All Tweets #4,753–#4,802
All 8,402 tweets, newest first. Not including retweets.
-
@romain_letabli @randomnessncats Y a plus simple en effet :) Passer sur Matomo ou autres solutions plus "safe"
-
@romain_letabli @randomnessncats En effet, GA fournit déjà cette option de suppression des données collectées, mais là on parle de potentiels transferts vers les services de renseignement US...
-
@ManuGavard Bonjour, On peut passer en DM oui :)
-
@aeris22 Reste le server-side
-
@aeris22 Je suis d'accord, et je l'aurais argumenté comme cela @pixeldetracking/1493216227543629832
-
Autre option, demander le consentement (prévu par l'article 49 du RGPD). Cet article de @randomnessncats en parle : cunderwood.dev/2022/02/13/consent-gdpr-and-google-analytics/ Pas simple, il faudrait au préalable informer du risque d'espionnage côté services de renseignement US 👀 16/
-
Là encore, selon la configuration, il faudrait voir ce que donne l'analyse de risques avant de décider de l'illégalité éventuelle du setup Google Analytics 🧐 15/
-
Potentiellement via un containeur self-hosted ou sur un cloud européen (cf. developers.google.com/tag-platform/tag-manager/server-side/manual-setup-guide ou mieux, sans software Google) et/ou en transmettant un Client ID n'ayant rien à voir avec un quelconque identifiant cookie (cc @_RDemol), sans logging côté container 💡 14/
-
Reste une option potentielle avec du server-side tagging, l'IP ne serait plus un "problème". Il faudrait alors s'assurer que Google ou les services américains ne puissent faire le lien entre l'identifiant (Client ID) & l'utilisateur (a.k.a. son device) 🔗 13/
-
Les services de renseignement pourraient demander à Google d'écouter une IP, Google est techniquement en mesure de bypasser sa brique "IP-Anonymization" sur l'IP demandée (cc. @romain_letabli) 👀 12/
-
@aeris22 Oui, c'était dans le cadre de la décision autrichienne, sachant que la phrase souligné me semble fausse. Et donc, avec l'anonymisation de l'IP, est-ce que cela change l'analyse de risque vs les services de renseignement US ?
-
@romain_letabli En effet, bon argument Sur l'IP, reste alors l'option de passer par du tracking côté serveur
-
@romain_letabli « pour un utilisateur précis » : sans IP, comment cibler un utilisateur précis ?
-
@romain_letabli Oui avec l’IP je n’ai en effet pas de doute
-
@aeris22 Oui clairement, mais quid du cas où le site utilise la fonctionnalité d’anonymisation de l’IP ?
-
Quid de notre CNIL ? Pas d'infos supplémentaires dans son jugement, elle s'appuie sur l'analyse commune aux CNILs européennes, donc sur le jugement de la CNIL autrichienne cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure 🤷♂️ 10/
-
L'identifiant utilisateur GA (Client ID ou CID) reste-t-il problématique dans l'analyse de risques vs les services de renseignements US (même sans possibilité de faire un lien avec un compte Google, et sans adresse IP) ? C'est possible, mais il faudrait le prouver 📜 9/
-
La CNIL Autrichienne n'a pas étudié ce point. Cela demandera sans doute une autre enquête suite à une autre plainte 🕵️ 8/
-
Pourtant, si on lit la réponse de Google en entier, être connecté à son compte Google n'est pas suffisant ❌ Le site web doit également avoir activé "Google Signals" (encadré en rouge au bas de la screenshot) noyb.eu/sites/default/files/2021-05/2021-04-09_Response_to_Austrian_DPA_-_NOYB_Complaints_b.pdf#page=23 5/
-
A.k.a. les services de renseignement US pourraient accéder aux données personnelles de citoyens européens, sans les garanties du RGPD (lois US problématiques : FISA section 702, et EO 12.333) 👀 3/
-
La traduction en anglais du jugement est assez difficile à lire noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_EN_bk.pdf 🤯 Néanmoins, le problème vient du fait que le transfert de données personnelles vers les US se fait sans les garanties appropriées. 2/
-
La CNIL Autrichienne : l'usage de Google Analytics est illégal (la France a suivi) 🌩️ Mais son raisonnement tient-il la route ? J'ai un doute en lisant le jugement 😬🧵 1/
-
@max_o_0 Oui, c'est d'ailleurs un argument qui a été utilisé contre l'IAB Europe dans le cadre du TCF
-
@max_o_0 Certes, mais dans le cas de GA, il me semble compliqué de dire que le webmaster n'est pas responsable du traitement
-
@kedemferre @TheophanyHD Pour GA d'ailleurs, il faut noter que l'analyse a été faite par les CNILs européennes, ce n'est pas la CNIL française seule
-
@kedemferre @TheophanyHD @laquadrature @technopolice_fr C'est bien, vous avez compris que cela ne sert à rien de changer de sujet 👏
-
@kedemferre @TheophanyHD @laquadrature @technopolice_fr Dans le même genre : « on fait un foin de la surveillance, mais on est en train de foutre en l’air la planète »
-
@kedemferre @TheophanyHD @laquadrature @technopolice_fr C’est un peu un argument de lobbyiste non ? « Regardez ailleurs, ils font pire »
-
@kedemferre @TheophanyHD Donc là ce serait une cabale d’AT Internet, qui aurait téléguidé la CNIL ?
-
@kedemferre @TheophanyHD @aeris22 @MonsieurRelou On parle quand même de la boîte qui a inventé le capitalisme de surveillance (Google) et de son outil, installé gratuitement sur une bonne partie du web… Je veux bien que les risques d’un simple GA soient limités, mais il n’est pas très étonnant de voir les CNILs bouger…
-
@TheophanyHD @kedemferre Ça reste 95%+ de nos transferts hors UE. Pour la Chine, y a TikTok et AliExpress mais c’est globalement pas grand chose vs toutes les boîtes US
-
@kedemferre Je ne dis pas que les conclusions ne soient pas radicales, qu’elles ne posent pas question sur l’internet de demain. Mais oui, tant que les US n’ont pas de législation équivalente au RGPD, les transferts de DPC vers les US sont légalement à risque
-
@kedemferre @TheophanyHD @aeris22 @MonsieurRelou Les gens veulent que leurs interactions avec les sites qu’ils consultent soient mesurées par Google Analytics
-
@kedemferre Vous avez lu Schrem 2 ?
-
@kedemferre Il faut poser la question à la CNIL
-
@kedemferre Là le risque c’est la surveillance des services de renseignement US
-
@kedemferre Et ce n’est pas ce que dit la CNIL…
-
@kedemferre Ils n’ont peut-être pas de Client ID Qwant, ce qui simplifie (vs GA)
-
@kedemferre J’ai juste lu les décisions des CNILs, je ne voudrais pas préjuger du reste
-
@fbocquet Par définition c’est une DCP ⤵️
-
@kedemferre Je suis au courant, et le Client ID est toujours une DCP ;)
-
@kedemferre Comment ? Le Client ID (cid) est une donnée à caractère personnel
-
RT @robinberjon: @varlogsimon That's a great question and it's key to the solution. Indeed, I don't think it matters if Apple loses $15bn a…
-
@fbocquet Je crois qu’il faut distinguer 2 sujets : - le CID est bien une donnée personnelle, le RGPD s’applique - les garanties liés au transfert vers les US
-
@fbocquet Oui, pour GA le cid, stocké dans un cookie Après pour le cas qui nous intéresse (services de renseignements US), il faut étudier s’ils ont un moyen raisonnable d’identifier la personne
-
@TheophanyHD Merci, très intéressant







