Extrait de l'émission CPU release Ex0086 : Mise à jour de nos CGU suite au RPGD 🍪.
Bonjour à toi, Enfant du Futur Immédiat, toi à qui nous avons la décence de ne pas imposer de cookies à ta visite, et donc à t'afficher un bandeau avec un message légal que tu cherches désespérément la croix de fermeture parce que
RAAAAAAH !
Eh oui ! Si tu vas nous consulter via le Grand Internet, tu auras remarqué que le site cpu.pm ne t'accueille pas avec un bandeau d'information sur des cookies.
Parce que
- Ⓐ notre site
cpu.pmn'a pas de bannière de publicité. Franchement, ça nous aurait rapporté que des clopinettes, et on aurait des risques de sécurité genre malvertising, l'art d'infecter le visiteur de sites respectables via des fausses publicités embarquant du javascript malveillant. - Ⓑ nous n'avons aucun système d'analyse de visite, du moins côté navigateur. Certes, on perd l'occasion de savoir ce qui plaît ou ne plaît pas, mais finalement, on n'a pas vraiment besoin de ça, tes retours dans les commentaires ou sur les réseaux sociaux nous donnent déjà une indication.
- Ⓒ nous n'avons pas les fameux boutons de partage dynamiques vers les réseaux sociaux. On utilise de bêtes liens, ce qui veut dire aussi que nous ne cherchons pas à savoir qui tu es et si tu aimes le chocolat.
- Et enfin, Ⓐ + Ⓑ + Ⓒ donc Ⓓ : nous n'avons pas de système partagé d'analyse de traffic avec des partenaires tiers pour cumuler un max d'infos sur toi. En venant sur le site
cpu.pm, tu acceptes que nous ne te traçons pas de manière précise, et que nous ne revendons pas tes données [à caractère] personnelles. Bref, nous t'invitons, comme tout un chacun, sans demander ta carte d'identité à l'entrée, parce qu'ici on n'est ni une discothèque, ni un ministère.
Je vais redire cette blague d'un pote que j'ai déjà dite à l'antenne, car ce mantra doit devenir un standard :
La donnée personnelle, c'est comme une matière radioactive :
Si tu sais pas la ramasser, tu la ramasses pas ;
Si tu sais pas la stocker, tu la ramasses pas ;
Si tu sais pas la détruire, tu la ramasses pas.
C'est idiot, mais en faisant ça, nous sommes conformes depuis très longtemps avec le fameux RGPD, le Règlement Général pour la Protection des Données personnelles. Parce que nous ne récoltons pas systématiquement (du moins consciemment) ton identité. Quand tu nous écoutes à la radio, sur Radio <FMR>, 89,1 MHz à Toulouse, est-ce que tu nous envoies des informations sur ton âge, ton sexe, ta position actuelle, ton compte en banque ?
Non.
Et on s'en contente très bien.
Ben on a appliqué le même principe pour notre site web.
Bonus : le site est largement plus rapide à afficher. (bon ok, j'ai encore à faire pour y gagner)
Mais il faut que tu te dises que pour une immense majorité de site que tu peux visiter sur internet, ce n'est absolument pas le cas. Leurs sites sont bourrés de petits outils qui analysent au bout de combien de temps tu te mets à faire défiler la page pour lire le texte sous l'immense image d'illustration, combien de temps le curseur de la souris va rester sur l'image,… et si tu préfères le chocolat noir ou au lait. Pourquoi ? Afin de t'afficher les publicités les plus susceptibles de te faire acheter.
D'ailleurs, imagine comment le RGPD a été mis en pratique dans certaines entreprises :
En général, ça commence par une réunion entre pontes. Quelqu'un parle d'un truc GRDP
qui est imposé par Bruxelles, et que y'a de très très grosses prunes qui vont tomber avec.
[Le Boss] — Hein ? Encore une loi européenne ?
dit le chef des chefs... Qu'est-ce qu'on va encore avoir comme usine à gaz ?
Eh ben justement, c'est la régulation des usines à gaz qui récoltent, brassent, stockent, revendent de la donnée personnelle.
[Le Boss] — Bon ben on fait comme d'habitude : on précoche les cases pour les assurances, l'abonnement à notre newsletter, la revente des données, et on met le bouton de validation avant tout le blabla juridique.
Eh ben euh non, maintenant c'est interdit, et vous devez recontacter tout vos clients à qui vous avez fait le coup.
Et là, d'un coup, c'est pas que ça pue, mais que ça sent hyper-fort le gaz ! On sent que tout va péter si quelqu'un va y regarder de près. Tout le monde panique, des RH à la gestion bancaire, parce que personne ne s'y intéressait jusqu'à ce que 20 Minutes en parle juste avant la page Sports !
Ah ouais mais au fait, il faut savoir par où passe toutes les données personnelles !
Et comme on doit s'assurer qu'elles sont toujours en sécurité, il faut faire les mises à jour partout !
[Le Boss] — Une mise à jour ? Du logiciel ? Le OS Commerce de notre vitrine, il n'a pas été mis à jour depuis… qu'on l'a commandé en 2009, non ?
Et puis y'a ce DPO à désigner, un informaticien qui comprenne le droit, ou un juriste qui comprend les API et le MVC. Déjà qu'on a un mal fou à recruter un dev qui a 5 ans d'expérience en Rust sur Windows Phone.
Tout d'un coup, tout le travail obligatoire et de bon sens qui n'a pas été fait depuis des années doit être rattrapé au plus vite.
Enfant du Futur Immédiat, nous t'avions prévenu que nous aurons beaucoup de poilades et tirages de cheveux avec la mise en prod du RGPD. Et dire que ce 25 mai était un vendredi.
[La suite de cette chronique est une adaptation d'un billet antérieur de l'auteur]
Auteur : DaScritch
Photo : cookies maison. CC