Discussion :

[Stéphane le calme]

Des sites web préfèrent fermer au lieu de se mettre en conformité avec le RGPD,
par crainte des sanctions européennes

Le 25 mai 2018, la loi européenne relative à la protection des données la plus importante de ces 20 dernières années entrera en vigueur. Le Règlement Général sur la Protection des Données (RGPD) va alors remplacer la Directive sur la protection des données personnelles actuellement en vigueur et adoptée en 1995. Le RGPD renforce les droits des individus concernant leurs données personnelles. Il vise à uniformiser les lois sur la protection des données au sein de l'Union européenne, quel que soit le pays où les données sont traitées.

Mettre en application une loi aussi stricte semble ne pas être une tâche aisée, c’est ce que suggère l’attitude de plusieurs sites qui, voyant l’échéance arriver, ont préféré fermer.

C’est ce qu’explique par exemple Streetlend.com, un site Web servant de plateforme à des voisins désireux de se prêter des objets les uns aux autres : « Avec tristesse, StreetLend a été fermé en avril 2018, après cinq ans d'activité.

« Malheureusement, le nouveau règlement général sur la protection des données (RGPD) de l'Union européenne, introduit le 25 mai 2018, crée une incertitude et un risque que je ne peux pas justifier.

« Le RGPD menace les propriétaires de sites Web d’amendes de 4% du chiffre d'affaires ou de 20 millions d'euros (selon l’amende la plus élevée) s'ils franchissent un certain nombre de limites ambiguës. La loi, combinée avec les cabinets juridiques parasites, met les propriétaires de sites Web à risque. Les jeunes sites Web et les organismes sans but lucratif ne peuvent pas se permettre d'avoir des équipes juridiques. Par conséquent, le risque posé par le RGPD est inacceptablement élevé.

« Paradoxalement, cette nouvelle loi européenne blesse les start-up mais renforce la domination de Facebook, Google et Twitter, qui sont capables de se préparer et de se défendre en utilisant des équipes juridiques établies et des réserves de liquidités. La loi sur les cookies de l'UE, la réglementation de la TVA de l'UE et maintenant le RGPD de l'UE sont autant d'exemples de lois mal appliquées qui ajoutent de la complexité et des effets secondaires inattendus pour les entreprises au sein de l'UE ».

Capture d'écran streetlender

Le site est loin d’être le seul à avoir pris cette décision. Super Monday Night Combat, une arène multijoueur lancée en 2012 par Uber Entertainment, a également annoncé qu’il fermait son site ce lundi, expliquant que les coûts qu’il fallait engager pour respecter le RGPD sont trop élevés pour continuer l’aventure.

Même son de cloche pour Ragnarok Online, un jeu de rôle en ligne massivement multijoueurs édité et développé par Gravity Cor. Le studio Gravity a annoncé que l'accès au serveur international (iRO) sera bloqué aux joueurs européens à partir du 25 mai prochain. Les joueurs européens concernés par le blocage du serveur international et qui auraient procédé à des dépenses dans la boutique du jeu entre le 1^er février et le 30 avril prochain, seront remboursés de leurs achats.

Deux ans seulement après son entrée en Europe, Verve a décidé de mettre un terme à ses activités européennes plutôt que de s'emmêler avec le RGPD.

La société, qui gère une plateforme de marketing mobile alimentée par des données de localisation, a confirmé qu'elle allait fermer ses bureaux de Londres et de Munich et licencier une quinzaine d'employés le 11 mai 2018.

Bien qu'une « variété de facteurs ait joué dans notre décision », Julie Bernard Bernard, directrice marketing chez Verve, a assuré que le RGPD y était pour beaucoup.

« Nous avons décidé que l'environnement réglementaire n'est pas favorable à notre modèle économique particulier », a-t-elle assuré. « Nous concentrons nos efforts sur la force de nos activités aux États-Unis cette fois-ci ».

Le défi pour les entreprises de données de localisation est que, dans le cadre du RGPD, tout ce qui peut être utilisé pour identifier une personne est considéré comme des données personnelles, y compris les données de localisation et les identifiants d'appareils mobiles.

Verve tire la plupart de ses données de localisation d’un SDK intégré par ses partenaires éditeurs. Toutes les données collectées sont associées à un identifiant d'appareil. Le SDK permet aux éditeurs de monétiser leurs applications via le réseau d'annonceurs de Verve.

La société prétend avoir des autorisations robustes en raison de sa connexion directe aux éditeurs. « Notre modèle d'affaires a toujours privilégié la qualité ainsi que les données sécurisées avec le consentement du consommateur », a déclaré Bernard.

Et bien même, une question qui reste importante lors de l’application du RGPD pour les sociétés de données de localisation est de savoir si les consommateurs réalisent ce qu'ils choisissent lorsqu’ils tapent sur « autoriser » ou « OK » après avoir téléchargé une application ou sont conscients que des tiers recueillent leurs informations.

Verve ne veut clairement pas prendre ce risque en Europe.

Sources : StreetLend, Ragnarök Online, Verve, Super Monday Night Combat

Et vous ?

Que pensez-vous de leur décision ?
Avez-vous parcouru le RGPD ? Au niveau des contraintes (techniques ou administratives), comment le trouvez-vous ?
Vos sites et applications sont-ils déjà en conformité avec le RGPD ?

Voir aussi :

L'ICANN ne va pas bénéficier d'un délai supplémentaire pour une mise en conformité au RGPD des données issues du service Whois
Plus de la moitié des applications sur Play Store ne seraient pas conformes au RGPD, le règlement sur la protection des données
RGPD : Un guide pratique pour les développeurs, un article de Bozhidar Bozhanov
L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD, après un échec de la commission mixte paritaire la semaine passée

[redcurve]

Et la casse n'est pas fini, je bosse sur une application pour un client sauf que je ne vois pas comment elle pourra fonctionner si application RGPD ^^

[Anselme45]

Des sites décident de fermer à cause du RGPD?

Mais est-ce vraiment un problème? Ces dernières années une quantité astronomique d'intervenants ont basé leur "business model" sur l'espionnage systématique de leur utilisateurs récupérant des données personnelles (style géolocalisation, accès aux contacts, etc.) qui ne sont nullement nécessaires au fonctionnement du produit.

Que ces vampire du numérique doivent fermer parce qu'ils ne génèrent aucun chiffre d'affaire autre que la commercialisation de la vie privé de leur clients ne me pose aucun problème.

Concernant les entreprises respectant leur clients qui fournissent un vrai service, un vrai produit de qualité, ils n'ont pas à avoir peur du RGPD:

1. Ils collectent uniquement les données nécessaires à l'usage du produit ou du service; Ces données sont donc très limitées en quantité et donc faciles à protéger

2. Il est faux de faire peur aux gens avec la célèbre "amendes de 4% du chiffre d'affaires ou de 20 millions d'euros" pour la bonne est simple raison que cette amende ne tombe pas du ciel:

• Il faut qu'il y ait enquête pour confirmer que la société est fautive

• Il est demandé à la société de modifier ses pratiques et/ou de mettre en place une sécurisation plus poussée des données

Ce n'est que si la société n'a pas réagi aux différentes injonctions et délais qu'il peut y avoir éventuellement amende et encore, les recours sont possibles!

[Neckara]

Il est vrai que se mettre en conformité du RGPD n'est pas facile, surtout en l'absence de jurisprudence.

Pour certains points de détails/nuances, il est difficile de savoir à l'avance si la Justice ira dans une direction ou une autre, lors de l'application du RGPD. Donc pour le moment la stratégie est surtout de se blinder à outrance au niveau juridique pour éviter les mauvaises surprises... cependant cela est très contraignant.

On peut alors comprendre que des petites structures, n'aient pas les moyens de prendre le risque.

[Anselme45]

Il est vrai que se mettre en conformité du RGPD n'est pas facile, surtout en l'absence de jurisprudence.

Pour certains points de détails/nuances, il est difficile de savoir à l'avance si la Justice ira dans une direction ou une autre, lors de l'application du RGPD. Donc pour le moment la stratégie est surtout de se blinder à outrance au niveau juridique pour éviter les mauvaises surprises... cependant cela est très contraignant.

On peut alors comprendre que des petites structures, n'aient pas les moyens de prendre le risque.

Quel risque? Selon vous une petite structure doit se saborder et cesser ses activités pour ne pas risquer de devoir un jour, peut-être, éventuellement, payer 4% de son chiffre d'affaire en amende?

Si un jour l'amende tombe et que la petite structure n'a pas les moyens de payer son amende de 4% au max, elle arrêtera à ce moment là ses activités en se mettant en faillite et... au final personne ne paiera l'amende. Point barre!

En réalité, le RGPD est plus un effet d'annonce qu'autre chose (une usine à gaz de plus dont l'UE a le secret):

1. Les autorités ne feront pas la chasse aux petites structures parce qu'elles n'en ont tout simplement pas les moyens (qui va engager des milliers d'inspecteurs pour traquer des mecs incapables de payer leur amende?)

2. Les gros poissons (style GAFA) rigolent du RGPD parce qu'une amende max de 4% de leur chiffre d'affaire ne représentent à leur yeux rien du tout!

3. Au final, cela va juste "emm..." les PME genre 20-30 employés qui eux vont commencer par prendre peur, puis enrichir leur avocat pour au final se rendre compte qu'il s'agissait d'un pétard mouillé.

Il va de l'entreprise comme du citoyen, c'est toujours la classe moyenne qui passe à la caisse...

[Neckara]

Selon vous une petite structure doit se saborder et cesser ses activités pour ne pas risquer de devoir un jour, peut-être, éventuellement, payer 4% de son chiffre d'affaire en amende?

Je n'ai pas dit qu'elles devaient, juste qu'une telle décision peut se comprendre.

4% du CA, ce n'est pas rien, et encore plus si l'entreprise est déjà "limite" au niveau de ses comptes. Sachant que tant que nous n'avons pas de jurisprudence, c'est l'incertitude, cela a aussi un coût pour une entreprise. Que ce soit pour emprunter à une banque qui peut se dire que l'avenir de l'entreprise est trop incertaine, que ce soit sur les budgets où une partie sera mise de côté "au cas où".

Sachant, que la mise en conformité, n'est pas nécessairement simple selon le modèle économique de l'entreprise. On peut aussi craindre que des concurrents provoquent des actions en justice contre l'entreprise, pour lui nuire.

Si un jour l'amende tombe et que la petite structure n'a pas les moyens de payer son amende de 4% au max, elle arrêtera à ce moment là ses activités en se mettant en faillite et... au final personne ne paiera l'amende. Point barre!

Non, cela dépend du statut juridique de l'entreprise. Même en cas de responsabilité limité, la direction peut avoir sa responsabilité mise en cause par les actionnaires pour leur mauvaise gestion.

Sachant aussi que la responsabilité individuelle du responsable du traitement, ainsi que du responsable de la mise en œuvre du traitement peut aussi être mise en cause.

En réalité, le RGPD est plus un effet d'annonce qu'autre chose (une usine à gaz de plus dont l'UE a le secret)

Un cadre légal uniforme au sein de l'UE n'est en rien un effet d'annonce.

1. Les autorités ne feront pas la chasse aux petites structures parce qu'elles n'en ont tout simplement pas les moyens (qui va engager des milliers d'inspecteurs pour traquer des mecs incapables de payer leur amende?)

Les utilisateurs peuvent aussi déposer un recours auprès des autorités compétentes, et ce dans tout l'UE. Pas besoin de faire "une chasse".

2. Les gros poissons (style GAFA) rigolent du RGPD parce qu'une amende max de 4% de leur chiffre d'affaire ne représentent à leur yeux rien du tout!

4% du CA mondial, ce n'est rien ?

Heu… tu plaisantes ?

[Gluups]

Des sites décident de fermer à cause du RGPD?

Mais est-ce vraiment un problème? Ces dernières années une quantité astronomique d'intervenants ont basé leur "business model" sur l'espionnage systématique de leur utilisateurs récupérant des données personnelles (style géolocalisation, accès aux contacts, etc.) qui ne sont nullement nécessaires au fonctionnement du produit.

Que ces vampire du numérique doivent fermer parce qu'ils ne génèrent aucun chiffre d'affaire autre que la commercialisation de la vie privé de leur clients ne me pose aucun problème.

Tout-à-fait.
Quand le RGPD est sorti je n'étais pas disponible pour intervenir sur mon site web, mais ça ne me posait pas de problème car je n'ai jamais eu l'intention de tricher avec.
Les seuls cookies qui sont utilisés sont ceux sans lesquels WebForms ne peut pas exploiter les clics pour charger la page voulue, et j'ai écrit une page web pour expliquer à l'utilisateur les contenus des cookies.

Donc, que le fait de ne pas pratiquer cela soit sanctionné, n'était pas un problème.

Que des sites web aient besoin d'équipes coûteuses pour respecter le RGPD est préoccupant, car ça signifie qu'ils ont l'intention de jongler avec les limites pour exploiter les données des utilisateurs.

Alors il est vrai que je ne gère pas de données géographiques, en dehors de déduire le pays du lecteur d'après son adresse IP. C'est vrai que si il s'agit de proposer du troc en mettant les gens en relation en fonction de leur proximité, ça peut être plus délicat.

Je me représente qu'il doit y avoir moyen de faire une page de préambule qui explique les données stockées et l'espionnage qui pourrait en résulter, un peu sur le modèle selon lequel les sites porno demandent à l'utilisateur si il est majeur. Une fois ces explications fournies, et que l'utilisateur dit OK j'y vais, je ne vois pas trop bien ce qu'il pourrait y avoir à redire. Alors ce n'est pas exactement la même interface que ce qui est imposé par le RGPD, mais l'esprit est respecté.

Il est quelque part envisagé que l'accord de l'utilisateur ne lui soit demandé qu'une fois par an. Ça me laisse un peu mitigé, car ça signifie qu'on reconnaît l'utilisateur, et que du coup on a pu stocker autre chose sur lui. Tant qu'à faire, on peut carrément créer un profil utilisateur et demander de s'authentifier pour y accéder.
On l'a reconnu comment, d'ailleurs ? En créant un cookie ? Ah ou d'après l'adresse IP ? Ça marche pour les nomades, ça ?

[defZero]

Après l'utilisation des méthodes AGILE, SCRUM, KANBAN ...etc de gestion de projet, il va falloir une méthode RGPD Proof.
Mais ayant survolé le document (RGPD) quelque chose me dit que la durée des projets & leurs qualités va décroitre dans toutes l'UE.

PS : Pour l'amende on parle de 4% du chiffre d'affaires OU de 20 millions d'euros (selon l’amende la PLUS ÉLEVÉE)

[ymoreau]

À lire cette actu on dirait que la loi est une menace qui plane au dessus de toute activité sur le web et capable de foudroyer la moindre entreprise pour des raisons vagues.
Qu'en est-il réellement ? Quelles limites posent la loi, quels risques ?

Si on tue uniquement le business model basé sur la pub, je trouve ça tant mieux.
C'est pas comme si on allait perdre tous les services du web, il faudra juste les penser autrement au niveau modèle économique.

[Saverok]

les seules entreprises qui ont raison de redouter le RGPD au point de cesser leur activité sont justement celles dont le service proposé n'est qu'une façade à de la collecte massive de données injustifiée.

A partir du moment où l'on sait dire ce que l'on collecte, pourquoi et comment on l'utilise, il n'y a rien à craindre.

[Neckara]

A partir du moment où l'on sait dire ce que l'on collecte, pourquoi et comment on l'utilise, il n'y a rien à craindre.

De mon expérience personnelle, je peux t'assurer du contraire.

Notamment sur certains cas particuliers pour garantir le droit de retrait, de rectification, d'opposition, et respecter la minimisation des données, cela est quelque peu casse-tête en l'absence du jurisprudence. En effet, difficile de savoir jusqu'où aller. Donc pour le moment la politique est dans l'excès de zèle, justement pour se prémunir de toute surprise.

[fredinkan]

Donc pour le moment la politique est dans l'excès de zèle, justement pour se prémunir de toute surprise.

C'est surtout le pourcentage du chiffre d'affaire en prune qui fait ultra-peur

[zaventem]

les seules entreprises qui ont raison de redouter le RGPD au point de cesser leur activité sont justement celles dont le service proposé n'est qu'une façade à de la collecte massive de données injustifiée.

A partir du moment où l'on sait dire ce que l'on collecte, pourquoi et comment on l'utilise, il n'y a rien à craindre.

Pas que!

Il y a par exemple l'obligation de fournir à la demande l'ensemble des données personnelles dont l'entreprise dispose dans un format électronique exploitable. Entre les développements à faire pour tout transformer en fichier exploitable, les procédures pour gérer les demandes et leur légitimité, ...

[Glutinus]

Je rigole pour les pouces rouges qui "pleuvent" (bon, c'est pas nombreux non plus). Il faut être sur des projets GDPR pour se rendre compte que du jour au lendemain, certaines entreprises sont surprises de toute la mutation que cela impose à leur SI, et à leur système de fonctionnement. Juristes comme DSI se tirent les cheveux, sans compter les impacts que ça a directement ou indirectement aux autre équipes (commerciales, opérationnelles). Limite, elles doivent doubler leurs effectifs ou geler à la seconde près tous les projets pour se mettre en conformité.

[Grogro]

Pas que!

Il y a par exemple l'obligation de fournir à la demande l'ensemble des données personnelles dont l'entreprise dispose dans un format électronique exploitable. Entre les développements à faire pour tout transformer en fichier exploitable, les procédures pour gérer les demandes et leur légitimité, ...

Y compris pour une structure associative à but non lucratif ? Et pour des communautés, des forums ? Des sites de tchat ?

[Ryu2000]

« Malheureusement, le nouveau règlement général sur la protection des données (RGPD) de l'Union européenne, introduit le 25 mai 2018, crée une incertitude et un risque que je ne peux pas justifier.

L'UE est trop lourde et impose trop de lois.
C'est toujours pareil
Tout est plus compliqué et plus restreint.

[michel.bosseaux]

Le RGPD peut paraître contraignant à priori. Mais en fait à la lecture, je n'y avais rien vu de particulièrement problématique. Cela ne vise pas à empêcher les entreprises d'utiliser nos données, juste à ce que le choix nous soit laissé de manière systématique, ce qui implique une information complète. Et oui, certaines utilisations sont réglementées / interdites par les directives européennes.

Les entreprises qui disent avoir besoin de temps pour s'y préparer, ou ne pas souhaiter le faire, alors qu'il suffit de rajouter du texte explicatif et de systématiquement demander l'autorisation des utilisateurs (via des cases à cocher ...), me paraissent de mauvaise foi.

Après ce n'est que mon opinion.

[Invité]

Le RGPD peut paraître contraignant à priori. Mais en fait à la lecture, je n'y avais rien vu de particulièrement problématique. Cela ne vise pas à empêcher les entreprises d'utiliser nos données, juste à ce que le choix nous soit laissé de manière systématique, ce qui implique une information complète. Et oui, certaines utilisations sont réglementées / interdites par les directives européennes.

Les entreprises qui disent avoir besoin de temps pour s'y préparer, ou ne pas souhaiter le faire, alors qu'il suffit de rajouter du texte explicatif et de systématiquement demander l'autorisation des utilisateurs (via des cases à cocher ...), me paraissent de mauvaise foi.

Après ce n'est que mon opinion.

Pas du tout, le 3ème lien de la section "Voir aussi" explique bien tout ce que doit faire une entreprise pour être conforme avec le RGPD et c'est loin d'être aussi trivial qu'une case à cocher.

[Saverok]

Les entreprises qui disent avoir besoin de temps pour s'y préparer, ou ne pas souhaiter le faire, alors qu'il suffit de rajouter du texte explicatif et de systématiquement demander l'autorisation des utilisateurs (via des cases à cocher ...), me paraissent de mauvaise foi.

Comme l'a dit QuentinAxeptio dans son publi-post commercial, les parties "information des utilisateurs" et "cases à cocher" ne sont que les parties émergées de l'iceberg.
Derrière cette façade, il faut que l'ensemble des systèmes de l'entreprise soient en mesure de les mettre en application et cela inclus le shadow IT par les fichiers Excel et là, c'est une toute autre histoire

De plus, même sur les engagements de façades, cela peut impliquer pas mal de choses dans les formulaires et/ou les cookies car y a pas mal d'info que l'on récupère sans trop savoir ce que l'entreprise va en faire.
Sur le coup, ça ne sert à rien mais peut être qu'un jour...
C'est tout cela qu'il faut nettoyer car avec le RGPD, on ne récupère que ce que l'on a besoin et uniquement ce que l'on a besoin et en plus, avec le consentement de l'utilisateur donc il faut aussi prévoir les cas où ce dernier ne le donne pas.
Il faut donc aussi prévoir le cas où l'on n'a plus le droit de récupérer l'info et donc, qu'elles sont les conséquences pour le service ?
Celui-ci est il tjrs possible ?
Si oui, avions-nous réellement besoin de l'info ? (et dans ce cas, le justifier)
Si le service initial n'est pas possible sans l'info, une version dégradée est-elle possible ? Si oui, sous quelle forme ? Est-ce souhaitable côté business ? ...

Pas si trivial et surtout, une très grosse remise en cause du business plus encore que de l'IT

[redcurve]

ça m'a l'air bien casse bonbon leur truc là. Je le vois chez mon client actuel c'est un énorme bordel que ça va foutre il faudra des années pour être conforme car c'est juste impossible à mettre en place comme truc en l'état