2 pièce(s) jointe(s)
Comment le RGPD est-il mis en application un mois après son entrée en vigueur ?
Comment le RGPD est-il mis en application un mois après son entrée en vigueur ?
Un tour d'horizon des solutions adoptées par les sites américains
Adopté le 14 avril 2014 par le Parlement européen puis mis en application dans les 28 États membres de l'Union européenne depuis le 25 mai 2018, le Règlement Général sur la Protection des Données est un ensemble de directives qui visent à accroître la protection des personnes concernées par un traitement de leurs données à caractère personnel d’une part, et la responsabilisation des acteurs de ce traitement d’autre part. Entre la date d’adoption et celle de mise en application, les entreprises ont eu quatre ans pour s’y préparer. Il est donc surprenant de constater qu’un mois après l'entrée en vigueur, plusieurs gros sites américains ont choisi comme solution de bloquer les utilisateurs de l'Union européenne.
Une analyse de ce mouvement « anti-RGPD » permet de dégager une catégorisation de ces sites. Premièrement, on distingue les sites qui bloquent purement et simplement les utilisateurs européens. Les géants de la presse américaine (The LA Times, The Chicago Tribune et The New York Daily News) sont les têtes d’affiche de cette catégorie. Les utilisateurs européens ne peuvent désormais plus y accéder. « Malheureusement, notre site web est actuellement indisponible dans la plupart des pays européens. Nous examinons les options qui soutiennent notre gamme complète d’offres numériques sur le marché de l’Union européenne » peut-on lire lorsqu’on essaie d’accéder à ces sites depuis un pays membre de l’Union européenne.
Certains sites comme ceux du groupe GateHouse Media ne se donnent même pas la peine de laisser un message aux utilisateurs européens. Tout ce qu’on peut y voir, c’est une fenêtre d’erreur. Même des sites relativement moins grands tels que le podcast de talk-shows, drlaura.com, le site de vêtements vintage ModCloth, la boutique américaine de sport Dick’s Sporting Goods ont rejoint le mouvement. Twitter aussi par exemple a simplement bloqué les adolescents européens qui ont indiqué avoir moins de 16 ans.
En un second temps, on remarque, les sites qui ne laissent entrer les utilisateurs européens qu’à condition que ceux-ci acceptent leur politique de confidentialité. Cette catégorie, légèrement plus diplomatique que la première est principalement constituée des grands magazines. Slate, Forbes, The Atlantic, The People, The Time, Politico laissent les visiteurs décider si, pour entrer sur le site, ils sont prêts à accepter la politique de confidentialité inhérente à celui-ci.
Et troisièmement, on distingue les sites qui vous proposent des alternatives. USA Today, tête d’affiche de cette catégorie a développé un site rien que pour l’UE, vide de toute publicité, ou tous les articles peuvent être lus, mais ne peuvent pas être partagés. Le site de la National Public Radio, quant à lui, laisse une option à ceux qui ne veulent pas accepter sa politique de confidentialité. Ils peuvent cliquer sur « Decline and visite plain text site » et accéder au site en HTML brut.
Le Washington Post, qui a aussi choisi cette formule, s’est, cependant montré bien plus habile que tous les autres. Plutôt que de juste demander aux lecteurs d’accepter la politique de confidentialité, le site leur propose un choix entre accéder à la version gratuite du site en donnant leur accord et souscrire à un abonnement Premium, sans publicités ni tracking, pour 3 $ de plus qu’un abonnement basique.
Et vous ?
:fleche: Quelles sont vos remarques par rapport à l'application du RGPD par les différents acteurs du net ?
:fleche: Que pensez-vous du RGPD maintenant après son entrée en vigueur ?
:fleche: Quelles sont vos suggestions pour une meilleure application du RGPD ?
Voir aussi
:fleche: RGPD : Un guide pratique pour les développeurs
:fleche: RGPD : Twitter décide de bloquer les adolescents en Europe qui ont indiqué avoir moins de 16 ans, le consentement d'un parent est requis
:fleche: 51 % des entreprises estiment que le RGPD risque d'endommager leur réputation, 67 % ne seraient pas prêtes pour le RGPD, d'après NetApp
:fleche: RGPD : WHOIS va-t-il être contraint de suspendre ses activités au courant de mai ? Quelles conséquences pour les webmasters ?
:fleche: Le RGPD sème la panique sur le web : certaines entreprises envoient des courriels inutiles ou illégaux, des sites bloquent les européens
1 pièce(s) jointe(s)
Un mois après l'entrée en vigueur du RGPD, personne ne respecte vraiment le règlement européen
Un mois après l'entrée en vigueur du RGPD, personne ne respecte vraiment le règlement européen
qui est interprété différemment d'un acteur à l'autre
Le 25 mai dernier, le règlement général sur la protection des données est entré en vigueur. Pourtant considérée comme une mesure salvatrice, la nouvelle réglementation ne semble pas être réellement appliquée. Rappelons qu’aussitôt après son entrée en vigueur, un flux incessant de réactions s’est fait observer. Certaines entreprises suspendent temporairement leurs activités au sein de l’Union européenne. D'autres ont simplement annoncé l'arrêt de leurs activités en ligne. D'autres encore craignent pour leur économie et disent ne pas être prêtes pour se conformer au nouveau règlement. On peut dire sans trop de risque de se tromper que les débuts du RGPD ne sont pas parfaits.
Selon des experts, les couacs dans l’application du RGPD pourraient, en partie, être dus au fait que la réglementation est interprétée d’une manière totalement différente d’un acteur à un autre. De ce fait, l’application du RGPD varie selon chaque acteur du net. Certains utilisent des options d'adhésion (opt in) préalablement cochées, des options masquées que les consommateurs sont obligés de rechercher, des bannières de consentement dont les informations ne peuvent être atteintes qu’avec un clic supplémentaire et qui n’ont pas de bouton « Rejeter ». D’autres se servent du bouton dit « nuke button » qui permet à l'utilisateur de rejeter absolument tout sans même lui donner une idée de ce qu’il rejette ou accepte.
D’autres encore se sont contentés de faire revivre les messages des cookies qu’exigeait la directive ePrivacy. Adrian Newby, directeur de la technologie chez Crownpeak, affirme que beaucoup d’éditeurs et de spécialistes du marketing ont submergé leurs auditoires d’e-mails de consentement entièrement inutiles et non conformes au règlement. Le RGPD a longuement été critiqué sur la base du fait qu’il serait trop vague et trop sujet à interprétation.
Ces deux insuffisances majeures seraient à la base du caractère hétéroclite des tactiques d’acquisition de consentement. Certains sites comme Forbes ou Bloomberg ont adopté une approche stricte de consentement actif tandis que d’autres comme The Guardian et MailOnline se servent de bannières de consentement. Certains ont scindé les explications sur leurs cookies en deux sous-classes : ceux utilisés pour la publicité et le suivi, et ceux utilisés pour l’analyse de site. Précisons qu’il est souvent impossible pour les utilisateurs de consentir à l’une de ces deux sous-classes et de rejeter l’autre.
Une autre catégorie à identifier est celle des sites qui préfèrent faire profil bas pour le moment en attendant de trouver le moyen de se conformer à la nouvelle réglementation sans pour autant altérer leur modèle économique. Il convient de préciser, à toutes fins utiles, que pour qu’un consentement soit conforme au RGPD, il faut qu’il ait été acquis des suites d’une action affirmative de l'utilisateur. Laquelle action l’aura amené à cliquer sur un bouton « Oui » clair et sans équivoque. Les données ne devraient donc pas être collectées sans que l’utilisateur ait formulé un « Oui » explicite.
Source : DIGIDAY
Et vous ?
:fleche: Internet est-il prêt pour une protection des données aussi participative à l’égard du consommateur ?
:fleche: Ne faudrait-il pas penser à trouver un juste milieu entre sécurité, business et vie privée ?
Voir aussi
:fleche: Comment le RGPD est-il mis en application un mois après son entrée en vigueur ? Un tour d'horizon des solutions adoptées par les sites américains
:fleche: L'application imminente du RGPD pourra-t-elle mettre à mal le service WHOIS ? Oui, selon l'ICANN, qui demande un moratoire pour mieux se préparer
:fleche: Vous pouvez échapper au RGPD en excluant l'Europe de votre site, un service de « gdpr-shield.io » propose de bloquer les utilisateurs européens
:fleche: Le RGPD sème la panique sur le web : certaines entreprises envoient des courriels inutiles ou illégaux, des sites bloquent les européens
:fleche: 51 % des entreprises estiment que le RGPD risque d'endommager leur réputation, 67 % ne seraient pas prêtes pour le RGPD, d'après NetApp
3 pièce(s) jointe(s)
Malgré l’adoption du RGPD, les données personnelles continueraient d’être siphonnées sans raison
Malgré l’adoption du RGPD, les données personnelles continueraient d’être siphonnées sans raison
Déplore un utilisateur de l’application Spotify
Le suivi des données et de l’activité de l’utilisateur sont des pratiques courantes qui débouchent sur la collecte des données personnelles de l’utilisateur. Habituellement, ces opérations de « tracking » sont effectuées pour améliorer l’expérience utilisateur, développer de nouveaux produits, fournir un meilleur support, créer des modèles marketing et établir de nouveaux canaux de revenus.
Le nouveau règlement de l’Union européenne connu sous le nom de RGPD ou Règlement général sur la protection des données régissant la protection de la vie privée des internautes a donné le droit aux utilisateurs de réclamer l’ensemble des données collectées sur eux par un service ou une entreprise.
Depuis l’entrée en vigueur du RGPD en mai dernier, de nombreuses entreprises technologiques sont désormais tenues de répondre aux demandes des utilisateurs concernant les données stockées à leur sujet sur la ou les plateformes des sociétés concernées.
Récemment, Peter Steinberger, un développeur autrichien et utilisateur de l’application Spotify s’est intéressé aux informations relatives à sa personne en possession de Spotify, une société qui propose des services de streaming de musiques.
Spotify précise sur son site Web qu’il collecte les informations personnelles de ses utilisateurs lors de leur inscription au service qu’il fournit, en scrutant l’utilisation qui est faite de ce service, au moment de fournir des fonctionnalités supplémentaires à l’utilisateur et par le biais de parties tierces (des annonceurs et des partenaires pour l’essentiel).
Pour ses besoins de fonctionnement, Spotify peut collecter les données personnelles suivantes sans l’autorisation de l’utilisateur :
- votre adresse mail, votre date de naissance, votre sexe, votre code postal et votre pays ;
- les messages échangés via Spotify et les interactions avec l’équipe de Service Client Spotify ;
- des données techniques pouvant inclure des informations sur les URL, les données des cookies, votre adresse IP, les types de périphériques que vous utilisez pour accéder ou vous connecter au service ;
- Les données du capteur mobile générées par les mouvements ou l’orientation pouvant être utiles pour proposer des fonctionnalités spécifiques du service.
Spotify évoque également sur son site des catégories de données personnelles que son service n’est autorisé à recueillir qu’avec le consentement préalable de l’utilisateur. Il s’agit des données mobiles volontaires (incluant les photos, les données vocales et les contacts), des données de paiement, des données relatives aux concours, sondages et tirages au sort et enfin des données marketing.
Avec un peu de patience, Peter Steinberger a réussi à obtenir l’intégralité de son archive de données qui est stockée chez Spotify (environ 250 Mo de données). Il a découvert le suivi intense de toutes les interactions possibles qu’il a pu effectuer sur cette plateforme, avec des détails incluant jusqu’à la manière dont il redimensionne la fenêtre de l’application.
En plus des « éléments utiles et normalement déclarés » que Spotify surveille en permanence, Peter Steinberger s’est rendu compte en décortiquant les archives le concernant que cette appli conserve des traces remarquables d’à peu près tout ce qu’il fait, même lorsque ces éléments peuvent paraitre aux yeux de l’utilisateur complètement inutiles. Il cite, par exemple, la marque des écouteurs qu’il utilise, la façon dont il règle le volume en écoutant une chanson ou encore toutes les interactions imaginables au niveau de l’interface utilisateur (incluant même le redimensionnement des fenêtres).
Il déplore le fait qu’une bonne partie des données collectées par Spotify sont inutiles pour le service et ne sont probablement pas exploitées. Alors que le RGPD était censé recadrer l’activité des entreprises technologiques et réduire certaines pratiques abusives ou inutiles, il semblerait que la stratégie de ces entreprises demeure la même : « collectons tout ce que font nos utilisateurs et nous déciderons quoi en faire plus tard ».
Source : Twitter, Spotify
Et vous ?
:fleche: Qu’en pensez-vous ?
Voir aussi
:fleche: « Facebook a découvert mes secrets familiaux et refuse de me dire comment », une utilisatrice s'interroge sur les sources de l'algorithme de Facebook
:fleche: Facebook : le réseau social achète des données personnelles à des fournisseurs tiers, sans informer les utilisateurs à propos de cette pratique
:fleche: Des extensions Chrome, ainsi que des apps Android et iOS, ont collecté des données personnelles à l'insu de leurs utilisateurs
:fleche: « L'extension de navigateur "Stylish" vole votre historique internet », selon un développeur qui la voit désormais comme un logiciel espion