Le GPEN, réseau d'organismes agissant pour la protection de la vie privée au sein de pays membres de l'OCDE, a réalisé un « ratissage » de 1 010 sites web et applications mobiles. Il a constaté que pour la plupart d'entre eux, lors de la navigation, l'internaute rencontre au moins un mécanisme de conception trompeuse concernant la protection de la vie privée.
En mai dernier, le Global Privacy Enforcement Network (GPEN - réseau d'organismes agissant pour la protection de la vie privée au sein de pays membres de l'OCDE) a organisé une énorme opération de « ratissage » avec ses 26 autorités de protection des données dans le monde et le réseau des 27 autorités de protection des consommateurs de l'International Consumer Protection and Enforcement Network (ICPEN).
Objectifs ? Évaluer comment les internautes pouvaient faire des choix en matière de protection de la vie privée, obtenir des renseignements sur la protection de la vie privée et se déconnecter d’un compte et le supprimer. Le tout en naviguant sur les différents sites internet et les applications visés, ce que le GPEN appelle du « ratissage ». Les résultats ne sont guère surprenants.
Des sites et applications de toutes sortes
Il reste 84 % de l'article à découvrir. Abonnez-vous pour ne rien manquer.
Déjà abonné ? Se connecter
Commentaires (18)
#1
#2
#3
Ils ont autorisé des écrans Cookie trompeurs (genre le refuser en gris en haut, accepter en gros en bas).
Ils ont reconnu que l’intérêt légitime pouvait être utilisé pour envoyer de la pub par mail.
Et maintenant ils participent à une étude qui dit "bouh c'est pas bien"...
#3.1
Ce n'est pas le Conseil d'Etat qui avait invalidé cette décision ?
Accessoirement, c'est depuis reconnu comme méthode non conforme par la CEPD.
#3.2
La CNIL avait publié des lignes directrices qui interdisaient de manière générale les paywalls, et le Conseil d'État a dit "non, la CNIL n'a pas l'autorité pour interdire de manière générale, seule la loi le peut, donc la CNIL doit faire du cas par cas"
En gros.
Mais effectivement, depuis y'a eu des règles directrices approuvées par la Commission européenne (qui elle a l'autorité pour interdire) donc théoriquement on devrait mettre des amendes à tous ces sites.
Ça exonère pas la CNIL d'être ultra lente, de mettre des sanctions ridicules ("attention ! vous allez recevoir... UNE LETTRE !!") et de tenter de contourner les lignes directrices sur les pixels traçants des mails, mais sur le paywall et les dark pattern elle a essayé de mettre une interdiction (qu'elle n'aurait pas eu le cran d'appliquer, but still...)
Historique des modifications :
Posté le 12/07/2024 à 14h10
Ils n'ont pas autorisé, ils n'ont pas eu le droit d'interdire, petite nuance :p
La CNIL avait publié des lignes directrices qui interdisaient de manière générale les paywalls, et le Conseil d'État a dit "non, la CNIL n'a pas l'autorité pour interdire de manière générale, seule la loi le peut, donc la CNIL doit faire du cas par cas"
En gros.
Mais effectivement, depuis y'a eu des règles directrices approuvées par la Commission européenne (qui elle a l'autorité pour interdire) donc théoriquement on devrait mettre des amendes à tous ces sites.
#4
Sinon, récemment, X/Twitter, qui refuse tout simplement de s'afficher si tu actives le "Enhanced tracking protection (Strict Mode)" (firefox) ou "Strict tracking prevention" (Edge)
#4.1
Ça devrait arriver prochainement et ça sera cool pour le commun des mortels :p
Je pense honnêtement que le pire du pire c'est les sites de mauvaise foi : "si tu refuses les cookies je peux pas stocker le cookie qui sauvegarde que t'as refusé les cookies, donc je raffiche la bannière à chaque changement de page "
#4.2
En adaptant : 1 (reject all) or 2 (reject all or fall back to accept all)
#4.3
+1
P.S: Comment fait-on pour citer un commentaire??
#4.4
Dans réglages -> filter lists -> cookie notice
et hop on coche la/les listes qu'on veut
#5
#6
Ce n'est pas un dark pattern ça ??
Passons sur la bannière sur la page de connexion mais après, je ne comprends, le site sait qui je suis et j'ai déjà répondu à leur question dans les paramètres de mon compte.
Petite précision, mon Firefox supprime les cookies à sa fermeture.
#7
Pourquoi appliquer des techniques de pistage en dehors d'un contexte commercial ?
Pour moi, il faudrait que tous les cookies non strictement nécessaires soit purement et simplement interdit sur les sites de l'état, des collectivités et tous services publics. Avec une extension à tous les sites prévus pour les mineurs : les ENT, les sites visant spécifiquement des enfants.
#7.1
#7.2
Ce que j'ai compris c'est pour savoir comment est utiliser un site web, il faut collecter des données. Donc d'un certain de vue, c'est pister l'utilisateur. Le plus connu c'est Google Analytics, mais je crois que Matomo est une alternative mais elle demande de développer une compétence interne.
Après, je pense que tout le monde sort ce bandeau pour être couvert juridiquement sans faire l'analyse de quelles données sont collectées, si elles sont nécessaires et pourquoi, comment minimiser ces données.
Typiquement, l'exemple ce sont polices de caractères hébergées par Google et qui pourraient être hébergé par le site web. Si elles sont chez Google, le visiteur doit faire une collecte pour les télécharger et donc une possibilité de pistage par Google.
#7.3
Mais ce que je dénonce va un peu plus loin vu que la bannière cite au moins 50 "partenaires" et je doute fort qu'il ne s'agisse que de cdn.
#8
Je tombe sur un 403 avec https://www.privacyenforcement.net/system/files/2024-07/GPEN%20Sweep%202024%20-%20%27Deceptive%20Design%20Patterns%27%20-%20FRA.pdf
#8.1