aurait été difficile de lui cacher son adresse IP…
Posté par NicolasP .
Évalué à 1.
Dernière modification le 08 février 2022 à 19:48.
Google doit donc au mieux apparaître comme sous-traitant (au titre du RGPD, article 4.8),
La définition de sous-traitant est "la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement"
Je ne crois pas que la partie que j'ai mise en gras soit établie dans le cas cité. Google traite les données personnelles pour son compte et uniquement pour son compte, certainement pas pour l'éditeur du site.
Qu'on retienne une définition ou l'autre, le responsable de traitement, à savoir l'éditeur du site "prend des mesures appropriées pour fournir toute information visée aux articles 13 (liste des informations à fournir dont à qui elles sont envoyées)…" (article 12 du RGPD) ce qui n'a visiblement pas été fait.
Ma question est "est-ce que le fait de mettre une balise link établit que l'éditeur du site web délègue une partie du traitement à Google ?". La norme dit que non, est-ce que l'usage l'emporte dans cette situation ?
C'est assez intéressant et effrayant comme cas, et que l'on soit pour ou contre je me demande à quelle point l'adresse IP est effectivement une donnée personnelle où plutôt à quelle moment ou avec quels usages elle le devient.
Je comprends bien l'idée par rapport au CDN mais jusqu'où s'arrêter ?
Exemple, j'héberge un site chez NUG.
La requête du client passe par un routeur NUG.
NUG utilise des logs à des fins statistiques, par exemple pour optimiser le trafic en fonction des destinations: est ce que ça rentrerait dans le même exemple que le cas CDN ? si, non pourquoi?
Est ce que je suis certain que NUG ne collecte pas des données autres sur les IPs qui passent par leur routeurs/infrastructure ?
Alors tu as raison qu'on ne sait pas, mais c'est dans le jugement.
Un point qui n'a pas l'air d'être discuté, c'est qu'on considère qu'une IP est suffisante pour servir de preuve pour un crime/délit. C'est un fait juridique accepté depuis longtemps.
Dire que "untel a été condamné car c'est l'IP attribué par son fournisseur et qu'elle a servir à 5 crimes", c'est signe que la justice reconnaît que ça sert à identifier les gens. Donc c'est sans doute dans cette logique que le tribunal a raisonné.
Et dire le contraire, ça serait aller contre la jurisprudence établi (et établi de façon consensuelle un peu partout en europe).
Ce qui est marqué dans le jugement (en allemand), c'est que l'IP en elle même peut être utilisé pour identifier les gens. C'est exactement ce que font les forces de police. Le fait de le pouvoir ou pas en pratique est "non pertinent" (sans doute parce que ne pas pouvoir maintenant n'implique pas de ne pas pouvoir dans le futur, eg, si tu te connectes sur ton compte google aussitôt, etc).
Un autre point qui n'est pas repris dans le lien en français, c'est que le tribunal souligne que Google est connu pour exploiter les données personnelles:
Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt
ou en français Google, une société connue pour collecter des données sur ses utilisateurs
Donc c'est sans doute aussi la réputation de Google qui a fait pencher la balance. Un CDN classique qui dit "on s'en balek de tracer les gens, notre business model, c'est de faire payer la BP" aurait sans doute donné un autre résultat.
Mais bon, les nuances d'un jugement en allemand, ça fait moins peur que dire "la fin des CDNs".
Je ne sais pas si c'est du sarcasme, je vais supposer que non.
Je suppose que j'utilise "preuve" de façon abusive, je devrais dire "faisceau d'indices". Tout comme trouver des cheveux sur un lieu de crime, en soi, c'est pas une preuve de culpabilité. Mais ça laisse croire que la personne était la, et donc ça se combine avec d'autres indices pour aboutir à comprendre ce qui s'est passé.
L'étudiant a été chopé parce qu'il a utilisé TOR (et que c'était le seul du campus à ce moment). Le routeur n'a pas vu son nom, mais son IP, et son IP était attaché à son nom via les logs du portail captif (ou du DHCP). Mais le DHCP n'a pas vu les connexions.
Dans ce sens, le lien entre la connexion au réseau TOR et l'IP du PC, puis entre l'IP du PC et l'identité a permis de le placer sur la liste des suspects, puis il a avoué.
la confession a été obtenu parce que l'IP a permis de retrouver la personne. Il pouvait ne pas avouer, mais je pense que devant la justice, un juge aurait été convaincu que c'était lui (ou du moins, qu'il avait un rôle à jouer, comme avoir donner son compte à quelqu'un, etc).
Donc c'est bien ce genre de vision juridique de l'utilisation des IPs qui fait que les juges estiment que c'est une info qui permet d'identifier les gens, vu que c'est ce qui arrive assez régulièrement.
Posté par flan (site web personnel) .
Évalué à 1.
Dernière modification le 03 février 2022 à 23:27.
Là, tu montres que l'IP n'a pas servi de preuve :-)
L'IP permet simplement d'identifier son propriétaire à un moment donné… et c'est tout. C'est très exactement ce que montre ton exemple : ça donne un suspect crédible aux enquêteurs, qui devront ramener des (vrais) éléments à charge.
Identifier un propriétaire d'adresse IP ne veut pas dire identifier un coupable.
Posté par NicolasP .
Évalué à 2.
Dernière modification le 04 février 2022 à 07:14.
Là, tu montres que l'IP n'a pas servi de preuve :-)
Ici on parle de droit pénal (du moins si ça avait été en France, mais le principe est plus ou moins similaire dans les autres pays). Et en pénal il n'y a quasiment jamais de preuve qui soit assez forte toute seule pour se faire une conviction : un aveu, un témoignage, une photo, une empreinte digitale, ou une IP, … pris isolément ne suffisent pas. Il y a bien sûr des exceptions mais elles sont rares : par exemple si toute une scène a été filmée et qu'on reconnaît distinctement les personnes dessus avec si possible des éléments déterminants autres que le simple visage.
Du coup, une preuve c'est un élément qui permet d'apporter des informations sur un fait et dont le niveau est débattu de manière contradictoire. Donc dans cet exemple, l'IP en était probablement une.
# Ça va faire mal aux boutons...
Posté par Maclag . Évalué à 7.
Je suis en train de me demander si tous les Allemands peuvent maintenant porter plainte contre quasiment tous les sites qu'ils utilisent pour les CDN, mais aussi les boutons like, "suivez-nous sur Twitter/Facebook/Instagram/Youtube", etc.
Il va me falloir plus de pop-corn…
[^] # Re: Ça va faire mal aux boutons...
Posté par Mimoza . Évalué à 4.
En effet les divers application de cette décisions peut faire TRÈS mal pour pas mal de sites web. Mais le contournement peux aussi d'être de rajouter 1 ligne (ou plus) dans la popup déjà bien chargé de consentement.
[^] # Re: Ça va faire mal aux boutons...
Posté par Jérôme FIX (site web personnel) . Évalué à 5.
C'est donc aussi la fin des liens vers des ressources externes (image, javascript, fonts comme ici qui ne serait pas hébergés sur une plateforme que l'on maitrise).
Est-ce que l'on veut cela réellement ?
[^] # Re: Ça va faire mal aux boutons...
Posté par Jean-Baptiste Faure . Évalué à 4.
Et donc aussi la fin des fournisseurs de pub ? Ce serait merveilleux.
Mais bon, des juristes vont bien trouver un truc pour leur permettre de continuer à empoisonner le web.
[^] # Re: Ça va faire mal aux boutons...
Posté par Maclag . Évalué à 7.
Tu as fait une faute de frappe. Je me suis permis de corriger.
De rien!
[^] # Re: Ça va faire mal aux boutons...
Posté par antistress (site web personnel) . Évalué à 4. Dernière modification le 02 février 2022 à 18:26.
Je t'aide.
Cf AlloCiné etc
[^] # Re: Ça va faire mal aux boutons...
Posté par Pinaraf . Évalué à 2.
Ce qui est une violation du RGPD qui demande un libre consentement aux cookies. «Accepte ou paie» est une claire violation du libre consentement, vivement que ça passe par un tribunal…
[^] # Re: Ça va faire mal aux boutons...
Posté par Misc (site web personnel) . Évalué à 5.
Mais est ce que quelqu'un a été voir un avocat ?
Moi, j'en ai vu un groupe et j'ai commencé à discuter, mais le vigile du supermarché m'a dit "monsieur, on ferme, il faut arrêter de parler aux fruits et légumes", donc je dois pas m'y prendre comme il faut.
[^] # Re: Ça va faire mal aux boutons...
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
On dirait que le partage de font n est pas suffisant pour justifier de données les fonts. Un cache de tout le serait, je pense.
"La première sécurité est la liberté"
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
# Max Schrems
Posté par antistress (site web personnel) . Évalué à 9.
Franchement on pourrait créer une étiquette "Schrems"
Respect pour lui
[^] # Re: Max Schrems
Posté par Papey . Évalué à 4. Dernière modification le 02 février 2022 à 18:42.
Déjà fait :
https://linuxfr.org/tags/schrems/public
[^] # Re: Max Schrems
Posté par antistress (site web personnel) . Évalué à 3.
Cool :)
[^] # Re: Max Schrems
Posté par antistress (site web personnel) . Évalué à 5.
J'ai étiqueté à posteriori quelques ressources du site
[^] # Re: Max Schrems
Posté par dovik (site web personnel) . Évalué à 3. Dernière modification le 02 février 2022 à 23:19.
Et pour ceux qui se demandent et qui n'ont ni lu l'article, ni fait de recherche :
cf. : https://fr.wikipedia.org/wiki/Max_Schrems
# Neutralité du net ?
Posté par cg . Évalué à 1.
Si je met sur mon site un appel à une ressource hébergée par un autre site (par exemple un logo ou un bout de JS type bootstrap), et que cet autre site se fait racheter par un géant de l'acabit de Google, mon site peut devenir l'objet d'une condamnation.
C'est une drôle de décision, car elle met à mal le principe de neutralité. Faire une requête vers un site tiers peut être, ou pas, condamnable, selon le site pointé.
Cloudflare, qui cache et protège plein de sites (via son CDN), et opère un DNS très utilisé (1.1.1.1) doit bien rigoler :).
[^] # Re: Neutralité du net ?
Posté par antistress (site web personnel) . Évalué à 8. Dernière modification le 02 février 2022 à 21:53.
Cela n'a pas de rapport avec la neutralité du net, mais avec le fait que certaines entreprises décident d'exploiter les données personnelles des gens sans leur accord. Par exemple il suffit que Google n'exploite plus les données personnelles (en tout cas celles de gens non inscrits chez eux) pour que ce soit OK.
[^] # Re: Neutralité du net ?
Posté par cg . Évalué à 3.
La neutralité du Net, ce n'est pas juste les tuyaux (mere conduit).
Extrait du site de l'Arcep :
La neutralité du net, ou neutralité d’internet, est une notion popularisée en 2003 par Tim Wu, professeur de droit à l'université Columbia à New York. On parle aussi de neutralité des réseaux ou encore d'internet ouvert. Son principe est de garantir l’égalité de traitement et d’acheminement de tous les flux d’information sur internet, quel que soit leur émetteur ou leur destinataire.
La neutralité du net est l’un des principes fondateurs d’internet, qui exclut la création d’accès à internet « à plusieurs vitesses », par une gestion favorisant certains flux d’information au détriment d’autres (discrimination), ou la création d’accès à internet limités (à certains contenus ou certaines plateformes).
Ici, on discrimine la plateforme de Google car c'est un Léviathan suceur de données personnelles. Mais ça a tout à fait à voir avec la neutralité du net.
À quel moment tu fixes la limite de "non là c'est trop". C'est arbitraire, je suis désolé.
D'ailleurs, ça recoupe les problématiques du genre "mon logiciel est libre mais pas si tu gagnes des sous avec ou que tu es méchant avec les campagnols".
Pour faire vite, ce que je voulais dire : je comprend le principe derrière la décision juridique, mais c'est un vrai nid à emmerdes légales, et ça peut déraper très vite.
[^] # Re: Neutralité du net ?
Posté par barmic 🦦 . Évalué à 8.
Tu met le doigt sur un truc. Le principe libertarien de la concurrence libre et non faussée qui serait un graal se casse les dents sur des compagnies en situation de monopoles qui ont mécaniquement des comportements prédateurs avec tout ce qui les entoure.
C'est de l'égalitarisme vs l'équité. Est-ce que tout citoyen doit payer le même montant d'impôt ou est-ce que ça doit être lié à son revenu/patrimoine/usage ?
Tant que les gamam ne seront pas démentelé on aura ces problèmes et ce genre de réponses.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Neutralité du net ?
Posté par Papey . Évalué à 8.
Ca n'a rien à voir avec la neutralité du net. Le fait d'interdire la diffusion de photos pédophiles sur le net limite dans les faits ce qu'il est possible de faire transiter dans les tuyaux, et c'est parfaitement normal. Internet n'est pas un espace de non-droit. Dans le cas d'espèce, le RGPD peut aussi être appliqué en dehors du net : si tu maintiens une liste de données personnelles sur un calepin avec un crayon HB, dans un fichier Libre Office sur ton poste, ou dans le cloud, tu as besoin du consentement des personnes dans tous les cas, sauf usage légitime. L'IP étant une donnée personnelle, les règles du RGPD s'y applique sur le net comme ailleurs.
[^] # Re: Neutralité du net ?
Posté par cg . Évalué à 2.
Après un peu de repos, oui bon, neutralité du net n'est sans doute pas la bonne expression. Merci pour les corrections.
Mais je continue à trouver cette décision très étrange :-/. C'est le site intermédiaire qui se fait condamner, et pas Google. Or, c'est bien Google qui sert les ressources sans demander le consentement.
# Avocat du diable
Posté par NicolasP . Évalué à 4.
Je me demande si le site web aurait pu se défendre ainsi :
- Ils n'envoient aucune IP à Google, ils ne font que mettre une balise link dans leur page qui pointe vers Google
- Le support des balises link n'est pas obligatoire pour un navigateur web (HTTP
Link
headers, if supported)- L'usage des polices proposées n'est pas obligatoire pour le rendu (User agents […] may be designated […] as supporting the suggested default rendering defined by this specification. This is not required)
- Le fait de mettre la balise pointant vers une police de Google n'est donc qu'une suggestion de présentation et pas un prérequis ni un ordre de le faire.
- Si l'utilisateur utilise un navigateur qui fait ça directement sans rien demander à l'utilisateur, le propriétaire du site web n'y est pour rien. Ça aurait été pareil si le propriétaire du site web n'avait rien mis comme balise et que l'utilisateur avait un navigateur qui par défaut va chercher les polices chez Google.
[^] # Re: Avocat du diable
Posté par Jean-Baptiste Faure . Évalué à 3.
C'est vrai que l'hypocrisie n'est pas un délit.
Et puis c'est la décision de l'utilisateur de se faire traquer, il n'avait qu'à utiliser Lynx comme navigateur.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Avocat du diable
Posté par NicolasP . Évalué à 5.
Je ne suis pas sûr de comprendre le sens de ta remarque.
Est-ce que tu veux dire que moralement l'argumentaire est mauvais car la police sert de cookie traceur. Oui peut-être, encore que j'imagine que ce n'était pas la finalité du concepteur du site web car au final c'est Google qui est gagnant sur ce point, pas lui. Mais mon point de vue était surtout du point de vue juridique.
Est-ce que tu veux dire que mon argumentaire pourrait s'appliquer aussi à tous les vrais cookies traceurs ?
Je ne pense pas car un navigateur ne peut pas faire la différence entre un cookie traceur et un cookie légitime. Et de nombreux sites ne fonctionnent plus si on désactive tous les cookies. Alors que la plupart des sites fonctionnent avec les polices par défaut.
[^] # Re: Avocat du diable
Posté par jyes . Évalué à 3.
Euh, non. Beaucoup de sites utilisent des polices pour afficher des logos et des images. Tu ne dois pas avoir beaucoup essayé. Mon navigateur ne charge pas les polices distantes pas défaut et en fait, ça casse beaucoup de sites, avec même des effets catastrophiques sur la mise en page complète dans des cas pas si rares que ça.
[^] # Re: Avocat du diable
Posté par NicolasP . Évalué à 3.
J'ai testé le top 10 des sites (selon wikipedia), une dizaine de sites pris au hasard sur news.google.fr, des sites associatifs, les sites relatifs à l'éducation que je consulte habituellement, tous mes onglets ouverts… Tout au plus j'ai eu quelques alignements bizarres, quelques textes inattendus, mais rien qui ne gêne le bon fonctionnement du site ou sa lecture.
Du coup, je veux bien tes exemples de sites où c'est catastrophique.
[^] # Re: Avocat du diable
Posté par fearan . Évalué à 3.
Alors techniquement il aurait put utiliser des outils comme umatrix, et autre pour éviter la fuite d'informations, mais la loi est aussi faite pour protéger ceux qui n'ont pas des connaissances poussées en informatique.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Avocat du diable
Posté par NicolasP . Évalué à 1.
C'est tout le sens de ma remarque : est-ce que dans ce cas de figure, elle est assez bien faite ou est-ce que le propriétaire du site web aurait pu s'en sortir avec un argumentaire comme celui que je propose ?
[^] # Re: Avocat du diable
Posté par devnewton 🍺 (site web personnel) . Évalué à 9. Dernière modification le 03 février 2022 à 09:35.
C'est comme magasin qui mets en place une vidéosurveillance sans prévenir et qui se défends en disant vous n'avez qu'à être invisible :-)
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Avocat du diable
Posté par NicolasP . Évalué à 2.
Dans ton analogie, il manque la documentation normative sur laquelle les fabricants de caméra et les fabricants d'être humains se sont mis d'accord, et qui dit qu'une caméra ça peut servir à la fois à faire joli et à être filmé, et que pour être filmé il faut que les humains fassent X ou Y mais que ce n'est pas obligé. Et il faudrait aussi que les enregistrements ne soient pas faits au bénéfice du magasin, que celui-ci n'y ait jamais accès et n'ait pas à demandé à ce qu'ils soient faits.
Ouais en fait, c'est pas du tout pareil quoi.
[^] # Re: Avocat du diable
Posté par Tonton Th (Mastodon) . Évalué à 3.
Une capillotraction digne d'un catalogue de supermarché :)
[^] # Re: Avocat du diable
Posté par RenaudGoll . Évalué à 0.
Je ne pense pas. Nous savons tous comment faire pour ne pas avoir de cookie sur notre navigateur favori et ça n'a pas empêché google de prendre une belle prune pour sa gestion de ceux-ci (La CNIL sanctionne google à hauteur de 150 millions d'euros).
Par ailleurs, quelque soit l'option technique proposée, dans le cas d'une connexion effective, et même s'il n'y a pas transfert de l'adresse IP, c'est bien ma connexion sur ce site qui fournit mon IP à google. Google doit donc au mieux apparaître comme sous-traitant (au titre du RGPD, article 4.8), au pire comme responsable conjoint (article 26) dans la politique de confidentialité du site.
Qu'on retienne une définition ou l'autre, le responsable de traitement, à savoir l'éditeur du site "prend des mesures appropriées pour fournir toute information visée aux articles 13 (liste des informations à fournir dont à qui elles sont envoyées)…" (article 12 du RGPD) ce qui n'a visiblement pas été fait.
Par ailleurs, une donnée à caractère personnelle ne peut être traitée (et en particulier collectée) que sur certaines bases juridiques. Concernant une typo qui est une "option (suggestion ?) de présentation", je ne vois que l'intérêt légitime (que l'éditeur a plaidé à mon avis) ou le consentement. L'argument de l'intérêt légitime aurait probablement porté si la typo en question n'avait été disponible que sur google fonts. Je rappelle que l'intérêt légitime est un "consentement automatique mais retirable à tout moment", si on en veut un résumé et qu'il ne peut être employé que dans certains cas précis. Et encore faut-il donner les moyens de le retirer…
Là, il est assez clair que le consentement est requis. Et comme l'éditeur est responsable de traitement, c'est à lui de le demander: si ça avait été du rôle de google, il aurait été difficile de lui cacher son adresse IP…
[^] # Re: Avocat du diable
Posté par NicolasP . Évalué à 1. Dernière modification le 08 février 2022 à 19:48.
La définition de sous-traitant est "la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement"
Je ne crois pas que la partie que j'ai mise en gras soit établie dans le cas cité. Google traite les données personnelles pour son compte et uniquement pour son compte, certainement pas pour l'éditeur du site.
Ma question est "est-ce que le fait de mettre une balise link établit que l'éditeur du site web délègue une partie du traitement à Google ?". La norme dit que non, est-ce que l'usage l'emporte dans cette situation ?
# Adresse IP comme données personnelle : quelle limite
Posté par Julien L. . Évalué à 2.
C'est assez intéressant et effrayant comme cas, et que l'on soit pour ou contre je me demande à quelle point l'adresse IP est effectivement une donnée personnelle où plutôt à quelle moment ou avec quels usages elle le devient.
Je comprends bien l'idée par rapport au CDN mais jusqu'où s'arrêter ?
Exemple, j'héberge un site chez NUG.
La requête du client passe par un routeur NUG.
NUG utilise des logs à des fins statistiques, par exemple pour optimiser le trafic en fonction des destinations: est ce que ça rentrerait dans le même exemple que le cas CDN ? si, non pourquoi?
Est ce que je suis certain que NUG ne collecte pas des données autres sur les IPs qui passent par leur routeurs/infrastructure ?
[^] # Re: Adresse IP comme données personnelle : quelle limite
Posté par Misc (site web personnel) . Évalué à 4.
Alors tu as raison qu'on ne sait pas, mais c'est dans le jugement.
Un point qui n'a pas l'air d'être discuté, c'est qu'on considère qu'une IP est suffisante pour servir de preuve pour un crime/délit. C'est un fait juridique accepté depuis longtemps.
Dire que "untel a été condamné car c'est l'IP attribué par son fournisseur et qu'elle a servir à 5 crimes", c'est signe que la justice reconnaît que ça sert à identifier les gens. Donc c'est sans doute dans cette logique que le tribunal a raisonné.
Et dire le contraire, ça serait aller contre la jurisprudence établi (et établi de façon consensuelle un peu partout en europe).
Ce qui est marqué dans le jugement (en allemand), c'est que l'IP en elle même peut être utilisé pour identifier les gens. C'est exactement ce que font les forces de police. Le fait de le pouvoir ou pas en pratique est "non pertinent" (sans doute parce que ne pas pouvoir maintenant n'implique pas de ne pas pouvoir dans le futur, eg, si tu te connectes sur ton compte google aussitôt, etc).
Un autre point qui n'est pas repris dans le lien en français, c'est que le tribunal souligne que Google est connu pour exploiter les données personnelles:
ou en français
Google, une société connue pour collecter des données sur ses utilisateurs
Donc c'est sans doute aussi la réputation de Google qui a fait pencher la balance. Un CDN classique qui dit "on s'en balek de tracer les gens, notre business model, c'est de faire payer la BP" aurait sans doute donné un autre résultat.
Mais bon, les nuances d'un jugement en allemand, ça fait moins peur que dire "la fin des CDNs".
[^] # Re: Adresse IP comme données personnelle : quelle limite
Posté par flan (site web personnel) . Évalué à 2.
Comment ça, ça peut servir de preuve pour incriminer une personne ?
[^] # Re: Adresse IP comme données personnelle : quelle limite
Posté par Misc (site web personnel) . Évalué à 4.
Je ne sais pas si c'est du sarcasme, je vais supposer que non.
Je suppose que j'utilise "preuve" de façon abusive, je devrais dire "faisceau d'indices". Tout comme trouver des cheveux sur un lieu de crime, en soi, c'est pas une preuve de culpabilité. Mais ça laisse croire que la personne était la, et donc ça se combine avec d'autres indices pour aboutir à comprendre ce qui s'est passé.
Prenons un cas concret.
L'étudiant a été chopé parce qu'il a utilisé TOR (et que c'était le seul du campus à ce moment). Le routeur n'a pas vu son nom, mais son IP, et son IP était attaché à son nom via les logs du portail captif (ou du DHCP). Mais le DHCP n'a pas vu les connexions.
Dans ce sens, le lien entre la connexion au réseau TOR et l'IP du PC, puis entre l'IP du PC et l'identité a permis de le placer sur la liste des suspects, puis il a avoué.
la confession a été obtenu parce que l'IP a permis de retrouver la personne. Il pouvait ne pas avouer, mais je pense que devant la justice, un juge aurait été convaincu que c'était lui (ou du moins, qu'il avait un rôle à jouer, comme avoir donner son compte à quelqu'un, etc).
Donc c'est bien ce genre de vision juridique de l'utilisation des IPs qui fait que les juges estiment que c'est une info qui permet d'identifier les gens, vu que c'est ce qui arrive assez régulièrement.
[^] # Re: Adresse IP comme données personnelle : quelle limite
Posté par flan (site web personnel) . Évalué à 1. Dernière modification le 03 février 2022 à 23:27.
Là, tu montres que l'IP n'a pas servi de preuve :-)
L'IP permet simplement d'identifier son propriétaire à un moment donné… et c'est tout. C'est très exactement ce que montre ton exemple : ça donne un suspect crédible aux enquêteurs, qui devront ramener des (vrais) éléments à charge.
Identifier un propriétaire d'adresse IP ne veut pas dire identifier un coupable.
[^] # Re: Adresse IP comme données personnelle : quelle limite
Posté par NicolasP . Évalué à 2. Dernière modification le 04 février 2022 à 07:14.
Ici on parle de droit pénal (du moins si ça avait été en France, mais le principe est plus ou moins similaire dans les autres pays). Et en pénal il n'y a quasiment jamais de preuve qui soit assez forte toute seule pour se faire une conviction : un aveu, un témoignage, une photo, une empreinte digitale, ou une IP, … pris isolément ne suffisent pas. Il y a bien sûr des exceptions mais elles sont rares : par exemple si toute une scène a été filmée et qu'on reconnaît distinctement les personnes dessus avec si possible des éléments déterminants autres que le simple visage.
Du coup, une preuve c'est un élément qui permet d'apporter des informations sur un fait et dont le niveau est débattu de manière contradictoire. Donc dans cet exemple, l'IP en était probablement une.
[^] # Re: Adresse IP comme données personnelle : quelle limite
Posté par Misc (site web personnel) . Évalué à 5.
C'est pour ça que j'ai commencé la réponse en disant que j'utilise le mot "preuve" abusivement et que j'aurais du parler de "faisceau d'indice".
Je veux bien qu'on pinaille sur les mots, mais à minima, lire la 2eme phrase serait sans doute utile pour faire avancer le débat :/
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.