1 00:00:00,000 --> 00:00:11,920 Bonjour à tous, il est actuellement 13h00 et je suis prêt à démarrer du coup la conférence 2 00:00:11,920 --> 00:00:16,600 que j'avais prévue pour aujourd'hui qui s'intitule « Comment configurer Matomo dans le respect 3 00:00:16,600 --> 00:00:21,120 du RGPD ». Avant de démarrer, je voudrais juste m'assurer que le son est ok. 4 00:00:21,120 --> 00:00:23,000 Frédéric, est-ce que tu m'entends correctement? 5 00:00:23,000 --> 00:00:25,280 Oui, parfaitement. 6 00:00:25,280 --> 00:00:35,680 Ok, super. Je vais donc démarrer cette conférence qui est prévue de 13h00 jusqu'à 13h45 en 7 00:00:35,680 --> 00:00:40,600 incluant les différentes questions et réponses que chacun d'entre vous pourra avoir par 8 00:00:40,600 --> 00:00:42,120 rapport à cette problématique. 9 00:00:42,120 --> 00:00:48,560 N'hésitez pas pour cela à aller sur chat.matomocamp.org, de vous inscrire si ce n'est pas déjà fait 10 00:00:48,560 --> 00:00:54,320 et une fois dessus de ne pas hésiter à poser des questions dans le salon qui est prévu 11 00:00:54,320 --> 00:00:55,320 à cet effet. 12 00:00:55,320 --> 00:01:00,120 Frédéric, qui est modérateur de cette conférence, me posera du coup à ces questions soit au 13 00:01:00,120 --> 00:01:06,840 fil du lot si elle nécessite une réponse directe, soit à la fin de la conférence. 14 00:01:06,840 --> 00:01:13,800 Vous pourrez par ailleurs poser des questions même tout au long du Matomocamp sur cette 15 00:01:13,800 --> 00:01:18,720 problématique en particulier, que ce soit aujourd'hui ou demain, puisque la salle de 16 00:01:18,720 --> 00:01:21,040 questions reste ouverte. 17 00:01:21,040 --> 00:01:27,880 Je vais peut-être pour les besoins de la conférence garder un peu plus de bande passante et arrêter 18 00:01:27,880 --> 00:01:28,880 ma caméra. 19 00:01:28,880 --> 00:01:34,640 L'idée dans cette conférence, c'est tout d'abord que je me présente, ensuite que je 20 00:01:34,640 --> 00:01:40,240 vous présente l'objectif ou en tout cas les objectifs de cette conférence, ensuite 21 00:01:40,240 --> 00:01:44,760 de vous donner une définition de ce qu'est l'analyse d'audience, puisque d'une certaine 22 00:01:44,760 --> 00:01:49,640 façon c'est ce dont on parle aujourd'hui dans le cadre du RGPD, ensuite je passerai 23 00:01:49,640 --> 00:01:54,640 sur une définition de ce qu'est une donnée personnelle au sens du RGPD, ensuite je traiterai 24 00:01:54,640 --> 00:02:00,840 de l'exemption de consentement avec Matomo qui concerne la majeure partie des cas pour 25 00:02:00,840 --> 00:02:07,080 lesquels les personnes vont utiliser Matomo et comment faire ça dans le respect du RGPD, 26 00:02:07,080 --> 00:02:11,920 ensuite j'aborderai plus une partie qu'on voit assez peu, comment est-ce qu'on fait 27 00:02:11,920 --> 00:02:17,280 lorsqu'on veut traiter des données personnelles avec Matomo et qu'on doit récupérer justement 28 00:02:17,280 --> 00:02:22,760 le consentement de l'utilisateur et je conclurai ensuite cette conférence. 29 00:02:22,760 --> 00:02:31,640 Pour me présenter rapidement, je m'appelle Ronan Chardonneau, j'ai eu la chance et l'honneur 30 00:02:31,640 --> 00:02:37,440 de travailler pour l'équipe de Matomo, quand on dit l'équipe de Matomo ça veut dire 31 00:02:37,440 --> 00:02:43,400 beaucoup de choses, en fait j'ai surtout travaillé pour Inocraft de 2017 à 2019 qui 32 00:02:43,400 --> 00:02:49,280 est l'entreprise privée qui est le principal contributeur au développement de Matomo, 33 00:02:49,280 --> 00:02:52,680 en fait ce n'est pas exactement vrai que j'ai travaillé pour l'équipe de Matomo, 34 00:02:52,680 --> 00:02:57,040 j'ai travaillé pour l'équipe d'Inocraft mais l'équipe d'Inocraft étant le principal 35 00:02:57,040 --> 00:03:01,360 contributeur au projet Matomo, d'une certaine manière via mon travail que j'ai pu faire 36 00:03:01,360 --> 00:03:05,840 au sein de l'entreprise Inocraft, j'ai pu contribuer au développement du logiciel Matomo 37 00:03:05,840 --> 00:03:13,480 et le logiciel Matomo d'une certaine façon j'ai contribué beaucoup en tant que bénévole, 38 00:03:13,480 --> 00:03:16,920 notamment par la diffusion de connaissances, de tutoriels que vous pouvez retrouver sur 39 00:03:16,920 --> 00:03:22,440 internet, soit sur ma chaîne Pertube, soit sur ma chaîne Youtube, soit également sur 40 00:03:22,440 --> 00:03:27,160 différents MOOCs que j'ai pu créer, notamment celui de la Floss Marketing School ou également 41 00:03:27,160 --> 00:03:31,160 d'un MOOC que j'ai pu créer sur la plateforme Zest de Savoir qui est une association à 42 00:03:31,160 --> 00:03:37,400 but non lucratif qui libère des tutoriels, des connaissances autour de différentes technologies 43 00:03:37,400 --> 00:03:42,560 ou autres savoirs. Ce qui est intéressant c'est que quand j'ai travaillé pour Inocraft 44 00:03:42,560 --> 00:03:51,840 de 2017 à 2019, j'ai notamment été la personne qui s'occupait de la mise en place du RGPD 45 00:03:51,840 --> 00:03:57,280 au sein de l'entreprise et là ça m'a permis de voir énormément de choses et l'idée 46 00:03:57,280 --> 00:04:03,400 c'est via cette conférence et l'expérience que j'ai pu avoir après avoir quitté Inocraft 47 00:04:03,400 --> 00:04:08,880 de pouvoir vous partager tout ça dans la conférence d'aujourd'hui. Je suis formateur 48 00:04:08,880 --> 00:04:14,560 et consultant indépendant sur Matomo, anciennement ce n'était pas Matomo, ça s'appelait P-Week, 49 00:04:14,560 --> 00:04:24,920 depuis 2010 je ferais partie des tout premières personnes à avoir parié sur P-Week, sur 50 00:04:24,920 --> 00:04:32,080 Matomo et avoir décidé de monter toute une structure, tout un business autour de ça, 51 00:04:32,080 --> 00:04:38,680 ce qui est notamment l'objet d'une conférence qui aura lieu juste après, de 14h à 15h que 52 00:04:38,680 --> 00:04:43,040 je ferai en anglais où j'expliquerai comment développer une activité économique autour 53 00:04:43,040 --> 00:04:47,800 de Matomo. Ça c'est mon emploi principal, je suis formateur et consultant indépendant 54 00:04:47,800 --> 00:04:52,680 sur Matomo depuis 2010 et je suis également maître de conférences associées à l'IE 55 00:04:52,680 --> 00:05:04,400 que je salue au passage en marketing numérique depuis 2012. Je forme des armées d'étudiants 56 00:05:04,400 --> 00:05:10,200 en marketing numérique et depuis quelques années maintenant j'essaye surtout de leur 57 00:05:10,200 --> 00:05:15,080 apporter des connaissances en marketing numérique en utilisant des logiciels libres et Matomo 58 00:05:15,080 --> 00:05:21,320 est naturellement celui dont je vais le plus parler. J'ai à côté de ça une troisième 59 00:05:21,320 --> 00:05:25,960 activité qui est assez récente, je suis expert international sur la thématique du 60 00:05:25,960 --> 00:05:31,440 logiciel libre auprès du ministère de l'enseignement supérieur de la recherche et de l'innovation 61 00:05:31,440 --> 00:05:38,200 autour de la thématique des sciences ouvertes. Ça consiste à aller à l'étranger et être 62 00:05:38,200 --> 00:05:43,920 d'une certaine façon le porte-parole, l'ambassadeur du gouvernement pour expliquer quelle est 63 00:05:43,920 --> 00:05:48,320 la politique du gouvernement en termes de sciences ouvertes et notamment quelle est 64 00:05:48,320 --> 00:05:54,240 la politique qui est portée par le gouvernement autour de la libération des logiciels produits 65 00:05:54,240 --> 00:06:00,280 par les chercheurs et qui d'une certaine façon se doivent d'être en accès libre 66 00:06:00,280 --> 00:06:04,800 et sous licencié. C'est un projet qui est tout nouveau pour moi, j'aurai peut-être 67 00:06:04,800 --> 00:06:10,040 l'occasion d'en reparler sur d'autres conférences plus tard. Je suis également créateur d'une 68 00:06:10,040 --> 00:06:16,440 plateforme qui s'appelle Flossmarketingschool.com que je vous conseille très fortement d'aller 69 00:06:16,440 --> 00:06:22,680 consulter. Il s'agit d'un site internet sur lequel je libère tous les cours que je dispense 70 00:06:22,680 --> 00:06:29,600 à l'université d'Angers. Ce sont des cours en libre accès, vous y avez des tutoriels, 71 00:06:29,600 --> 00:06:37,760 des explications textuelles, vous y avez aussi des exercices et c'est vraiment assez génial 72 00:06:37,760 --> 00:06:42,080 si vous voulez vous éduquer en logiciels libres et en marketing numérique. 73 00:06:42,080 --> 00:06:49,600 L'objectif de la conférence va être le suivant, c'est que vous découvriez, si ce 74 00:06:49,600 --> 00:06:56,000 n'est pas le cas encore, que vous découvriez comment apprendre à se mettre en conformité 75 00:06:56,000 --> 00:07:01,920 de manière concrète avec Matomo pour le RGPD. Je partagerai du coup mon écran, je 76 00:07:01,920 --> 00:07:07,120 montrerai différents contenus, je montrerai le back-end de Matomo, quelles sont les options 77 00:07:07,120 --> 00:07:15,520 à travers lesquelles il faut naviguer pour être en conformité. Si vous avez des questions, 78 00:07:15,520 --> 00:07:22,120 n'hésitez pas à aller sur chat.matomocamp.org et y poser vos questions puisque c'est notamment 79 00:07:22,120 --> 00:07:27,160 par cette intermédiaire-là que je vais pouvoir vous aider encore plus à être au plus proche 80 00:07:27,160 --> 00:07:34,600 de vos besoins. Je reviendrai sur ce lien-là un petit peu 81 00:07:34,600 --> 00:07:44,680 plus tard qui est en fait la clé de la conférence, c'est un guide que l'ACNIL a mis en ligne 82 00:07:44,680 --> 00:07:52,040 et qui explique pourquoi d'une certaine manière et comment des éditeurs de logiciels peuvent 83 00:07:52,040 --> 00:07:56,040 être exemptés de consentement. C'est très intéressant puisque c'est une liste de facteurs 84 00:07:56,040 --> 00:08:01,520 qui sont indiqués qui explique comment un éditeur de logiciels peut être exempté 85 00:08:01,520 --> 00:08:06,360 de consentement et comment on peut récupérer des données sur les utilisateurs directement 86 00:08:06,360 --> 00:08:09,720 sans avoir leur proposer un bandeau d'acceptation. 87 00:08:09,720 --> 00:08:16,520 Les prérequis pour suivre cette conférence sont les suivants. Je considère que pour 88 00:08:16,520 --> 00:08:21,560 cette conférence, la plupart d'entre vous connaissent déjà le RGPD, donc si ce n'est 89 00:08:21,560 --> 00:08:30,720 pas déjà le cas, je vous incite très fortement à aller sur le lien officiel eur-lex.europa.eu 90 00:08:30,720 --> 00:08:37,040 dans lequel vous trouverez le texte officiel du RGPD qui fait 88 pages de long. Sa lecture 91 00:08:37,040 --> 00:08:42,600 et sa compréhension pour l'avoir faire nécessitent une demi-journée de travail ou en tout cas 92 00:08:42,600 --> 00:08:47,840 de temps de réflexion, de lecture. Ça vaut l'investissement en temps puisque d'ailleurs 93 00:08:47,840 --> 00:08:54,720 ça vous permet d'être bien éduqué, bien formé à ce qu'est le RGPD. Il faut savoir 94 00:08:54,720 --> 00:08:59,320 qu'une des règles de base du RGPD c'est que le texte doit être lisible et compréhensible 95 00:08:59,320 --> 00:09:05,160 de tous, donc on n'est pas sur un document qui nécessite d'être BAC plus 15 pour pouvoir 96 00:09:05,160 --> 00:09:10,080 le lire. C'est vraiment très intéressant puisque ça vous permet de voir tout ce qu'englobe 97 00:09:10,080 --> 00:09:14,680 le RGPD. Ma tout mot n'est pas concerné par tout ce que dit le RGPD, mais ça vous permet 98 00:09:14,680 --> 00:09:18,720 justement de savoir au final qu'est-ce que c'est que le RGPD par une source d'information 99 00:09:18,720 --> 00:09:25,480 qui n'a pas été interprétée par un tiers qui vient directement de l'UE. Ça a tout 100 00:09:25,480 --> 00:09:30,880 son avantage, tout son poids. Ensuite, je vous recommande très fortement de suivre 101 00:09:30,880 --> 00:09:37,520 des MOOCs qui sont liés à l'application du RGPD ou du RGPD en général. Malheureusement 102 00:09:37,520 --> 00:09:41,660 le MOOC édité par la CNIL est actuellement en cours de refonte, donc si vous vous rendez 103 00:09:41,660 --> 00:09:45,160 sur le site, c'est dommage puisque l'ancienne version était très bien faite, je pense 104 00:09:45,160 --> 00:09:48,840 qu'ils auraient pu la laisser en ligne. Vous la retrouverez quand même sur ce lien-là 105 00:09:48,840 --> 00:09:51,400 puisqu'il y a bien un jour ou l'autre où ils vont le mettre à jour. Ils disent bien 106 00:09:51,400 --> 00:09:59,720 qu'ils sont en cours de rénovation. Cependant, je sais que quand j'ai démarré à m'éduquer 107 00:09:59,720 --> 00:10:05,040 sur le RGPD, la CNIL n'avait pas encore sorti son MOOC en ligne. J'avais suivi une formation 108 00:10:05,040 --> 00:10:10,720 par une université néerlandaise qui elle aussi a également revu son MOOC. Il me semble 109 00:10:10,720 --> 00:10:13,560 que c'était celui-ci, mais je n'en suis pas sûr. Je vous ai mis là le lien à titre 110 00:10:13,560 --> 00:10:20,640 indicatif. Je pense que vous pouvez facilement taper MOOC RGPD sur un moteur de recherche 111 00:10:20,640 --> 00:10:25,360 très connu et facilement trouver d'autres MOOCs, mais je pars du principe que poursuivre 112 00:10:25,360 --> 00:10:30,360 cette conférence-là, vous savez déjà ce que c'est à minima que le RGPD. 113 00:10:30,360 --> 00:10:37,080 On va maintenant, avant d'attaquer directement la mise en conformité de Matomo dans le 114 00:10:37,080 --> 00:10:44,600 cadre du RGPD, revenir aux fondamentaux et d'expliquer en gros de quoi on parle. On 115 00:10:44,600 --> 00:10:49,880 parle de Matomo. Matomo, c'est quoi? C'est une solution en analyse d'audience. Du coup, 116 00:10:49,880 --> 00:10:55,000 la grande question, c'est quoi une solution en analyse d'audience? Une solution en analyse 117 00:10:55,000 --> 00:11:00,520 d'audience, ce n'est plus ni moins qu'un système d'information. C'est rien qu'une 118 00:11:00,520 --> 00:11:06,080 base de données. Il faut bien comprendre. Matomo, c'est quoi? C'est une base de données. 119 00:11:06,080 --> 00:11:11,120 C'est un endroit qui stocke des données. Qu'est-ce qu'il contient? Il contient des 120 00:11:11,120 --> 00:11:16,200 traces d'échange entre deux ordinateurs. Entre l'ordinateur qui va être le client, 121 00:11:16,200 --> 00:11:19,920 en gros, le visiteur ou l'utilisateur, si vous avez une application mobile, si vous 122 00:11:19,920 --> 00:11:23,840 avez un intranet. Prendre un site web, c'est peut-être beaucoup plus simple. Vous avez 123 00:11:23,840 --> 00:11:28,480 un visiteur qui arrive sur votre site internet. Votre site internet, il est hébergé sur 124 00:11:28,480 --> 00:11:33,400 quoi? Il est hébergé sur ce qu'on appelle un serveur. En gros, vous avez une demande 125 00:11:33,400 --> 00:11:37,840 qui est faite par un ordinateur, à savoir un client, et vous avez en face un autre ordinateur 126 00:11:37,840 --> 00:11:43,200 qui lui répond, qui s'appelle le serveur. Ces deux entités communiquent via quoi? Elles 127 00:11:43,200 --> 00:11:48,920 communiquent via ce qu'on appelle des requêtes HTTP. Ces requêtes HTTP, qu'est-ce qu'elles 128 00:11:48,920 --> 00:11:55,160 contiennent? Elles contiennent des informations qui sont standards dans les communications 129 00:11:55,160 --> 00:12:01,520 entre deux ordinateurs, qui sont l'adresse IP de l'ordinateur client, l'heure et la 130 00:12:01,520 --> 00:12:08,400 date à laquelle justement la requête est effectuée. La page qui est demandée, c'est 131 00:12:08,400 --> 00:12:13,160 aussi bien URL et via l'URL est récupérée également le titre de la page. Elle va être 132 00:12:13,160 --> 00:12:18,080 récupérée également la manière dont l'utilisateur est venu sur le site, comment il l'a connu 133 00:12:18,080 --> 00:12:23,280 d'une certaine manière, qu'on appelle le référent URL. Elle est également transmise 134 00:12:23,280 --> 00:12:28,160 derrière tout ce qui va être résolution de l'écran. Également par intermédiaire 135 00:12:28,160 --> 00:12:33,840 du ce qu'on appelle le User Agent est également transmise la langue du navigateur. Et derrière 136 00:12:33,840 --> 00:12:38,360 un petit peu plus d'informations sur le navigateur, telles que sa version, le système d'exploitation, 137 00:12:38,360 --> 00:12:42,920 sur lequel il est utilisé. Tout ça pour vous dire que ces informations-là sont stockées 138 00:12:42,920 --> 00:12:47,080 dans une base de données. Je vais peut-être partager mon écran, ça va peut-être plus 139 00:12:47,080 --> 00:12:53,920 explicite directement. C'est en ça que je trouve que Matomo est assez génial. Au moins 140 00:12:53,920 --> 00:12:57,840 chez Matomo, vous voyez à quoi ressemble la base de données. Frédéric, est-ce que 141 00:12:57,840 --> 00:13:02,360 tu vois bien mon écran ce que je partage? Oui, tout à fait. 142 00:13:02,360 --> 00:13:08,480 Typiquement, c'est la base de données de Matomo. C'est ce que vous devez installer 143 00:13:08,480 --> 00:13:12,480 le jour où vous installez Matomo sur le serveur de votre choix. Il ne faut pas oublier que 144 00:13:12,480 --> 00:13:16,960 Matomo, ce qui fait sa force, comparé à tous les autres logiciels du marché, c'est 145 00:13:16,960 --> 00:13:21,200 que c'est un logiciel qui est libre. C'est un logiciel que vous récupérez directement 146 00:13:21,200 --> 00:13:25,360 sur un site, à savoir matomo.org. Une fois que vous avez ce logiciel-là, vous décidez 147 00:13:25,360 --> 00:13:29,360 du serveur sur lequel vous allez l'installer. Quand vous l'installez sur un serveur, vous 148 00:13:29,360 --> 00:13:32,960 devez installer ce qu'on appelle une base de données et elle est là, notre fameuse base 149 00:13:32,960 --> 00:13:37,200 de données. C'est là où vous avez justement ces fameuses requêtes HTTP qui contiennent 150 00:13:37,200 --> 00:13:41,440 des données qui ont été extraites et qui ont été ensuite ici insérées dans la base 151 00:13:41,440 --> 00:13:47,480 de données. C'est là où on voit par exemple l'identifiant de la visite, le site sur lequel 152 00:13:47,480 --> 00:13:53,480 vous avez déployé Matomo. Vous allez avoir ensuite tout ce qui va être l'adresse IP 153 00:13:53,480 --> 00:13:58,280 de l'utilisateur. Vous allez avoir sa localisation qui va être représentée ici. Les infos 154 00:13:58,280 --> 00:14:02,520 qu'on voit ici ne sont pas forcément les plus explicites, mais si on va se diriger 155 00:14:02,520 --> 00:14:07,280 un petit peu plus sur la droite, on a directement des informations qu'on a plus l'habitude 156 00:14:07,280 --> 00:14:13,800 de voir, à savoir le référent, à savoir la langue du navigateur, à savoir quel est 157 00:14:13,800 --> 00:14:23,400 le type de moteur qui est utilisé, la version du navigateur, etc. Tout est enregistré 158 00:14:23,400 --> 00:14:36,720 au final ici dans cette fameuse base de données. Une solution d'analyse d'audience, je le 159 00:14:36,720 --> 00:14:41,200 rappelle, c'est juste une base de données qui contient les informations de base qui 160 00:14:41,200 --> 00:14:47,600 a des changes entre un navigateur, entre un ordinateur client et un serveur. Pour faire 161 00:14:47,600 --> 00:14:54,720 simple, quelles sont les données personnelles qui sont collectées par défaut dans Matomo, 162 00:14:54,720 --> 00:15:00,360 en réalité, dans ces fameuses données personnelles qu'on a, on n'a pas grand chose. Probablement 163 00:15:00,360 --> 00:15:06,760 la plus intrusive qu'on peut avoir, c'est la fameuse adresse IP qui permet d'ailleurs 164 00:15:06,760 --> 00:15:12,520 de pouvoir identifier généralement un foyer, puisque l'adresse IP est fournie par votre 165 00:15:12,520 --> 00:15:16,640 fondisseur d'accès à internet, mais en réalité derrière, c'est surtout dangereux si au 166 00:15:16,640 --> 00:15:20,520 sein d'un foyer vous n'avez qu'une même personne, puisque dans ce cas-là, ça voudrait dire 167 00:15:20,520 --> 00:15:24,720 que cette adresse IP, au moins une personne à savoir votre fondisseur d'accès à internet 168 00:15:24,720 --> 00:15:27,720 peut savoir qui est derrière, ce qui est naturellement moins le cas quand dans un foyer 169 00:15:27,720 --> 00:15:34,160 vous avez plus d'individus. Donc tout ça pour vous dire que déjà de base dans Matomo 170 00:15:34,160 --> 00:15:41,240 vous n'avez pas d'informations qui sont très personnelles. Maintenant en revanche 171 00:15:41,240 --> 00:15:46,640 ce qu'il faut savoir, c'est que Matomo, vous pouvez étendre sa puissance de collecte de 172 00:15:46,640 --> 00:15:51,280 données avec des codes de suivi qui sont spécifiques, donc ça après qui sont l'objet 173 00:15:51,280 --> 00:15:58,520 d'une documentation qu'on retrouve sur developer.matomo.org et qui est représenté par par exemple les 174 00:15:58,520 --> 00:16:04,760 dimensions personnalisées qui vont être des informations, des données que vous pouvez 175 00:16:04,760 --> 00:16:09,040 assigner à vos visiteurs et qui permettent du coup d'en savoir plus sur eux. Alors ces 176 00:16:09,040 --> 00:16:12,640 données-là ne viennent pas du sans-esprit, elles viennent parce qu'elles sont déjà 177 00:16:12,640 --> 00:16:22,280 probablement présentes sur votre site web. Par exemple vous avez un site e-commerce et 178 00:16:22,280 --> 00:16:27,640 sur votre site e-commerce, une personne lorsqu'elle se crée un compte va y indiquer par exemple 179 00:16:27,640 --> 00:16:31,280 son nom et prénom. Ces informations-là sont stockées dans la base de données qu'elle 180 00:16:31,280 --> 00:16:35,320 y est à votre site web et vous pouvez par intermédiaire des dimensions personnalisées 181 00:16:35,320 --> 00:16:40,920 venir récupérer par exemple ces données-là et venir les matcher avec la visite mais ça 182 00:16:40,920 --> 00:16:44,320 ce sera vraiment une action qui sera faite de la part de l'éditeur du site web, de 183 00:16:44,320 --> 00:16:47,720 la personne qu'elle contrôle sur le code source et qui va décider de son plein gré 184 00:16:47,720 --> 00:16:52,480 de pouvoir mettre ces données personnelles. Même chose concernant le user ID, là c'est 185 00:16:52,480 --> 00:16:59,800 pareil, ça c'est un code qui permet spécifiquement de reconnaître l'utilisateur mais ça c'est 186 00:16:59,800 --> 00:17:03,640 pareil en fait, vous pouvez reconnaître l'utilisateur que si il ou elle vous a donné 187 00:17:03,640 --> 00:17:07,920 l'information donc ça va être typiquement le cas lorsque une personne va se loguer 188 00:17:07,920 --> 00:17:12,400 sur un site, je reprends par exemple l'exemple d'un site e-commerce, si une personne se 189 00:17:12,400 --> 00:17:16,520 log sur un site e-commerce c'est qu'à un moment donné il ou elle aura décidé de 190 00:17:16,520 --> 00:17:20,840 se créer un compte sur votre plateforme et du coup quand la personne se crée un compte 191 00:17:20,840 --> 00:17:26,080 elle va vous donner ou en tout cas vous, vous allez faire une espèce de système pour 192 00:17:26,080 --> 00:17:31,000 pouvoir mettre un identifiant donc généralement l'identifiant ça va être le nickname, ça 193 00:17:31,000 --> 00:17:35,680 va être le pseudonyme que la personne aura décidé de se créer lorsqu'elle sera créée 194 00:17:35,680 --> 00:17:40,600 le compte qui va être utilisé justement pour créer le user ID. Après ça c'est plus 195 00:17:40,600 --> 00:17:45,680 un point de vigilance, faites attention puisque la manière de vous intégrer le code dans 196 00:17:45,680 --> 00:17:50,360 Matomo peut être effectuée par intermédiaire de plugins, c'est notamment le cas lorsque 197 00:17:50,360 --> 00:17:54,720 vous utilisez par exemple des plugins déjà développés pour WordPress pour intégrer 198 00:17:54,720 --> 00:18:00,840 Matomo ou PrestaShop ou tout ce que vous voulez, en fait ces plugins là il faut imaginer 199 00:18:00,840 --> 00:18:04,560 que vous avez des équipes d'intégration, vous avez des développeuses développeurs 200 00:18:04,560 --> 00:18:08,360 qui ont créé en fait des fonctionnalités spécifiques qui sont souvent très demandées 201 00:18:08,360 --> 00:18:14,120 pour ces CMS là et qui elles peuvent automatiquement inclure la collecte de données personnelles. 202 00:18:14,120 --> 00:18:20,960 On peut imaginer typiquement le cas de l'e-commerce, vous développez une boutique sur PrestaShop 203 00:18:20,960 --> 00:18:27,440 ou développez une boutique sur WordPress, naturellement si vous mettez Matomo vous 204 00:18:27,440 --> 00:18:31,920 attendez à ce que Matomo puisse collecter des informations concernant l'e-commerce, 205 00:18:31,920 --> 00:18:36,920 le panier d'achat etc. et là en utilisant ces plugins là il n'est pas dit que par 206 00:18:36,920 --> 00:18:41,560 défaut ces plugins là n'intègrent pas directement les fonctionnalités de celui e-commerce qui 207 00:18:41,560 --> 00:18:45,520 elles peuvent être considérées, en tout cas c'est le cas, on va y revenir justement 208 00:18:45,520 --> 00:18:50,880 tout à l'heure, par l'ACNIL comme étant des données intrusives, en tout cas qui nécessitent 209 00:18:50,880 --> 00:18:54,600 l'accord au préalable de l'utilisateur pour pouvoir être collecté puisque naturellement 210 00:18:54,600 --> 00:18:59,040 à l'intermédiaire d'une transaction électronique, on peut d'ailleurs de manière indirecte 211 00:18:59,040 --> 00:19:03,280 savoir qui est la personne qui se cache derrière la commande. 212 00:19:03,280 --> 00:19:07,360 Et puis naturellement dans Matomo on peut se retrouver avec des données personnelles 213 00:19:07,360 --> 00:19:12,320 qui remontent lorsque votre site est mal conçu, on peut imaginer par exemple un site web pour 214 00:19:12,320 --> 00:19:19,560 lequel vous avez des URL et les URL en question contiennent le nom et prénom d'un individu 215 00:19:19,560 --> 00:19:25,880 ou alors un identifiant quelque chose comme ça, c'est notamment le cas sur certains sites 216 00:19:25,880 --> 00:19:31,200 lorsqu'on se connecte à un back-office, parfois les développeurs ont eu la mauvaise idée 217 00:19:31,200 --> 00:19:36,240 de mettre dans l'URL l'identifiant de l'utilisateur et quand c'est le cas naturellement quand 218 00:19:36,240 --> 00:19:41,320 cet URL-là il est chargé ça envoie directement dans Matomo l'information, mais par défaut 219 00:19:41,320 --> 00:19:44,680 normalement dans Matomo l'information la plus intrusive que vous allez récupérer 220 00:19:44,680 --> 00:19:50,320 ou que vous allez avoir ça va être l'adresse IP, tout ça pour dire que par défaut il n'y 221 00:19:50,320 --> 00:19:55,480 a pas grand chose auquel vous devriez avoir peur pour être en conformité avec le RGPD 222 00:19:55,480 --> 00:19:58,840 même si on va le voir juste après il y a quand même quelques petites choses qu'il 223 00:19:58,840 --> 00:19:59,840 va falloir faire. 224 00:19:59,840 --> 00:20:04,560 En revanche là où vous devriez bien vous préoccuper de cette problématique RGPD, c'est 225 00:20:04,560 --> 00:20:09,320 toute la diapo là que je viens de parcourir, c'est que naturellement si vous avez des 226 00:20:09,320 --> 00:20:12,320 codes spécifiques là vous récupérez des données personnelles et là vous risquez 227 00:20:12,320 --> 00:20:19,880 de bien plus les avis de la loi s'il y a des choses qui sont si justement vos données 228 00:20:19,880 --> 00:20:20,880 vous faites contrôler. 229 00:20:20,880 --> 00:20:27,120 Alors à retenir qu'est très important du coup en France l'application du RGPD se 230 00:20:27,120 --> 00:20:31,360 fait via l'autorité de l'ACNIL donc ça c'est pas une petite information c'est-à-dire 231 00:20:31,360 --> 00:20:35,120 que j'ai fait le choix aujourd'hui de faire cette conférence en français simplement 232 00:20:35,120 --> 00:20:39,960 puisque pour moi c'est assez simple de pouvoir vérifier la doc de l'ACNIL et de vous la 233 00:20:39,960 --> 00:20:44,000 présenter cependant ce que je vous dis là pour la France ça ne marche naturellement 234 00:20:44,000 --> 00:20:49,360 pas si vous avez un site web qui est à destination d'un pays à l'étranger puisque du coup 235 00:20:49,360 --> 00:20:52,760 lorsqu'il s'agit de l'étranger là c'est plus l'ACNIL qui fait froid donc il faut 236 00:20:52,760 --> 00:20:57,920 à chaque fois regarder qui est l'équivalent de la commission en vie privée dans le pays 237 00:20:57,920 --> 00:21:02,960 que vous visez donc on peut imaginer une entreprise française qui du coup développe 238 00:21:02,960 --> 00:21:06,600 un site à destination de l'Allemagne là il va de soi que c'est pas la règle de 239 00:21:06,600 --> 00:21:10,960 l'ACNIL qu'il va falloir suivre pour mettre Matomo en conformité ça va être directement 240 00:21:10,960 --> 00:21:15,880 celui de l'autorité allemande d'où l'intérêt lors du MatomoCamp de venir échanger avec 241 00:21:15,880 --> 00:21:19,720 des personnes qui sont d'Allemagne ça vous permet d'ailleurs de pouvoir en savoir un 242 00:21:19,720 --> 00:21:23,440 petit peu plus sur ce qui se fait là pour cette conférence je vais vraiment juste parler 243 00:21:23,440 --> 00:21:25,800 du marché Franco-français. 244 00:21:25,800 --> 00:21:32,600 Alors que dit l'ACNIL par rapport à la mise en conformité de Matomo avec le RGPD? Alors 245 00:21:32,600 --> 00:21:39,240 si vous ne collectez pas de données personnelles alors vous pouvez bénéficier de ce qui s'appelle 246 00:21:39,240 --> 00:21:45,400 une exemption de consentement c'est à dire que vous n'êtes pas obligé d'avoir explicitement 247 00:21:45,400 --> 00:21:50,720 un utilisateur qui débarque sur le site voire un bandeau qui dit est-ce que vous acceptez 248 00:21:50,720 --> 00:21:55,480 que vos données soient collectées? Non ça vous pouvez vous en passer donc ça c'est 249 00:21:55,480 --> 00:22:02,400 on va dire la principale raison pour laquelle les webmasters viennent choisir Matomo. 250 00:22:02,400 --> 00:22:08,800 A noter ici que c'est vous pouvez bénéficier d'une exemption le pouvez il est très important 251 00:22:08,800 --> 00:22:12,640 puisque naturellement ça va impliquer que l'exemption n'est pas automatique il va 252 00:22:12,640 --> 00:22:16,800 falloir faire des choses pour pouvoir bénéficier de cette autorisation de collecte de données 253 00:22:16,800 --> 00:22:18,560 sans l'accord préalable de l'utilisateur. 254 00:22:18,560 --> 00:22:24,320 Si jamais vous voulez utiliser Matomo pour collecter des données personnelles donc là 255 00:22:24,320 --> 00:22:29,560 on va plus voir le cas du genre ah mais en fait moi j'ai mis Matomo sur mon site mais 256 00:22:29,560 --> 00:22:32,880 en fait je souhaite collecter des données personnelles telles que celles que je vous 257 00:22:32,880 --> 00:22:37,080 ai présenté tout à l'heure transactions et commerces ça peut être des informations 258 00:22:37,080 --> 00:22:41,480 sur l'individu que je vous ai dit tout à l'heure non prénom ça peut être son adresse 259 00:22:41,480 --> 00:22:46,160 IP en intégralité bah là vous n'avez pas d'autre choix il va falloir obtenir d'ailleurs 260 00:22:46,160 --> 00:22:49,760 le consentement des utilisateurs en gros ici sur la solution numéro 2 vous êtes au 261 00:22:49,760 --> 00:22:56,520 même niveau que si vous utilisiez Google Analytics ou toute autre solution qui elle 262 00:22:56,520 --> 00:22:59,920 nécessite spécifiquement l'accord de l'utilisateur. 263 00:22:59,920 --> 00:23:04,920 En ce qui concerne ce qu'il faut savoir et comment se mettre en conformité tout est 264 00:23:04,920 --> 00:23:11,120 directement mis sur le site de l'ACNIL sur acnil.fr slash fr cookie autotraceur je vais 265 00:23:11,120 --> 00:23:14,480 du coup en parler d'ici quelques minutes et puis vous montrer un petit peu concrètement 266 00:23:14,480 --> 00:23:19,800 à quoi ça ressemble juste l'instant troll du jour faites très attention à l'ACNIL 267 00:23:19,800 --> 00:23:25,000 soyez vigilants quand on parle de RGPD ou autre puisque voilà ça c'est un message 268 00:23:25,000 --> 00:23:30,920 que j'ai envoyé à cette réponse et la suite d'un message que j'ai envoyé il y a 269 00:23:30,920 --> 00:23:34,200 à peu près 80 jours à l'ACNIL je suis d'accord pour dire qu'ils ne sont pas beaucoup de 270 00:23:34,200 --> 00:23:39,560 personnels et qu'ils mettent du temps avant de répondre ils indiquent bien sur leur site 271 00:23:39,560 --> 00:23:42,560 que voilà ils sont actuellement beaucoup de demandes et qu'ils leur font en moyenne 272 00:23:42,560 --> 00:23:47,800 60 jours pour pouvoir répondre mais j'étais assez étonné de voir que je leur ai écrit 273 00:23:47,800 --> 00:23:51,640 il ya quatre-vingts jours à peu près je reçois une réponse le mardi 26 octobre ma question 274 00:23:51,640 --> 00:23:55,760 était la suivante c'était je voyais pas que Matomo était listé comme solution exempte 275 00:23:55,760 --> 00:24:03,920 de consentement et je leur demandais tout simplement quelle date Matomo va être exempté 276 00:24:03,920 --> 00:24:07,720 de consentement et j'ai reçu la réponse mardi 26 nous vous remercions de vous avoir contacté 277 00:24:07,720 --> 00:24:11,880 je vous prie de vous aborder la carte je vous informe que l'outil Matomo ne figure plus 278 00:24:11,880 --> 00:24:14,960 dans la liste des solutions ne nécessitant pas de consentement des internautes en effet 279 00:24:14,960 --> 00:24:19,560 ce tout est retiré du fait de l'absence de mise en conformité de nouvelles recommandations 280 00:24:19,560 --> 00:24:25,720 de la CNIL et en fait en réalité heureusement que j'ai fait mon boulot correctement en fait 281 00:24:25,720 --> 00:24:30,440 il s'avère que ça faisait au moins une bonne semaine que si Matomo était bien exempt 282 00:24:30,440 --> 00:24:33,840 de consentement il y avait bien un guide de mise en conformité qui était sur le site 283 00:24:33,840 --> 00:24:39,360 de la CNIL mais c'est simplement que là la personne qui m'a répondu ne comment dire 284 00:24:39,360 --> 00:24:42,680 n'avait pas vérifié au final ses sceaux n'avait même pas été sur le site de la 285 00:24:42,680 --> 00:24:47,320 CNIL pour vérifier l'information donc ça c'est fou de se dire waouh ils ont mis 80 286 00:24:47,320 --> 00:24:50,560 jours à répondre et en plus quand ils font une réponse elle n'est pas bonne tout ça 287 00:24:50,560 --> 00:24:55,880 pour vous dire que ce qu'on appelle le DPO donc le Data Protection Officer la personne 288 00:24:55,880 --> 00:25:00,400 qui est en charge de respecter la vie privée des utilisateurs dans votre infrastructure 289 00:25:00,400 --> 00:25:04,800 dans votre institution dans votre entreprise il faudra toujours qu'elle vérifie toujours 290 00:25:04,800 --> 00:25:11,400 pareil même il y a un rôle de veille continue et de toujours creuser et chercher pour des 291 00:25:11,400 --> 00:25:15,720 nouvelles informations donc voilà tout ça pour vous dire méfiez vous aussi un petit 292 00:25:15,720 --> 00:25:21,840 peu de la CNIL puisque malheureusement je pense qu'ils ont beaucoup de demandes et 293 00:25:21,840 --> 00:25:26,240 ils n'ont pas l'occasion de suivre un petit peu tous les dossiers mais Matomo est bien 294 00:25:26,240 --> 00:25:31,840 exempté de consentement et c'est justement ce que l'on va voir maintenant alors là 295 00:25:31,840 --> 00:25:38,160 je vais partager du coup j'ai partagé mon écran je vais devoir reposer la même question 296 00:25:38,160 --> 00:25:41,200 je suis désolé Frédéric est-ce que tu vois bien mon écran? 297 00:25:41,200 --> 00:25:49,440 oui en fait on est bien sur le site de la CNIL là de ton côté exactement c'est super 298 00:25:49,440 --> 00:25:54,360 merci beaucoup alors le site de la CNIL est très très bien fait vous avez deux parties 299 00:25:54,360 --> 00:25:58,040 ici je suis particulier je suis professionnel nous celle qui nous intéresse c'est celle 300 00:25:58,040 --> 00:26:01,360 qui s'appelle je suis professionnel donc vous cliquez ici ensuite vous allez dans 301 00:26:01,360 --> 00:26:06,680 technologie et en fait ce qui va nous intéresser là c'est cookie et autres traceurs vous cliquez 302 00:26:06,680 --> 00:26:11,640 dessus une fois que vous êtes là vous avez différents blocs d'informations qui sont 303 00:26:11,640 --> 00:26:16,000 listés celui qui nous intéresse celui qui s'appelle cookie solution pour les outils 304 00:26:16,000 --> 00:26:20,880 de mesure d'audience je vous encourage très fortement à aller regarder régulièrement 305 00:26:20,880 --> 00:26:25,040 le site de la CNIL qui évolue quand même pas mal c'est aussi pareil sur le site de 306 00:26:25,040 --> 00:26:31,560 matomo.org le rgpd c'est même si ça date de 2018 et on en parlait bien avant on a 307 00:26:31,560 --> 00:26:35,880 de l'info qui tourne en continu donc hésitez pas à chaque fois même enfin ce qui était 308 00:26:35,880 --> 00:26:39,480 vrai hier n'est peut-être pas forcément vrai aujourd'hui ou en tout cas été mis 309 00:26:39,480 --> 00:26:46,880 à jour et là sur le site de la CNIL on a en fait la liste des différentes solutions 310 00:26:46,880 --> 00:26:53,640 en mesure d'analyse d'audience qui sont exemptées donc là vous avez du coup la liste 311 00:26:53,640 --> 00:26:57,800 des différentes solutions qui sont disponibles et là vous avez bien du coup la solution 312 00:26:57,800 --> 00:27:03,200 de matomo analytics version 4 ça va être important aussi qu'il vous faut la version 313 00:27:03,200 --> 00:27:07,240 4 du coup pour pouvoir être exempté et le guide de configuration qui est présent ici 314 00:27:07,240 --> 00:27:10,600 alors je vais pas aller tout de suite dans le guide de configuration je vais d'abord 315 00:27:10,600 --> 00:27:15,680 présenter selon moi ce qui est le plus important c'est le dossier c'est à dire ce que demande 316 00:27:15,680 --> 00:27:21,800 la CNIL pour qu'un éditeur de logiciel soit exempté de consentement pour moi c'est important 317 00:27:21,800 --> 00:27:26,640 que vous le sachiez parce que sinon on comprend pas forcément toujours pourquoi certaines 318 00:27:26,640 --> 00:27:31,280 solutions sont mises en avant pourquoi certaines sont exemptées de consentement et pas d'autres 319 00:27:31,280 --> 00:27:36,000 donc ça c'est le formulaire que doivent remplir les éditeurs de logiciels donc AT-internet 320 00:27:36,000 --> 00:27:40,800 matomo tout autre solution que vous pourriez avoir en tête pour pouvoir avoir le droit 321 00:27:40,800 --> 00:27:46,560 d'être exempté de consentement des utilisateurs donc vous avez une liste de 9 points à respecter 322 00:27:46,560 --> 00:27:49,800 pour pouvoir d'ailleurs éditer le guide de mise en conformité que je vous montrais 323 00:27:49,800 --> 00:27:54,520 tout à l'heure et en fait le plus important selon moi c'est le point numéro 1 qui montre 324 00:27:54,520 --> 00:27:58,400 directement que des solutions telles que Google Analytics on voit mal comment elles pourraient 325 00:27:58,400 --> 00:28:03,040 passer donc le point numéro 1 c'est désactivation de tout traitement des données pour votre 326 00:28:03,040 --> 00:28:07,440 compte le cas échéant et indépendamment de la finalité poursuivre en gros ça veut 327 00:28:07,440 --> 00:28:11,560 dire quoi ça veut dire que là si vous êtes un éditeur de logiciels vous n'avez pas 328 00:28:11,560 --> 00:28:15,120 de choix soit vous êtes un logiciel libre c'est à dire que vous êtes un bien commun 329 00:28:15,120 --> 00:28:18,920 et c'est pas grave les personnes sont libres de pouvoir utiliser le logiciel à toute 330 00:28:18,920 --> 00:28:23,840 fin qu'il soit soit vous êtes obligé d'être un éditeur de logiciels qui fournit un service 331 00:28:23,840 --> 00:28:27,600 qui est payant en fait vous n'avez pas de choix parce qu'une entreprise par définition 332 00:28:27,600 --> 00:28:32,240 c'est pas là pour faire c'est pas là pour faire du bénévolat donc ça c'est la condition 333 00:28:32,240 --> 00:28:36,160 numéro une est vraiment importante puisque c'est ça qui dit que dans tous les cas exit 334 00:28:36,160 --> 00:28:39,640 Google Analytics en fait ils peuvent juste même pas passer ici peuvent pas être exempt 335 00:28:39,640 --> 00:28:45,200 de consentement puisque ça voudrait dire qu'ils mettent à disposition le service gratuitement 336 00:28:45,200 --> 00:28:50,320 qui coûte naturellement énormément d'argent en termes de stockage et de données et c'est 337 00:28:50,320 --> 00:28:55,240 juste pas possible ensuite on a toutes les autres conditions qui elles vont plus nous 338 00:28:55,240 --> 00:28:59,360 faire ouvrir les yeux sur finalement les fonctionnalités qu'on n'a plus le droit d'utiliser par défaut 339 00:28:59,360 --> 00:29:04,120 sans avoir le consentement des utilisateurs donc c'est tout ce qui va être des activations 340 00:29:04,120 --> 00:29:12,360 de cohorte d'utilisateurs la limite de collecte de l'adresse IP donc le fait qu'on apprend 341 00:29:12,360 --> 00:29:18,440 de collecter une adresse IP en intégralité on doit la pseudonymiser des activitions 342 00:29:18,440 --> 00:29:22,640 de toute fonction d'import de données externes donc c'est pas de possibilité de faire de 343 00:29:22,640 --> 00:29:26,640 croisement de données donc de pouvoir injecter par exemple des données par défaut qui est 344 00:29:26,640 --> 00:29:31,240 en fait d'un CRM pour pouvoir d'ailleurs avoir plus de sens sur les données qu'on 345 00:29:31,240 --> 00:29:36,600 a à l'intérieur de Matomo, des activations des exports de données contenant des identifiants 346 00:29:36,600 --> 00:29:41,640 uniques ou des données non agrégées donc ça c'est la possibilité un petit peu inverse 347 00:29:41,640 --> 00:29:45,960 de celle-ci c'est la possibilité de pouvoir utiliser des données de Matomo pour venir 348 00:29:45,960 --> 00:29:53,080 derrière transformer d'autres systèmes d'informations existants pour pouvoir exploiter 349 00:29:53,080 --> 00:29:55,080 des données personnelles. 350 00:29:55,080 --> 00:29:58,760 Limitation du dépôt de traisseur à un domaine ou applications mobiles donc ça c'est ce 351 00:29:58,760 --> 00:30:02,920 qu'on appelle le cross-tracking c'est le fait de ne pas pouvoir suivre un utilisateur 352 00:30:02,920 --> 00:30:07,120 d'un site à un autre donc ça c'est notamment utile et on comprend l'intérêt lorsque 353 00:30:07,120 --> 00:30:10,800 je sais pas moi vous visitez un site de recette de cuisine et vous visitez un site automobile 354 00:30:10,800 --> 00:30:14,360 et le propriétaire de ces deux sites c'est le même et du coup la possibilité d'en 355 00:30:14,360 --> 00:30:19,360 pouvoir plus sur vous, la possibilité de pouvoir probablement vous cibler davantage 356 00:30:19,360 --> 00:30:22,320 et de partager des données entre les différents systèmes d'informations alors que vous 357 00:30:22,320 --> 00:30:25,120 ne savez pas que ça appartient à la même entreprise derrière. 358 00:30:25,120 --> 00:30:31,160 Désactivation de la capacité à visualiser un navigateur unique dans l'outil donc ça 359 00:30:31,160 --> 00:30:36,680 c'est à son point en Matomo c'est tout ce qui va être le journal des visites, tout 360 00:30:36,680 --> 00:30:42,280 marquage permettant de récupérer des informations personnelles donc ça ça va être tout identifiant 361 00:30:42,280 --> 00:30:46,200 que vous pouvez y récupérer et existence d'un outil de fonctionnalité d'opposition 362 00:30:46,200 --> 00:30:49,680 au cookie de mesure d'audience donc ça c'est ce qu'on appelle locked out que probablement 363 00:30:49,680 --> 00:30:54,640 certains d'entre vous connaissent déjà qui fait que même si vous n'avez pas donné 364 00:30:54,640 --> 00:30:58,400 votre consentement même si votre solution est exemptée de consentement vous vous devez 365 00:30:58,400 --> 00:31:01,800 quand même d'ailleurs de fournir un mécanisme d'opposition. 366 00:31:01,800 --> 00:31:11,080 Alors passons maintenant à Matomo spécifiquement ce qu'il en est pour la mise en conformité 367 00:31:11,080 --> 00:31:18,040 avec le RGPD donc on a le petit guide de configuration que l'on trouve ici qui est plutôt très 368 00:31:18,040 --> 00:31:21,720 bien fait même si la plupart d'entre nous ont des esprits qui sont toujours un petit 369 00:31:21,720 --> 00:31:26,200 peu torturés on va toujours creuser, creuser, creuser encore davantage mais en l'état il 370 00:31:26,200 --> 00:31:34,400 est vraiment il donne déjà les bonnes directives qu'il y a à suivre alors donc là ils nous 371 00:31:34,400 --> 00:31:40,560 disent deux choses Matomo en mode auto héberger ou Matomo en mode cloud moi pour cette présentation 372 00:31:40,560 --> 00:31:46,680 je vais juste considérer en fait la partie auto héberger pas la partie cloud ce qui 373 00:31:46,680 --> 00:31:51,760 change c'est s'il y a la partie cloud votre DPO a surtout la responsabilité de lier 374 00:31:51,760 --> 00:31:57,240 ici ce qu'on appelle le DPA cette version cloud elle est propre au cloud que propose 375 00:31:57,240 --> 00:32:03,680 l'équipe de Matomo donc matomo.cloud et naturellement ne concerne pas d'autres hébergeurs que 376 00:32:03,680 --> 00:32:08,200 vous pourriez utiliser tel que par exemple Gandhi le fait, Emprunt Digital le fait, 377 00:32:08,200 --> 00:32:13,200 Digitalista B qui est également dans Matomo.cloud le fait donc c'est pour ça que je ne vais 378 00:32:13,200 --> 00:32:17,400 pas trop parler en fait ici de la partie B puisqu'elle est plus elle parle plus de 379 00:32:17,400 --> 00:32:21,440 relations classiques qu'on peut avoir un hébergeur je pense qu'au contraire ce qui nous intéresse 380 00:32:21,440 --> 00:32:25,160 plus ici c'est vraiment la partie en auto héberger c'est à dire c'est vous qui choisissez 381 00:32:25,160 --> 00:32:31,560 le serveur alors dans les choses qu'il y a à savoir pour être en conformité avec 382 00:32:31,560 --> 00:32:36,040 la nouvelle directive de Acneel donc ce guide de mise en conformité n'a plus rien à voir 383 00:32:36,040 --> 00:32:41,920 avec l'ancien qui était sur le site de l'Acneel et qui parlait principalement de l'ancien 384 00:32:41,920 --> 00:32:46,300 nom de la solution qui s'appelait P-Week là il y a certes des choses qui étaient déjà 385 00:32:46,300 --> 00:32:50,240 présentes dans l'ancien guide mais il y a des nouvelles choses qui sont venues qui sont 386 00:32:50,240 --> 00:32:55,200 venues se rajouter alors l'une de ces choses c'est la désactivation des fonctionnalités 387 00:32:55,200 --> 00:33:00,320 d'export alors ces fonctionnalités d'export c'est relatif aux petits liens qui permet 388 00:33:00,320 --> 00:33:05,520 d'exporter des données mais aussi surtout c'est le fait qu'on ne va plus avoir le 389 00:33:05,520 --> 00:33:10,320 droit d'utiliser en gros par défaut l'utilisation du journal des visiteurs ça ça peut être 390 00:33:10,320 --> 00:33:14,920 très embêtant notamment pour les analystes qui font du débogage un petit peu comme moi 391 00:33:14,920 --> 00:33:19,720 cette fonction là vous ne pouvez l'avoir que si vous êtes super utilisateur donc là 392 00:33:19,720 --> 00:33:23,800 dans mon cas de figure je suis super utilisateur donc il n'y a pas de problème donc là je 393 00:33:23,800 --> 00:33:28,840 suis dans ma tombeau si je veux du coup respecter la première consigne que me donne l'Acneel 394 00:33:28,840 --> 00:33:33,880 il va falloir que j'aille ici dans système que je clique ici dans paramètres généraux 395 00:33:33,880 --> 00:33:39,200 et une fois que je suis dans paramètres généraux que je clique sur désactiver le journal des 396 00:33:39,200 --> 00:33:45,840 visites que je vais trouver je vais trouver ici d'accord donc je vais devoir cocher cocher 397 00:33:45,840 --> 00:33:49,520 ces cases là je vais vous montrer tout d'abord ce que c'est que le journal des visites pour 398 00:33:49,520 --> 00:33:54,600 celles et ceux qui n'identifient pas ce que c'est journal des visites c'est ça c'est 399 00:33:54,600 --> 00:33:59,560 une fonctionnalité qui est super géniale qui vous permet justement de pouvoir voir 400 00:33:59,560 --> 00:34:04,240 quelles sont les actions que les utilisateurs effectuent une part donc ça vous n'avez 401 00:34:04,240 --> 00:34:08,080 plus le droit de l'utiliser donc par défaut en tout cas si vous voulez être exempté 402 00:34:08,080 --> 00:34:12,640 de consentement je pense que c'est plutôt compréhensible l'idée qu'un utilisateur 403 00:34:12,640 --> 00:34:16,160 qui revient à plusieurs reprises qui a un certain comportement on va être en mesure 404 00:34:16,160 --> 00:34:21,920 de cette façon de pouvoir le cerner et potentiellement arriver à identifier qui il est si on a une 405 00:34:21,920 --> 00:34:25,800 autre source d'information qui nous dit que je sais pas moi quelqu'un d'autre site 406 00:34:25,800 --> 00:34:30,760 internet par exemple tout ce genre de choses donc voilà pour respecter justement le premier 407 00:34:30,760 --> 00:34:35,960 critère il va falloir que vous cochiez ici vous cliquez aussi sur j'espère que c'est 408 00:34:35,960 --> 00:34:42,280 cette adresse là non c'est pas le bon hop désolé je retourne là où j'étais c'était 409 00:34:42,280 --> 00:34:53,120 j'ai passé mon histoire ok enregistrer donc là on est bon conséquence ça va être quoi 410 00:34:53,120 --> 00:34:58,480 on se dit que maintenant que cette case elle est cochée abracadabra le journal des visites 411 00:34:58,480 --> 00:35:04,960 a disparu le journal des visites a disparu du coup de cet écran là c'est aussi pareil 412 00:35:04,960 --> 00:35:09,640 pour le log segmenté donc là si je vais consulter un rapport archivé et que je vais demander 413 00:35:09,640 --> 00:35:13,440 par exemple ici quels sont les utilisateurs qui viennent de serbie vous voyez que le petit 414 00:35:13,440 --> 00:35:20,880 icône de log segmenté a disparu voilà ça c'est le premier critère deuxième chose 415 00:35:20,880 --> 00:35:24,960 à connaître permettre au refuge permettre aux visiteurs de refuser d'être suivi ce 416 00:35:24,960 --> 00:35:29,280 qu'on appelle l'opt out là il n'y a pas de secret par rapport à l'ancien guide de matomo 417 00:35:29,280 --> 00:35:33,800 ça a toujours été le cas même si vous êtes exempté de consentement vous vous devez 418 00:35:33,800 --> 00:35:39,160 d'offrir un mécanisme d'opposition à votre à votre visiteur donc ça c'est ce qu'on 419 00:35:39,160 --> 00:35:45,840 va retrouver en fait sur la page de privacy policy donc de confidentialité des vies privées 420 00:35:45,840 --> 00:35:51,000 donc vous devez de fournir une information claire à vos utilisateurs et puis vous devez 421 00:35:51,000 --> 00:35:56,080 du coup de pouvoir offrir un mécanisme d'opposition donc là sur cette page de confidentialité 422 00:35:56,080 --> 00:35:59,240 de données vous devez expliquer qu'est ce que c'est que matomo à quoi ça sert quels 423 00:35:59,240 --> 00:36:02,400 sont les données qui sont collectées et vous devez aussi offrir la possibilité à 424 00:36:02,400 --> 00:36:07,080 l'utilisateur ok je veux même si tu collectes des données anonymes sur moi je veux pas 425 00:36:07,080 --> 00:36:11,640 que t'en collecte et s'opposer ça c'est pas bien dur pour le mettre en place il vous 426 00:36:11,640 --> 00:36:17,360 suffit d'aller ici dans matomo, vous allez dans vie privée, dans vie privée vous avez 427 00:36:17,360 --> 00:36:21,320 des inscriptions des utilisateurs et là vous avez un petit iframe que vous pouvez copier 428 00:36:21,320 --> 00:36:26,440 coller si vous trouvez qu'il n'est pas super sexy parce qu'après tout on parle d'un iframe 429 00:36:26,440 --> 00:36:30,120 donc c'est vrai que c'est toujours un petit peu embêtant sachez que vous avez la possibilité 430 00:36:30,120 --> 00:36:36,200 d'ailleurs de pouvoir utiliser du html personnalisé je sais plus où est ce qu'on va retrouver 431 00:36:36,200 --> 00:36:40,960 ça implement a custom visitor without using javascript voilà et là ils ont mis un exemple 432 00:36:40,960 --> 00:36:45,600 complet qui vous permet d'avoir vraiment le script d'outart avec le look and feel de 433 00:36:45,600 --> 00:36:49,680 votre site internet et c'est généralement plus esthétique donc voilà quand on a un 434 00:36:49,680 --> 00:36:52,920 petit peu de temps à passer on préfère plutôt prendre cette solution là plutôt 435 00:36:52,920 --> 00:37:01,040 qu'apprendre l'iframe directement de matomo un point suivant sur notre to-do list vérifier 436 00:37:01,040 --> 00:37:05,040 que les paramètres par défaut de matomo sont toujours en place donc par défaut matomo 437 00:37:05,040 --> 00:37:10,760 va mettre en place l'anonymisation de l'adresse ip alors ici on dit que vérifier les paramètres 438 00:37:10,760 --> 00:37:14,200 par défaut sont toujours en place parce qu'il n'est pas dit que vous ne repreniez pas le 439 00:37:14,200 --> 00:37:19,240 bébé à quelqu'un donc le projet à quelqu'un et que cette personne là peut avoir pour 440 00:37:19,240 --> 00:37:23,720 des raisons x ou y débris des matomo de son fonctionnement par défaut donc en gros il 441 00:37:23,720 --> 00:37:28,560 faut que vous regardiez si là on est bien un minima du coup sur ce niveau d'anonymisation 442 00:37:28,560 --> 00:37:32,080 et que vous n'êtes pas du coup sur quelqu'un qui a changé et qui a découché cette case 443 00:37:32,080 --> 00:37:36,160 là et qui récupère du coup l'intégralité de l'adresse ip énormément par défaut 444 00:37:36,160 --> 00:37:39,480 il y a peu de chances pour que ça bouge mais sait-on jamais je sais pas quelqu'un voulu 445 00:37:39,480 --> 00:37:42,920 débouguer à vouloir en savoir plus sur les utilisateurs s'assurer que les cookies tiers 446 00:37:42,920 --> 00:37:46,520 et cross domain ne sont pas utilisés par défaut matomo utilise uniquement les cookies 447 00:37:46,520 --> 00:37:54,600 de first party donc il n'y a pas besoin de s'en occuper le seul la seule là normalement 448 00:37:54,600 --> 00:37:59,640 par défaut vous ne devriez pas avoir là on rejoint un petit peu le point qu'on vient 449 00:37:59,640 --> 00:38:03,600 d'évoquer peut-être que quelqu'un a fait du travail avant vous et a mis en place le 450 00:38:03,600 --> 00:38:08,000 cross domain et a mis en place la partie cookie tiers là je vais pas trop rentrer dans le 451 00:38:08,000 --> 00:38:12,680 détail il s'agira de mécanique que vous trouverez justement à l'intérieur du fichier 452 00:38:12,680 --> 00:38:16,640 de config de matomo ce sera clairement indiqué ici donc là pour ça faut accéder au serveur 453 00:38:16,640 --> 00:38:21,640 accéder au fichier config.ini.php et de regarder si on a cette ligne de code là qui est installée 454 00:38:21,640 --> 00:38:27,920 si elle n'y est pas bon bah il n'y a pas à se torturer l'esprit c'est qu'il n'y 455 00:38:27,920 --> 00:38:31,480 a pas la fonctionnalité de cookie tiers qui a été mis en place même chose niveau du 456 00:38:31,480 --> 00:38:34,880 cross domain tracking ça c'est quelque chose qu'on va voir directement dans le code de 457 00:38:34,880 --> 00:38:40,840 suivi de matomo il s'agit d'une ligne qui a ajouté en plus d'autres choses mais voilà 458 00:38:40,840 --> 00:38:44,600 ce sont des choses qui sont plutôt visibles donc on voit rapidement si on est sur une 459 00:38:44,600 --> 00:38:49,360 interface custom la plupart du temps vous n'aurez pas à vous en occuper parce que vérifier 460 00:38:49,360 --> 00:38:54,000 tout de même mais dans la plupart des matomo qu'on récupère on n'a jamais de choses 461 00:38:54,000 --> 00:38:55,000 comme ça. 462 00:38:55,000 --> 00:39:00,400 S'assurer que la mesure du user id n'est pas utilisée donc ça user id je l'avais déjà 463 00:39:00,400 --> 00:39:03,400 évoqué un petit peu en introduction ce qui permet de savoir qui est l'utilisateur qui 464 00:39:03,400 --> 00:39:07,400 est derrière ça ça va notamment être installé lorsqu'on a des entraînettes ou lorsqu'on 465 00:39:07,400 --> 00:39:11,520 a des sites e-commerce donc c'est pareil ça s'installe pas comme ça par le saint 466 00:39:11,520 --> 00:39:17,040 esprit c'est qu'il y aura une mécanique qui aura été mis en place donc là par défaut 467 00:39:17,040 --> 00:39:20,920 faut imaginer que vous n'avez pas le droit de collecter cette donnée il va falloir demander 468 00:39:20,920 --> 00:39:25,200 l'accord de l'utilisateur et si vous avez l'accord de l'utilisateur alors vous pouvez 469 00:39:25,200 --> 00:39:29,960 l'utiliser donc là on va nécessairement devoir faire appel à une équipe en intégration 470 00:39:29,960 --> 00:39:34,600 pour justement mettre en place un mode de consentement et pour que les personnes puissent 471 00:39:34,600 --> 00:39:38,200 derrière donner leur accord pour avoir cette donnée collectée. 472 00:39:38,200 --> 00:39:45,240 Le point numéro D est un petit peu une surprise on s'y attendait pas c'est le fait que l'e-commerce 473 00:39:45,240 --> 00:39:50,320 ne peut pas être utilisé du coup par défaut sans avoir l'accord de l'utilisateur donc 474 00:39:50,320 --> 00:39:54,600 là il va falloir du coup désactiver cette option là tant que vous n'avez pas d'ailleurs 475 00:39:54,600 --> 00:39:58,800 l'accord de l'utilisateur donc là on rejoint un petit peu ce qui est ce qui est évoqué 476 00:39:58,800 --> 00:40:03,880 ici pour le user ID c'est à dire qu'on va devoir avoir une pop-up ou une bannière d'informations 477 00:40:03,880 --> 00:40:08,160 pour dire ok est-ce que tu acceptes d'avoir des informations qui sont collectées te concernant 478 00:40:08,160 --> 00:40:09,160 sur l'e-commerce. 479 00:40:09,160 --> 00:40:15,840 Point numéro E aussi même chose j'étais un petit peu surpris de le voir puisque Matomo 480 00:40:15,840 --> 00:40:22,200 a des plugins premium notamment le carte de chaleur et notamment l'enregistrement de 481 00:40:22,200 --> 00:40:26,000 session qu'on appelle heatmap and session recording et là en fait par défaut vous 482 00:40:26,000 --> 00:40:31,520 devez les désactiver donc c'est je pense que c'est une interprétation qui est genre 483 00:40:31,520 --> 00:40:36,280 ok c'est trop intrusif même si ça collecte pas de données personnelles sachant que Matomo 484 00:40:36,280 --> 00:40:41,880 a fourni déjà des mécanismes qui permettent d'enlever tout ce qui va être données personnelles 485 00:40:41,880 --> 00:40:46,320 lorsqu'on les utilise typiquement masquer des champs de formulaires mais là non apparemment 486 00:40:46,320 --> 00:40:50,520 il faut directement par défaut les désactiver on n'a pas le droit de les utiliser tant qu'on 487 00:40:50,520 --> 00:40:55,120 n'a pas l'accord et ensuite donc ça le point numéro 4 c'est celui que j'évoquais un 488 00:40:55,120 --> 00:40:58,000 petit peu dans l'introduction c'est à dire si votre site est mal conçu et que vous avez 489 00:40:58,000 --> 00:41:03,040 des urls qui collectent déjà des données personnelles naturellement il va falloir que 490 00:41:03,040 --> 00:41:08,240 vous mettiez en conformité c'est à dire que vous modifiez votre code de suivi pour 491 00:41:08,240 --> 00:41:14,680 qu'il ne collecte plus du coup ses identifiants dans les urls par chance Matomo met à disposition 492 00:41:14,680 --> 00:41:21,520 un outil qui vous permet d'anonymiser les données du passé donc ça va être le cas 493 00:41:21,520 --> 00:41:33,440 on peut décider de supprimer des données qui sont dans le passé notamment des urls 494 00:41:33,440 --> 00:41:40,800 qui contiendraient du coup des données personnelles je ne sais plus si c'est exactement les urls 495 00:41:40,800 --> 00:41:52,920 les paramètres de requêtes pour sûr les urls je crois qu'il faudrait carrément les 496 00:41:52,920 --> 00:42:02,040 supprimer je ne suis pas sûr que vous s'y analyse à tester puisque là vous pouvez 497 00:42:02,040 --> 00:42:07,560 quand même aller interroger du coup certaines colonnes et les anonymiser voilà ça c'était 498 00:42:07,560 --> 00:42:13,000 ce que je voulais vous montrer du coup sur la partie comment mettre Matomo en conformité 499 00:42:13,000 --> 00:42:19,320 avec le rgpd je regarde vite je vois qu'il est déjà 13h42 sur les diapos qui me restent 500 00:42:19,320 --> 00:42:27,140 alors si je n'ai pas encore parlé du recueil de consentement donc là c'est si vous collectez 501 00:42:27,140 --> 00:42:31,960 des données personnelles qu'est ce qu'il faut faire en fait vous avez directement une 502 00:42:31,960 --> 00:42:38,240 doc sur Matomo qui est assez peu utilisé puisque au final les personnes préfèrent 503 00:42:38,240 --> 00:42:43,040 utiliser directement Matomo avec l'exemption de consentement pour collecter des données 504 00:42:43,040 --> 00:43:00,440 si vous tapez matomo consent type vous allez récupérer vous avez une ligne de code qu'on 505 00:43:00,440 --> 00:43:08,400 peut venir rajouter user for consent how to not track let user opt out ça doit être 506 00:43:08,400 --> 00:43:16,600 excusez-moi il faudrait juste que j'arrive à retrouver pile l'url que je voulais mais 507 00:43:16,600 --> 00:43:25,240 je ne vais pas réussir à la retrouver là dans les temps matomo consent type matomo 508 00:43:25,240 --> 00:43:37,120 consent developer voilà hop c'est ça en fait ça sont les lignes de code que vous 509 00:43:37,120 --> 00:43:42,720 allez devoir utiliser si jamais vous voulez du coup collecter enfin récupérer le consentement 510 00:43:42,720 --> 00:43:47,040 de l'utilisateur pour avoir le droit de collecter de données personnelles sur iloui typiquement 511 00:43:47,040 --> 00:43:50,720 ce qui va être le cas lorsque vous allez développer le tracking e-commerce lorsque 512 00:43:50,720 --> 00:43:55,920 vous allez mettre en place le user ID etc etc donc comme je le disais c'est vrai qu'on 513 00:43:55,920 --> 00:43:59,840 est quand même sur des projets qui sont beaucoup plus avancés qui vont être beaucoup plus 514 00:43:59,840 --> 00:44:05,640 techniques on va devoir solliciter du coup l'équipement en développement et notamment 515 00:44:05,640 --> 00:44:10,080 il va encore plus de travail si vous retrouvez avec des finalités de collecte de données 516 00:44:10,080 --> 00:44:14,280 qui sont différentes puisque autant pour le suivi du commerce électronique c'est assez 517 00:44:14,280 --> 00:44:18,440 simple à justifier de pourquoi vous avez besoin de collecter ces données autant lorsqu'on 518 00:44:18,440 --> 00:44:23,280 utilise le user ID directement tracker l'utilisateur personnellement là c'est différent et probablement 519 00:44:23,280 --> 00:44:25,960 les finalités vont être différentes ce qui veut dire que vous avez probablement 520 00:44:25,960 --> 00:44:32,400 devoir d'ailleurs recueillir plusieurs consentements un pour un pour chacune des actions et qui 521 00:44:32,400 --> 00:44:35,800 vont probablement d'ailleurs être demandés à des endroits qui sont qui sont différents 522 00:44:35,800 --> 00:44:43,600 voilà donc ça c'était ce que je voulais vous présenter et on arrive à la fin de 523 00:44:43,600 --> 00:44:47,720 cette présentation je suis désolé j'ai un petit peu débordé Frédéric je sais pas 524 00:44:47,720 --> 00:44:55,720 s'il ya des questions dans le chat pour le moment non mais je vais inviter tout le monde 525 00:44:55,720 --> 00:45:08,520 qui aura des questions à poser dans le chat j'espère que j'ai été clair avec la présentation 526 00:45:08,520 --> 00:45:14,800 en fait ce qu'il faut retenir surtout c'est que nous en France c'est clairement la CNIL 527 00:45:14,800 --> 00:45:19,800 qu'on doit suivre donc on prend le guide de mise en conformité on l'applique c'est 528 00:45:19,800 --> 00:45:23,440 une sécurité qui est très intéressante puisque le jour où on nous reproche quelque chose 529 00:45:23,440 --> 00:45:26,960 vous pouvez sortir le petit guide que je vous ai montré tout à l'heure et faire 530 00:45:26,960 --> 00:45:31,520 bah regarde j'ai tout appliqué à la lettre et puis ensuite ce qu'il faut surtout comprendre 531 00:45:31,520 --> 00:45:36,240 c'est que pour l'autre cas de figure donc le deuxième que j'ai présenté donc sur 532 00:45:36,240 --> 00:45:44,120 la fin de la conférence là c'est un petit peu plus délicat puisqu'on est vraiment 533 00:45:44,120 --> 00:45:48,360 sur de l'intégration à faire au moment où on va avoir les interactions alors il y a 534 00:45:48,360 --> 00:45:55,080 une question que je t'ai mise dans le dans le chat de Marouane bah un tout d'abord merci 535 00:45:55,080 --> 00:46:01,760 de poser la question de poser une question c'est super sympa et bonjour à toi alors 536 00:46:01,760 --> 00:46:06,080 la question c'est la suivante je comprends qu'avec cette configuration on couvre la 537 00:46:06,080 --> 00:46:13,560 mesure exemptée et le droit à l'opposition donc de toute façon avec cette configuration 538 00:46:13,560 --> 00:46:18,360 alors la configuration que j'ai présenté ça rejoint également ce que j'ai expliqué 539 00:46:18,360 --> 00:46:23,360 en introduction c'est que je n'ai pas parlé du RGPD spécifiquement dans cette conférence 540 00:46:23,360 --> 00:46:27,560 donc le droit à l'opposition c'est une des contradictions dans le dans le RGPD mais 541 00:46:27,560 --> 00:46:30,480 en fait il y en a plein d'autres donc là ce que j'ai montré c'est juste pour avoir 542 00:46:30,480 --> 00:46:35,060 le droit d'être exempté mais derrière ça ne t'exemple pas toi de respecter tous les 543 00:46:35,060 --> 00:46:41,480 autres droits du RGPD qui sont le droit d'accès à l'information pour les visiteurs le droit 544 00:46:41,480 --> 00:46:46,560 d'export des données c'est-à-dire un utilisateur qui demande droit à portabilité données 545 00:46:46,560 --> 00:46:50,120 qui demande du coup à ce que tu exportes les données concernant donc non non il y a 546 00:46:50,120 --> 00:46:55,560 plein d'autres aspects que j'ai pas évoqué qui sont liés au RGPD en général et à 547 00:46:55,560 --> 00:46:59,280 Matomo là c'est vrai que j'ai plus parlé de la mise en pratique de Matomo pour être 548 00:46:59,280 --> 00:47:05,720 exempté de consentement alors la question continue qu'en est-il de la mesure classique 549 00:47:05,720 --> 00:47:12,280 personnalisée quand les utilisateurs donnent leur consentement en fait la mesure classique 550 00:47:12,280 --> 00:47:16,680 moi j'appelle ça plutôt comme tu le dis comme tu montres parenthèse la mesure personnalisée 551 00:47:16,680 --> 00:47:21,760 c'est à dire on va collecter du coup des données des données personnelles sur les utilisateurs 552 00:47:21,760 --> 00:47:25,960 en fait ça change pas grand chose en fait ce qui change simplement le code que tu dois 553 00:47:25,960 --> 00:47:31,160 rajouter pour récupérer justement leur consentement en fait c'est tout c'est juste que c'est 554 00:47:31,160 --> 00:47:35,080 beaucoup plus technique il va y avoir deux conséquences première conséquence naturellement 555 00:47:35,080 --> 00:47:38,520 c'est que dès qu'ils débarquent sur ton site internet tu récupères pas la donnée 556 00:47:38,520 --> 00:47:41,960 donc ça t'as pas le droit de la récupérer tant qu'ils donnent pas leur consentement 557 00:47:41,960 --> 00:47:45,600 maintenant ils vont donner leur consentement donc pour qu'ils donnent leur consentement 558 00:47:45,600 --> 00:47:50,680 tu dois rajouter du code de suivi qui va être spécifique donc là c'est surtout toi de 559 00:47:50,680 --> 00:47:56,800 ton côté tu vas devoir déployer des efforts pour avoir ce code de suivi mis en place et 560 00:47:56,800 --> 00:48:01,080 pour le reste ça change rien pour le reste c'est comme pour la procédure exemptée 561 00:48:01,080 --> 00:48:05,080 des consentements t'as des données qui sont collectées dans matomo tu dois respecter 562 00:48:05,080 --> 00:48:09,040 le rgpd avec un droit à l'information c'est à dire avoir une page de confidentialité 563 00:48:09,040 --> 00:48:14,480 données qui explique ce qui est matomo ce que ça fait etc avoir un droit à l'opposition 564 00:48:14,480 --> 00:48:18,400 ensuite t'es pas exempt du droit à la portabilité t'es pas exempt du droit à la suppression 565 00:48:18,400 --> 00:48:23,040 des données ensuite ça c'est plus le rgpd classique où tu dois avoir ta procédure qui 566 00:48:23,040 --> 00:48:28,960 est qu'en cas de contrôle ou en cas de demande par un data subject par un individu du coup 567 00:48:28,960 --> 00:48:35,240 tu te dois de respecter du coup la procédure alors du coup la question continue on fait 568 00:48:35,240 --> 00:48:39,320 partir un autre tracker qui contiendrait les features avancées user ID et commerce etc 569 00:48:39,320 --> 00:48:45,680 au moment du consentement ouais c'est exactement ça c'est exactement ça t'as tout compris 570 00:48:45,680 --> 00:48:53,520 dans la question c'est mon point d'interrogation et plus derrière sur est ce que ton code 571 00:48:53,520 --> 00:48:58,080 de suivi là t'as le droit de tout déclencher d'un coup en fait ça dépend surtout de 572 00:48:58,080 --> 00:49:02,720 ce que tu mets dans ta bannière d'information parce qu'en fait le rgpd dit bien que tu 573 00:49:02,720 --> 00:49:09,320 dois fournir une information claire et précise donc tu peux pas dire de façon globale en 574 00:49:09,320 --> 00:49:13,520 gros tu m'autorise à tout collecter sur toi quoi en fait ton user ID il est une finalité 575 00:49:13,520 --> 00:49:18,480 ton suivi commerce il est une finalité tes dimensions personnalisées elles ont probablement 576 00:49:18,480 --> 00:49:22,920 une autre finalité peut-être que la finalité c'est la même mais il n'y a rien qui le 577 00:49:22,920 --> 00:49:27,120 dit donc ça de toute façon c'est plus ça à toi de te poser la question de voir avec 578 00:49:27,120 --> 00:49:31,680 des tiers également ce qui s'en pense et à partir de là de décider en fait de faire 579 00:49:31,680 --> 00:49:36,160 soit un message global et en fait la personne te note son autorisation et là ok cool t'envoie 580 00:49:36,160 --> 00:49:40,800 tout d'un coup ou est-ce qu'au contraire il vaut mieux justement les diviser là après 581 00:49:40,800 --> 00:49:45,400 c'est comme le dealer rgpd c'est toujours du bon sens c'est de l'analyse pour moi 582 00:49:45,400 --> 00:49:49,520 l'e-commerce a clairement une finalité qui est bien différente de celle de user 583 00:49:49,520 --> 00:49:54,560 ID l'e-commerce pour moi la finalité c'est améliorer le chiffre d'affaires de ton entreprise 584 00:49:54,560 --> 00:49:57,760 alors que le user edit est clairement sur une fonctionnalité qui est beaucoup plus 585 00:49:57,760 --> 00:50:02,160 intrusive quoi aller suivre l'utilisateur d'une certaine manière à la trace pour savoir 586 00:50:02,160 --> 00:50:06,560 ce qui se passe après tu peux toujours arriver à le justifier d'une autre manière en disant 587 00:50:06,560 --> 00:50:10,480 bah non mais je n'utilise pas le user id moi je pseudonymise le user id donc je ne veux 588 00:50:10,480 --> 00:50:15,360 pas nécessairement savoir qui est la personne d'ailleurs de manière simple voilà tout 589 00:50:15,360 --> 00:50:20,240 ça après ça se discute et ça s'analyse je t'invite également à poser la question 590 00:50:20,240 --> 00:50:25,640 aux tous les autres personnes qui seront présentes à MatomoCamp qui font des confs sur il n'y 591 00:50:25,640 --> 00:50:28,840 en a pas mal je crois qu'il y en a au moins 3 ou 4 autour de la privacy puisqu'ils auront 592 00:50:28,840 --> 00:50:33,080 peut-être du coup une vue une vision qui est complètement différente de celle que 593 00:50:33,080 --> 00:50:36,840 je présente mais en tout cas moi c'est celle que j'ai à première vue quand je quand 594 00:50:36,840 --> 00:50:43,680 je lis les questions et les réponses qui me viennent à la tête j'ai une autre question 595 00:50:43,680 --> 00:50:49,640 donc de Abdel que je salue aussi je remercie de poser cette question tu évoquais que la 596 00:50:49,640 --> 00:50:55,160 remontée e-commerce nécessite le consentement ouais j'étais étonné de le voir et qu'en 597 00:50:55,160 --> 00:51:00,840 effet dans le nouveau guide de la CNIL il le met en fait c'est c'est pas moi qui le 598 00:51:00,840 --> 00:51:03,840 dit directement c'est simplement que c'est écrit directement dans tout le CNIL moi j'aurais 599 00:51:03,840 --> 00:51:08,520 préféré que ce soit pas le cas mais ils l'ont écrit donc c'est comme ça la CNIL considère 600 00:51:08,520 --> 00:51:16,720 donc que c'est une donnée personnelle en tout cas la CNIL considère qu'il faut avoir 601 00:51:16,720 --> 00:51:21,640 l'accord de l'utilisateur pour pouvoir déclencher le code de suivi e-commerce quand on réfléchit 602 00:51:21,640 --> 00:51:29,480 un petit peu à ce qu'il y a derrière quand on visualise le code de Matomo de quoi est-ce 603 00:51:29,480 --> 00:51:32,880 qu'on a besoin le code de Matomo pour qu'il se déclenche donc on garde dans la doc de 604 00:51:32,880 --> 00:51:37,680 Matomo sur le suivi e-commerce et dans le suivi e-commerce une des informations qu'il 605 00:51:37,680 --> 00:51:42,920 a besoin c'est le e-commerce order ID donc en gros le numéro de commande et le numéro 606 00:51:42,920 --> 00:51:45,920 de commande il est clair et net que de toute façon que toi dans la base donnée de ton 607 00:51:45,920 --> 00:51:51,480 site internet tu l'as et tu sais en gros que bah je sais pas moi c'est justement Abdel 608 00:51:51,480 --> 00:51:56,160 T qui a acheté telle paire de chaussures bah forcément du coup c'est par définition 609 00:51:56,160 --> 00:52:01,560 oui c'est une donnée personnelle donc bah ouais il se retrouve du coup dans le scope 610 00:52:01,560 --> 00:52:06,640 on a besoin de l'accord de l'utilisateur pour collecter cette donnée personnelle même 611 00:52:06,640 --> 00:52:11,280 si la commande n'est pas reliée à un ID spécifique pense-tu que cela peut évoluer 612 00:52:11,280 --> 00:52:18,080 bien ça aussi je trouve que c'est toujours une très bonne question que tu poses et qui 613 00:52:18,080 --> 00:52:23,400 fait que moi aussi j'étais un petit peu étonné du fait que c'était dans le guide 614 00:52:23,400 --> 00:52:28,440 puisqu'en effet quand tu regardes ce que dit Matomo enfin en tout cas dans les fonctionnalités 615 00:52:28,440 --> 00:52:33,520 que propose Matomo tu as bien cette possibilité là dans… Frédéric est-ce que tu vois bien 616 00:52:33,520 --> 00:52:38,880 mon écran? Oui oui je le vois. 617 00:52:38,880 --> 00:52:43,920 Ouais est-ce qu'on a bien ici tu vois anonymiser l'identifiant de la commande là on l'a bien 618 00:52:43,920 --> 00:52:50,920 du coup ici dans Matomo et généralement en RG enfin en vie privée on identifie bien 619 00:52:50,920 --> 00:52:55,440 la notion de pseudonyme qui elle reste quand même une donnée personnelle de l'anonymisation 620 00:52:55,440 --> 00:52:59,120 qui elle n'est pas une donnée personnelle donc je suis assez étonné en effet que tout 621 00:52:59,120 --> 00:53:06,200 comme toi que cette fonctionnalité là n'aurait pas été retenue au final par la CNIL et fait 622 00:53:06,200 --> 00:53:15,400 qu'il n'y a pas de… Qu'au final la CNIL considère que non c'est pas suffisant. 623 00:53:15,400 --> 00:53:20,960 Je pense que là à mon avis la question à poser on l'a vu en 80 jours pour avoir une 624 00:53:20,960 --> 00:53:25,360 réponse pour au final une réponse qui tombe à côté je pense que ce qui est plus intéressant 625 00:53:25,360 --> 00:53:31,060 c'est de contacter directement l'équipe de Matomo alors moi j'ai trouvé quelque 626 00:53:31,060 --> 00:53:36,880 chose qui était assez génial dans la doc de l'équipe de Matomo sur la partie rgpd. 627 00:53:36,880 --> 00:53:40,440 Fred, excuse-moi est-ce que tu vois toujours mon écran? 628 00:53:40,440 --> 00:53:41,440 Oui je confirme. 629 00:53:41,440 --> 00:53:49,200 En gros quand on est en charge d'un rgpd et qu'on est une entreprise on est en obligation 630 00:53:49,200 --> 00:53:54,080 d'avoir un DPO et du coup l'équipe de Matomo a un DPO donc là je pense que ta question 631 00:53:54,080 --> 00:53:58,640 elle est super intéressante et qu'il faudrait en fait solliciter le DPO de l'équipe de 632 00:53:58,640 --> 00:54:08,800 Matomo donc ils ont bien un EU representative qui s'appelle Christophe Boer donc ils ont 633 00:54:08,800 --> 00:54:13,400 vraiment une personne dédiée qui est là pour répondre à ce type de questions donc 634 00:54:13,400 --> 00:54:17,320 en fait moi je pense que ça peut être vraiment l'objet d'une super question et je te remercie 635 00:54:17,320 --> 00:54:23,240 de me l'avoir posé de lui écrire et de dire tu es écrit à privacyatmatomo.org et il 636 00:54:23,240 --> 00:54:30,280 lui dit bonjour bonjour Christophe je comprends pas normalement si on anonymise le truc on 637 00:54:30,280 --> 00:54:34,840 devrait du coup et là l'idée c'est de voir ce qui est l'un de les dernières honnêtement 638 00:54:34,840 --> 00:54:39,440 je pense que légalement juridiquement tu risques pas grand chose parce que tu pourras clairement 639 00:54:39,440 --> 00:54:44,000 montrer pas de blanc je vais dire bah regarde s'anonymiser c'est pas pseudonymiser mais 640 00:54:44,000 --> 00:54:49,840 bon mieux vaut quand même avoir un moment donné réponse de quelqu'un qui a peut-être 641 00:54:49,840 --> 00:54:53,280 plus un background juridique donc c'est pour ça qu'à mon avis je pense que c'est peut-être 642 00:54:53,280 --> 00:54:57,080 le réflexe à avoir après la question pourquoi moi je l'ai pas fait parce que j'ai peu le 643 00:54:57,080 --> 00:55:00,080 temps tout simplement mais il faudrait que je le fasse. 644 00:55:00,080 --> 00:55:02,480 Juste il est 13h55 pour info. 645 00:55:02,480 --> 00:55:08,440 Ouais super bah écoute je vais prendre la dernière question et puis après je voudrais 646 00:55:08,440 --> 00:55:10,800 deux minutes pour souffler et faire une dernière conf. 647 00:55:10,800 --> 00:55:15,640 Une question de la part d'Adana est-ce que Matomo ne deviendra pas payant à l'avenir 648 00:55:15,640 --> 00:55:19,960 maintenant parce qu'en fait par définition Matomo c'est un logiciel libre qui vit grâce 649 00:55:19,960 --> 00:55:25,000 à la confiance que lui a donné à la communauté donc de toute façon eux à côté de Matomo 650 00:55:25,000 --> 00:55:29,240 ils ont déjà en place leur business model qui est du cloud qui fonctionne bien qui 651 00:55:29,240 --> 00:55:33,600 sont les fonctionnalités premium qui fonctionnent aussi bien il faut imaginer qu'à partir du 652 00:55:33,600 --> 00:55:38,280 moment où tu as un coup de couteau dans ta communauté qui serait finalement les gars 653 00:55:38,280 --> 00:55:45,040 maintenant on fait un logiciel qui est payant là tu perds ton value proposal enfin tu perds 654 00:55:45,040 --> 00:55:51,000 en gros la valeur ajoutée de tout ce qu'il a fait à renommer tu te récupères en tout 655 00:55:51,000 --> 00:55:55,720 façon on le voit tous les il y en a un des un paquet de concurrents qu'on essayait aussi 656 00:55:55,720 --> 00:55:59,600 de se présenter comme une alternative à Matomo en disant hey nous on a un logiciel 657 00:55:59,600 --> 00:56:02,960 libre bah à partir du moment où ils ont eu un minimum de popularité ils ont fait quoi 658 00:56:02,960 --> 00:56:06,240 ils ont dit oh bah finalement on a un logiciel propriétaire on ferme notre code source et 659 00:56:06,240 --> 00:56:10,200 on devient payant ah bah oui bah du coup il se passe quoi il se passe que leur logiciel 660 00:56:10,200 --> 00:56:14,680 est tombé dans l'oubli parce qu'ils ont tué leur valeur ajoutée donc moi en tout 661 00:56:14,680 --> 00:56:20,360 cas je suis pas inquiet là dessus et puis je pense aussi que ils l'ont déjà prouvé 662 00:56:20,360 --> 00:56:25,760 en part le passé notamment si vous regardez historiquement il y a toute une histoire autour 663 00:56:25,760 --> 00:56:31,480 de piwik pro et et anciennement piwik c'est justement dans cet esprit là que que tout 664 00:56:31,480 --> 00:56:37,200 a été que je pense que Matomo a déjà prouvé qu'ils sont un logiciel libre il le reste 665 00:56:37,200 --> 00:56:41,840 en puisque les gens qui sont derrière on s'advise ok bah voilà il est actuellement 666 00:56:41,840 --> 00:56:45,840 13h57 je vous remercie beaucoup à tous d'avoir assisté à cette conférence et puis je vous 667 00:56:45,840 --> 00:56:49,520 retrouve d'ici à trois minutes pour une nouvelle conférence sur comment développer 668 00:56:49,520 --> 00:56:53,480 tout un business avec Matomo qui sera une conférence en anglais merci à tous et merci 669 00:56:53,480 --> 00:57:13,040 à Frédéric d'avoir modéré cette conférence à bientôt