pixeldetracking’s avatarpixeldetracking’s Twitter Archive

All Tweets #4,753–#4,802

All 8,402 tweets, newest first. Not including retweets.

  1. …in reply to @romain_letabli
    @romain_letabli @randomnessncats Y a plus simple en effet :) Passer sur Matomo ou autres solutions plus "safe"
  2. …in reply to @romain_letabli
    @romain_letabli @randomnessncats En effet, GA fournit déjà cette option de suppression des données collectées, mais là on parle de potentiels transferts vers les services de renseignement US...
  3. …in reply to @ManuGavard
    @ManuGavard Bonjour, On peut passer en DM oui :)
  4. …in reply to @aeris22
    @aeris22 Reste le server-side
  5. …in reply to @aeris22
    @aeris22 Je suis d'accord, et je l'aurais argumenté comme cela @pixeldetracking/1493216227543629832
  6. …in reply to @pixeldetracking
    Autre option, demander le consentement (prévu par l'article 49 du RGPD). Cet article de @randomnessncats en parle : cunderwood.dev/2022/02/13/consent-gdpr-and-google-analytics/ Pas simple, il faudrait au préalable informer du risque d'espionnage côté services de renseignement US 👀 16/
  7. …in reply to @pixeldetracking
    Là encore, selon la configuration, il faudrait voir ce que donne l'analyse de risques avant de décider de l'illégalité éventuelle du setup Google Analytics 🧐 15/
  8. …in reply to @pixeldetracking
    Potentiellement via un containeur self-hosted ou sur un cloud européen (cf. developers.google.com/tag-platform/tag-manager/server-side/manual-setup-guide ou mieux, sans software Google) et/ou en transmettant un Client ID n'ayant rien à voir avec un quelconque identifiant cookie (cc @_RDemol), sans logging côté container 💡 14/
  9. …in reply to @pixeldetracking
    Reste une option potentielle avec du server-side tagging, l'IP ne serait plus un "problème". Il faudrait alors s'assurer que Google ou les services américains ne puissent faire le lien entre l'identifiant (Client ID) & l'utilisateur (a.k.a. son device) 🔗 13/
  10. …in reply to @pixeldetracking
    Les services de renseignement pourraient demander à Google d'écouter une IP, Google est techniquement en mesure de bypasser sa brique "IP-Anonymization" sur l'IP demandée (cc. @romain_letabli) 👀 12/
    oh my god twitter doesn’t include alt text from images in their API
  11. …in reply to @pixeldetracking
    Opinion personnelle : même sans le 4ème point, l'analyse de risque ne tient pas et l'usage de GA* reste illégal. ❌ * Sans "Google Signals", avec anonymisation des IPs, mais sans implem Server-Side 11/
    oh my god twitter doesn’t include alt text from images in their API
  12. …in reply to @aeris22
    @aeris22 Oui, c'était dans le cadre de la décision autrichienne, sachant que la phrase souligné me semble fausse. Et donc, avec l'anonymisation de l'IP, est-ce que cela change l'analyse de risque vs les services de renseignement US ?
    oh my god twitter doesn’t include alt text from images in their API
  13. …in reply to @romain_letabli
    @romain_letabli En effet, bon argument Sur l'IP, reste alors l'option de passer par du tracking côté serveur
  14. …in reply to @romain_letabli
    @romain_letabli « pour un utilisateur précis » : sans IP, comment cibler un utilisateur précis ?
  15. …in reply to @romain_letabli
    @romain_letabli Oui avec l’IP je n’ai en effet pas de doute
  16. …in reply to @aeris22
    @aeris22 Oui clairement, mais quid du cas où le site utilise la fonctionnalité d’anonymisation de l’IP ?
  17. …in reply to @pixeldetracking
    Quid de notre CNIL ? Pas d'infos supplémentaires dans son jugement, elle s'appuie sur l'analyse commune aux CNILs européennes, donc sur le jugement de la CNIL autrichienne cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure 🤷‍♂️ 10/
  18. …in reply to @pixeldetracking
    L'identifiant utilisateur GA (Client ID ou CID) reste-t-il problématique dans l'analyse de risques vs les services de renseignements US (même sans possibilité de faire un lien avec un compte Google, et sans adresse IP) ? C'est possible, mais il faudrait le prouver 📜 9/
  19. …in reply to @pixeldetracking
    La CNIL Autrichienne n'a pas étudié ce point. Cela demandera sans doute une autre enquête suite à une autre plainte 🕵️ 8/
  20. …in reply to @pixeldetracking
    En l’occurrence, le site web sanctionné n'avait pas activé Google Signals. Donc l'argument de la CNIL autrichienne perd de l'épaisseur... Quid de l'adresse IP direz-vous ? Le site web avait activé l'anonymisation de l'IP via GA, mais est-ce suffisant ? 🤔 7/
    oh my god twitter doesn’t include alt text from images in their API
  21. …in reply to @pixeldetracking
    Il semble que la CNIL Autrichienne n'ait pas intégrée la nécessité d'activer Google Signals côté site web... Sauf que sans Google Signals, pas d'appel à doubleclick, pas de lien avec mon compte Google (même si je suis connecté, et que toutes les options sont activées) 💡 6/
    oh my god twitter doesn’t include alt text from images in their API
  22. …in reply to @pixeldetracking
    Pourtant, si on lit la réponse de Google en entier, être connecté à son compte Google n'est pas suffisant ❌ Le site web doit également avoir activé "Google Signals" (encadré en rouge au bas de la screenshot) noyb.eu/sites/default/files/2021-05/2021-04-09_Response_to_Austrian_DPA_-_NOYB_Complaints_b.pdf#page=23 5/
    oh my god twitter doesn’t include alt text from images in their API
  23. …in reply to @pixeldetracking
    Un point important dans l'évaluation des risques : les services de renseignements peuvent-ils raisonnablement identifier quelqu'un ? D'après la CNIL autrichienne la réponse est oui, car Google serait en mesure de le faire (via les paramètres de mon compte Google) ✔️ 4/
    oh my god twitter doesn’t include alt text from images in their API
  24. …in reply to @pixeldetracking
    A.k.a. les services de renseignement US pourraient accéder aux données personnelles de citoyens européens, sans les garanties du RGPD (lois US problématiques : FISA section 702, et EO 12.333) 👀 3/
  25. …in reply to @pixeldetracking
    La traduction en anglais du jugement est assez difficile à lire noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_EN_bk.pdf 🤯 Néanmoins, le problème vient du fait que le transfert de données personnelles vers les US se fait sans les garanties appropriées. 2/
  26. La CNIL Autrichienne : l'usage de Google Analytics est illégal (la France a suivi) 🌩️ Mais son raisonnement tient-il la route ? J'ai un doute en lisant le jugement 😬🧵 1/
  27. …in reply to @undefined
    @max_o_0 Oui, c'est d'ailleurs un argument qui a été utilisé contre l'IAB Europe dans le cadre du TCF
  28. …in reply to @undefined
    @max_o_0 Certes, mais dans le cas de GA, il me semble compliqué de dire que le webmaster n'est pas responsable du traitement
  29. …in reply to @kedemferre
    @kedemferre @TheophanyHD Pour GA d'ailleurs, il faut noter que l'analyse a été faite par les CNILs européennes, ce n'est pas la CNIL française seule
  30. …in reply to @kedemferre
    @kedemferre @TheophanyHD @laquadrature @technopolice_fr C'est bien, vous avez compris que cela ne sert à rien de changer de sujet 👏
  31. …in reply to @kedemferre
    @kedemferre @TheophanyHD @laquadrature @technopolice_fr Dans le même genre : « on fait un foin de la surveillance, mais on est en train de foutre en l’air la planète »
  32. …in reply to @kedemferre
    @kedemferre @TheophanyHD @laquadrature @technopolice_fr C’est un peu un argument de lobbyiste non ? « Regardez ailleurs, ils font pire »
  33. …in reply to @kedemferre
    @kedemferre @TheophanyHD Donc là ce serait une cabale d’AT Internet, qui aurait téléguidé la CNIL ?
  34. …in reply to @kedemferre
    @kedemferre @TheophanyHD @aeris22 @MonsieurRelou On parle quand même de la boîte qui a inventé le capitalisme de surveillance (Google) et de son outil, installé gratuitement sur une bonne partie du web… Je veux bien que les risques d’un simple GA soient limités, mais il n’est pas très étonnant de voir les CNILs bouger…
  35. …in reply to @TheophanyHD
    @TheophanyHD @kedemferre Ça reste 95%+ de nos transferts hors UE. Pour la Chine, y a TikTok et AliExpress mais c’est globalement pas grand chose vs toutes les boîtes US
  36. …in reply to @kedemferre
    @kedemferre Je ne dis pas que les conclusions ne soient pas radicales, qu’elles ne posent pas question sur l’internet de demain. Mais oui, tant que les US n’ont pas de législation équivalente au RGPD, les transferts de DPC vers les US sont légalement à risque
  37. …in reply to @kedemferre
    @kedemferre @TheophanyHD @aeris22 @MonsieurRelou Les gens veulent que leurs interactions avec les sites qu’ils consultent soient mesurées par Google Analytics
  38. …in reply to @kedemferre
    @kedemferre Vous avez lu Schrem 2 ?
  39. …in reply to @kedemferre
    @kedemferre Il faut poser la question à la CNIL
  40. …in reply to @kedemferre
    @kedemferre Là le risque c’est la surveillance des services de renseignement US
  41. …in reply to @kedemferre
    @kedemferre Et ce n’est pas ce que dit la CNIL…
  42. …in reply to @kedemferre
    @kedemferre Ils n’ont peut-être pas de Client ID Qwant, ce qui simplifie (vs GA)
  43. …in reply to @kedemferre
    @kedemferre J’ai juste lu les décisions des CNILs, je ne voudrais pas préjuger du reste
  44. …in reply to @fbocquet
    @fbocquet Par définition c’est une DCP ⤵️
    oh my god twitter doesn’t include alt text from images in their API
  45. …in reply to @kedemferre
    @kedemferre Je suis au courant, et le Client ID est toujours une DCP ;)
  46. …in reply to @kedemferre
    @kedemferre Comment ? Le Client ID (cid) est une donnée à caractère personnel
  47. RT @robinberjon: @varlogsimon That's a great question and it's key to the solution. Indeed, I don't think it matters if Apple loses $15bn a…
  48. …in reply to @fbocquet
    @fbocquet Je crois qu’il faut distinguer 2 sujets : - le CID est bien une donnée personnelle, le RGPD s’applique - les garanties liés au transfert vers les US
  49. …in reply to @fbocquet
    @fbocquet Oui, pour GA le cid, stocké dans un cookie Après pour le cas qui nous intéresse (services de renseignements US), il faut étudier s’ils ont un moyen raisonnable d’identifier la personne
  50. …in reply to @TheophanyHD
    @TheophanyHD Merci, très intéressant