#Pistage – épisode 1 : à la découverte des cookies

#Pistage – épisode 1 : à la découverte des cookies

Aujourd’hui commence une (courte ?) série d’articles concernant le pistage en ligne, la publicité, les cookies… L’objectif est double : permettre à « M./Mme Tout-le-monde » de découvrir cet écosystème, et (mais plus tard) de se doter d’un premier kit d’outils pour limiter ce suivi. C’est parti pour le premier volet.

Pourquoi ce sujet, pourquoi maintenant ?

Pas compliqué : le confinement qui se « termine » aura vu le télétravail exploser, mélangeant souvent les usages pro et perso sur une même machine. Avec aussi plus de temps à la maison, plus de navigation personnelle souvent sur smartphone, plus d’utilisation d’applications, du média social au site d’information en passant par le streaming vidéo et la visioconférence.

Certain(e)s ont donc remarqué que de façon surprenante (non) les recommandations publicitaires apparaissant sur smartphone ou dans un navigateur s’étaient affinées, et se posent la question du pourquoi. On va tenter d’y répondre, sans rentrer dans une idéologie qui pourrait effrayer, sans présumer d’un niveau de connaissance élevé du lecteur qui s’en trouverait largué dès les premières lignes, comme c’est trop souvent le cas sur ces sujets. Allons-y.

Lire la suite
À la découverte de l’ISO 27701

À la découverte de l’ISO 27701

Aaah les normes ISO… toujours difficile d’entrer dans cet univers lorsqu’on est juste curieux et que les attendus ne valent pas instinctivement l’investissement. Investissement de temps et de concentration, d’une part, et financier d’autre part, ces documents étant plutôt chers. Barrières supplémentaires pour le néophyte : le vocabulaire utilisé est souvent bien spécifique à l’activité visée par la norme… quand il est traduit. Dans le cas de l’ISO 27701, elle n’est disponible qu’en anglais à ce jour.

Votre serviteur a donc pris le temps de lire (3 fois) cette norme et de vous offrir une porte d’entrée vers cet univers. Vous venez ?

Lire la suite
#RGPD : « Mais en B2B, je fais toujours comme je veux ? »

#RGPD : « Mais en B2B, je fais toujours comme je veux ? »

La majeure partie de la communication autour du RGPD se résume en 2 axes : « vous avez des droits renforcés, utilisez-les » vers les particuliers, et « coucou, tu veux voir ma sanction de 20 millions ? » à destination des entreprises. Il en résulte un biais majeur auquel j’ai été confronté à maintes reprises, notamment au travers des commerciaux de quelques ESN : le RGPD concernerait les particuliers, donc le B2C, et absolument pas le B2B.

Raisonnement validé par le marquis Constant d’Anlayreur (et que celles et ceux qui ont la référence lèvent la main).
Traduction : c’est juste faux — comment ce genre de choses peut sembler crédible, même pour un commercial ?

Allez, on développe un peu tout ça.

Lire la suite
La sécurité informatique expliquée à un chef de projet JS

La sécurité informatique expliquée à un chef de projet JS

Aujourd’hui on va causer un peu « cybersécurité ». Au diable la technique et le détail, oubliez un instant « La Casa de Papel » et rangez votre pare-feu OpenOffice. Le but de cet article est juste de vous parler de ce qu’est la sécurité informatique et du pourquoi de son existence, simplement, et en quoi consiste (en partie) mon métier. Pourquoi ? Tout simplement parce que je me rends compte qu’à chaque fois qu’on me demande « mais tu fais quoi exactement dans ton travail ? » (que ce soit auprès de débutants ou non hein, c’est pareil avec les développeurs souvent, d’où le titre « troll »), la réponse qui vient est ou trop technique, ou trop vague, et dans tous les cas je ne récolte qu’un « ah d’accord » accompagné d’un regard vide et fuyant.

Lire la suite
#RGPD : Les « dark patterns », ou comment s’asseoir sur le Règlement

#RGPD : Les « dark patterns », ou comment s’asseoir sur le Règlement

Vous l’avez sûrement remarqué, que ce soit pour exprimer vos préférences vis-à-vis des cookies sur d’innombrables sites web, ou au travers de diverses applications mobiles, réseaux sociaux… Quand bien même on vous demande de « revoir vos paramètres », il y a des dizaines (voire des centaines dans certains cas, coucou Yahoo) de cases à décocher, alors que c’est pénible et que c’est supposé être un véritable « opt-in » (à savoir, une inscription qui nécessite une véritable action positive de votre part, comme un clic dans une case).

Du côté des gros affamés de données (Google, Facebook), c’est la même, en plus chafouin. Tout est pensé pour que la collecte de données personnelles puisse continuer à avoir lieu. Le tout bien caché derrière un petit assistant en 4-5 écrans qui vous explique que olala le RGPD on l’a bien pris en compte. Et quand vous creusez… C’est la cata.

Toutes ces techniques, on les appelle les « dark patterns » (eux-même partie intégrante de la « captologie »), et l’équivalent norvégien de l’UFC Que Choisir (le CCN, pour Consumer Council of Norway) les a documentées, fort précisément (mais en anglais). Du coup, je vais vous résumer leur rapport, qui se concentrait sur 3 acteurs : Facebook, Google, et Microsoft (au travers de Windows 10).

Lire la suite

#RGPD et contrôles de la CNIL : apprenons des erreurs des autres

#RGPD et contrôles de la CNIL : apprenons des erreurs des autres

Cet article, probablement le dernier de notre petite série sur le RGPD à paraître avant le 25 mai, va traiter d’un point essentiel : les contrôles de l’autorité de protection des données (DPA, pour Data Protection Authority), chez nous : la CNIL (sauf en cas de contrôle transfrontalier, avec une autorité chef-de-file différente, évidemment.

On va donc voir comment ça se passe, quelle attitude adopter, et surtout quels sont les manquements les plus souvent constatés.

Lire la suite

#RGPD : mettons les choses à PIA

#RGPD : mettons les choses à PIA

Sur cette bonne blague d’introduction, on va causer cette fois de PIA. Article un peu long et pas forcément fun je vous l’accorde, mais nécessaire (on est quand même fin avril).

Les DPIA (Data Protection Impact Assessment), auparavant appelés PIA (Privacy Impact Assessment) ou ÉIVP par chez nous (Étude d’Impact sur la Vie Privée) sont une des nouveautés introduites par le RGPD. Décrivons un peu la bestiole, pour se préparer au jour fatidique où on vous demandera de réaliser ce genre d’étude.

Lire la suite