Bienvenue sur le podcast Artisan Developer, l'émission pour les programmeurs qui veulent
vivre une carrière épanouissante.
Prêt à passer au niveau supérieur ? C'est parti !
Salut Romain ! Si je t'ai proposé de venir sur le podcast, c'est parce que je me régale
de tes prises de position sur LinkedIn.
T'es vraiment en mode gros des banques de cookies, en mode vraiment balance ton cookie.
Et je trouve ça juste excellent.
Mais pourquoi t'es en dehaïne en fait ?
Pourquoi t'es en dehaïne ? Je pense qu'il faut déjà qu'on défilisse un peu ce qu'est
un cookie puisque finalement, ce n'est pas une notion qui est connue de tous.
Donc il faut comprendre déjà que le cookie, c'est une donnée qu'on va stocker sur un
ordinateur d'un internaute pour l'identifier de façon précise.
C'est-à-dire que ça va servir notamment, par exemple, sur un city commerce, de souvenir
d'un panier d'achat entre deux pages, d'avoir, de retenir les informations de connexion.
Si on se connectait par exemple.
Et ça sert aussi à tout ce qui aujourd'hui alimente la publicité ciblée.
Donc toutes les données qui font du profilage se basent sur ce petit identifiant qui identifie
une personne unique tout au cours de sa navigation.
Donc ça c'est un peu la définition de base et donc la CNIL qui gère un peu les droits
des personnes sur internet, elle différencie deux sortes de cookies.
Les cookies techniques qui sont liées à une fonctionnalité qui a demandé l'utilisateur.
Donc on peut reprendre l'exemple du panier d'achat ou du système de connexion.
Et puis les cookies qui vont avoir une finalité différente, une finalité liée aux publicités
et au profilage.
Et donc il y a vraiment deux catégories de cookies et ce qu'on voudrait c'est que
ceux qui sont liés à des fonctionnalités non nécessaires à la publicité du profilage
ne seront pas déposés par défaut.
Et aujourd'hui c'est absolument pas le cas.
Ça a été pendant des années la norme et aujourd'hui c'est pour ça que je me bats
un peu contre ça et que j'essaie d'instruire et d'éveiller les gens sur la question puisque
encore énormément de sites sur lesquels le consentement des personnes n'est pas respecté
ou partiellement, avec tout un tas de problèmes.
Et en général tu le fais sous l'angle, tu attaques sous l'angle du RGPD parce que
maintenant il y a un cadre légal qui a été posé.
Mais j'ai toujours pas compris quelle est ta motivation, en quoi ça t'éveille autant,
qu'est-ce qui fait que ça te remue autant pour que tu t'énerves comme ça et que tu
en fasses son cheval de bataille.
En fait le lien entre ma motivation et le cookie c'est que finalement le cookie et du
coup les données qui va permettre de générer c'est ce qu'on appelle des données personnelles.
Et les données personnelles c'est aux Etats-Unis quelque chose comme une possession, comme
une paire de chaussures qu'on peut vendre, qu'on peut échanger, on peut faire une transaction.
C'est piquement l'exemple que j'ai le plus souvent c'est des personnes qui me disent
que Google prend mes données mais une fournie des services incroyables presque sans équivalent.
C'est bien normal que je donne quelques données en échange, en plus c'est gratuit.
C'est une transaction, c'est un échange commercial, on donne des cookies contre un
service sauf que cette vision des données personnelles en Europe et en France c'est pas
du tout celle-ci et pour ça, pour expliquer ça, je vais reprendre le discours de Benjamin
Bayard qui est co-fondateur de la quadrature du net et président de la fédération des
fournisseurs d'accès internet associatifs.
Il explique que les données personnelles, ce qu'il faut comprendre c'est que quand on les met
dans un fichier, on crée en fait une atteinte potentielle, un danger potentiel pour les personnes
qui sont représentées par ces données. Il explique ça de la façon suivante.
C'est plus une explication de pensée philosophique que autre chose mais en gros,
ce qu'il dit c'est que à partir du moment où on met les données des personnes dans un fichier,
on n'a plus une relation d'humain à humain avec eux, on a une relation d'humain à objet.
Une fois que les personnes sont transformées en ces données, on va les faire des traitements
sur eux, on va les trier, on va les formater, on va les filtrer, peut-être on va effectuer
des traitements qui sont sur des objets, sur une fiche.
Mais à partir du moment où c'est anonyme, est-ce que c'est vraiment grave ?
Oui mais sauf qu'on sait qu'aujourd'hui les données sont très difficilement anonymes.
Aujourd'hui par exemple, cette métadonnée d'une personne en particulier
qui ne donne ni son nom, ni son âge, ni son adresse, ni numéro de téléphone,
est juste par rapport à quelle coûte, à quel article elle a lu, à quelle fréquence,
dans quel périmètre géographique, on va pouvoir définir, retrouver, en fait,
déduire cette personne avec potentiellement l'aide d'autres bases de données de façon directe ou
indirecte. Et donc ça c'est un risque, c'est un risque pour les personnes, c'est un risque potentiel.
Donc à partir du moment où il y a une fiche qui existe, il y a un risque d'atteinte
aux personnes et peut prendre là dessus comme exemple, tout simple, les fiches des juifs qui
étaient enregistrées. Bon, le risque derrière c'est que ça permettait de les retrouver très
facilement pour ensuite faire les atrocités qu'on a connues. Mais pour sortir de ce cadre un peu
extrême, on peut aussi donner l'exemple d'un médecin qui tu as traité par exemple des patients,
mais uniquement sur des fiches de patients, on pourrait remplir des symptômes et sans les voir en
vrai. Là on va voir qu'il va être très facilement se focaliser sur ses études, sur ses statistiques,
de telle ou telle symptôme, tu as telle ou telle maladie, donc il faut faire tel ou
il va plus du tout avoir une relation de médecin à patient avec l'empathie qui est nécessaire
pour traiter le patient correctement pour lui apporter le soin qui va être en.
Ok, ça, ça, d'un point de vue éthique, ça me va bien et ça me plaît. C'est-à-dire qu'aujourd'hui,
je préfère clairement vivre en Europe pour ce sujet-là que en Chine par exemple, ou tu
t'es tracé en permanence, c'est relié à ton passeport et chacun de tes actes et coréler à
notre site social et franchement ça me va bien d'être plutôt en Europe. Par contre, si on regarde,
moi j'ai un côté marketing que je développe avec Artisan Developer, tout le RGPD et Compagnie, c'est
contre-productif je trouve, c'est-à-dire que l'idée elle est bonne, la philosophie elle est bonne,
mais c'est là où j'ai agromé moi, c'est qu'à force de nous foutre des gros carrés dans tous
les sens et des cases accouchés et des « je suis d'accord » pour accéder au contenu du site alors
que tu n'es même pas encore arrivé, je trouve que d'abord c'est anti ergonomique pour l'utilisateur
et ensuite ça crée une habitude du clic où je pense que plus personne ne lit ces choses-là
et puis ça crée une espèce pour moi de faux consentement en fait.
Je suis d'accord avec toi et il y a plusieurs choses qui sont intéressantes là-dedans dans ce que
tu parlais du fait que c'était le RGPD de donner un cadre restrictif et contre-productif,
mais du coup il faut comprendre que à partir du moment où tout ce qu'on a dit que
un fichier avec des données a un risque potentiel, on rentre dans le droit des personnes
et plus dans le droit du commerce et donc c'est ça la différence qu'on a avec les Etats-Unis,
c'est que les données personnelles c'est droit du commerce, c'est quelque chose que
on peut vendre, qu'on peut s'échanger, ça va être sécurisé de la même façon que
des données d'entreprise par exemple, sauf qu'en Europe et en France c'est pas la même chose,
c'est lié du coup au droit des personnes et du coup on n'a pas le droit de les vendre pour la même
raison qu'on n'a pas le droit de vendre un rein parce qu'en fait les données personnelles c'est
des choses qui nous définissent, ça va être notre âge, notre taille, notre couleur de peau
et ça n'a pas de sens de vendre son âge, sa taille.
Non mais ça je peux le comprendre, ça veut dire que ça n'a pas de sens,
si l'information a toujours une valeur mais au-delà de ça moi je ne te parle pas de,
je pense qu'on a passé le début de l'épisode à expliquer,
suivre un peu le cadre, je suis ok sur le côté données personnelles,
encore une fois dans point de vue de l'idée de, je suis aligné,
ce qui me questionne c'est vraiment la mise en œuvre en fait.
Moi sur Artisan Developer un exemple,
je ne veux absolument pas mettre ces espèces d'énormes boîtes,
donc qu'est ce que je fais, je me restreins sur les outils de tracking
parce que si j'ai bien compris tant que je ne fais pas de tracking,
je ne suis pas obligé de les mettre, alors peut-être que je fais une erreur d'interprétation
et tu vas me le dire, mais par exemple j'utilise des solutions,
je n'utilise pas Google Analytics pour ça, pour pouvoir être resté clean
et pas avoir ce souci là parce que je trouve que c'est affreux d'un point d'utilisateur,
mais en faisant ça, je me prive d'un énorme levier de développement de l'entreprise.
Alors effectivement, donc ce que tu racontes par rapport justement
aux troubles que ça engendre, enfin, implementation pratique du RGPD,
on sait que du coup l'exigence du consentement qui imposait aux acteurs aujourd'hui,
elle n'est pas remise en cause, mais c'est la traduction pratique qui pose problème.
Ça, l'acnil le sait et le dit.
– Oui, même eux, ils acceptent cette idée là.
– Ce qui dit, c'est le design des bannières,
il choit des informations présentées, ça peut être très subtil,
et aujourd'hui on a plein de techniques de contournement
qui sont utilisées pour influencer le choix de l'utilisateur,
le fait typiquement de le continuer sans accepter en tout petit,
ou juste ne serait-ce que le bouton ne soit pas de la même couleur,
le bouton pour refuser ne soit pas de la même couleur que le bouton accepté,
ou on a encore tout un tas d'autres choses qu'on peut voir,
des casses précochées, tout ce qu'on peut voir aujourd'hui.
L'acnil en a conscience et reconnaît que
il y a une espèce de fatigue du consentement qui existe en fait,
qui ne serait pas chez les internautes.
Pour autant, selon un sondage,
je crois que c'est E-FOP, qui l'a réalisé en décembre 2019,
70% des personnes trouvent indispensables que les acteurs obtiennent leur accord
avant qu'ils soient possibles de servir de leur données de navigation via des traceurs.
Le truc, c'est que l'implémentation pratique,
aujourd'hui, pose problème.
Je pense que, par rapport à ce que je disais tout à l'heure sur le fait que ce soit
une question de droit des personnes et pas de droit du commerce,
il faut se poser la question et c'est exactement ce que tu as fait,
est-ce que tu expliquais, de se dire,
est-ce que j'ai vraiment besoin de ces données-là,
est-ce que ce n'est pas atroce pour l'utilisateur,
et est-ce que le dérangement que j'engendre est le risque,
que je peux potentiellement engendrer lié à la récolte de ces données,
n'est pas plus grand que ce que je vais pouvoir récupérer en ROI avec ces données-là.
Et étant donné qu'on est dans le droit des personnes,
on ne peut plus avoir juste une réflexion commerciale,
on ne peut plus juste avoir ce truc de,
est-ce que ça va me rapporter du poignon, du business ou pas.
Et je pense que c'est un peu cet état d'esprit qu'il faut essayer de développer,
parce que finalement, jusque-là, avant le RGPD,
du coup, l'apparition des bannières de consentement,
on avait déjà les bandes au cookie qui étaient obligatoires,
et qui avaient à peu près le même effet,
sauf qu'ils étaient peut-être un peu moins voyants encore que les bannières de consentement,
mais on voyait ce truc-là comme une obligation juridique,
il n'y avait pas forcément de réflexion derrière au niveau de l'équipe de conception du service,
sur quelle est la part de cette interaction,
de ce dérangement dans l'expérience de navigation, dans le produit que je vends,
dans le service que je propose.
Et finalement, c'était un peu le truc légal chiant qu'on rajoute en fin de projet,
avec une bannière qui peut-être n'est même pas connectée au bouton pour autoriser ou pour rejeter,
donc même quand on refuse, ça les met quand même ce genre de choses.
Et je pense que les bannières de consentement ont un peu été faits dans cet esprit-là,
on est obligés, alors on va les mettre.
Et du coup, c'est fait de manière encore très superficielle et très imparfaites, comme on l'a dit.
On a vu là notamment en décembre 2022 que Microsoft s'est fait pénaliser du diamond de 60 millions d'euros,
parce que le refus des cookies était plus difficile que l'acceptation.
Donc on commence à voir des sanctions administratives qui arrivent pour justement essayer de contrebalancer un peu ça,
et pour essayer de commencer à faire que les acteurs se posent les bonnes questions à ce propos.
Yes, est-ce que tu as une recommandation pour un développeur qui a envie de faire bouger les lignes ?
Parce que moi je t'avoue que j'ai un peu un conflit interne,
alors j'ai celui de pouvoir d'avoir pu apurer ces choses-là,
mais si jamais on a un auditeur qui est développeur qui se divise quand même,
ce qu'on fait un peu dans ma boîte, ça craint, tu vois, typiquement, c'est un peu en consentement forcé.
Qu'est-ce que tu lui conseillerais de faire ?
Déjà la première chose, je pense, c'est de s'informer auprès de l'acmil,
qui a d'ailleurs produit en 2021 de mémoire un guide assez court et assez condensé
d'un point de vue développeur. La l'acmil fait énormément de travaux pour vulgariser,
pour rendre accessible justement tout ce texte légal qui est le RGPD,
pour essayer que l'ensemble de l'écosystème tech s'empare du sujet,
et ce guide-là qu'on pourra mettre, je pense, aussi dans la description de l'épisode est très bien fait.
Je pense que c'est une première phase pour déjà pouvoir soi-même identifier
quelles sont les éléments qui posent problème, quelles sont les éléments les plus critiques,
en fait, pour le risque des données personnelles puisque c'est ça qu'on parle.
Et ce qu'il faut voir aussi, c'est que le RGPD ne se fait que des sanctions administratives,
c'est aussi un cadre, c'est l'article 84 de mémoire,
qui permet aux États membres d'appliquer des sanctions pénales, en plus des sanctions administratives.
Nous en France, c'est le code pénal qui prévoit, si on détourne la finalité d'un traitement de données personnelles,
des sanctions qui peuvent aller jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende.
On fait vraiment un délit, on est vraiment dans l'illégalité,
c'est pas juste, on n'a pas respecté la règlement, on n'a pas bien garé sa voiture,
on va avoir une contravention. On est vraiment dans cet ordre-là,
parce qu'il s'agit de personnes dernières et d'un risque réel pour des individus.
Donc premier point se renseigner,
deuxième point identifier les risques potentiels pour les individus,
et troisième point essayer de travailler dessus.
Alors soit déjà à son échelle en tant que développeur,
peut-être se poser des questions au moment d'insérer un script,
peut-être qu'il y a des configurations qui peuvent être mises en place pour limiter, pour anonymiser les données,
et puis au-delà de ça, je pense que ça va être aussi dans le traitement, la sécurisation des données.
Aujourd'hui c'est une action qui est beaucoup entrepris par les développeurs,
à essayer de se dire, bon voilà, est-ce que c'est une donnée personnelle,
si c'est une donnée personnelle, est-ce que je peux déjà la chiffrer, la sécuriser correctement,
quel impact ça peut avoir si jamais ça fuite, et réfléchir du coup à des scénarios comme ça pour
les protéger au mieux.
Ecoute Romain, ce sera le mois de la fin, je te remercie pour tout ça,
si les auditeurs veulent te suivre et continuer à rigoler sur tes débans qui est à réagir,
ils peuvent te suivre, ouf.
Et bien sur LinkedIn, c'est là-dessus que je publie régulièrement,
donc vous pouvez venir me suivre Romain Fallé, on est déjà 1600,
donc venez, je serai ravi d'échanger et d'avoir des échanges avec vous.
Merci Romain.
Merci à toi.
Quant à toi chers auditeurs, j'espère que cet épisode t'as plu.
Comme d'hab, je t'invite vraiment à organiser une écoute commune, si ça t'a plu,
parce que je pense que c'est typiquement un sujet qui mérite d'être diffusé,
qui mérite de sensibiliser les gens, et en plus ça fera une petite réunion animée,
à mon avis.
Tiens, invite le département marketing, t'invite le CEO,
t'invite deux, trois potes développeurs, et à mon avis, vous passez un moment rigolo.
Je te souhaite une bonne fin de journée et je te dis à bientôt.