Une mauvaise utilisation des services d'analyse de Google Analytics et Yandex Metrics peut conduire à un accès restreint au site, a déclaré Roskomnadzor.
Le 19 décembre, le tribunal Tagansky de Moscou, dans un procès intenté par Roskomnadzor contre le registraire de domaine français Gandi SAS, a
décidé de bloquer le site de vote collectif 2019.vote. Plus tôt, le 14 décembre, une
décision a été publiée
d' ajouter le site au registre des contrevenants des processeurs PD comme mesure de sécurité pour le procès, et le 7 décembre, la
restriction de l'accès au site par les fournisseurs :
Le représentant de Roskomnadzor a expliqué qu'à la fin du mois de novembre, le site Web avait reçu des plaintes de plusieurs citoyens anonymes qui se plaignaient du traitement illégal de leurs données sur la page "vote intelligent". Après cela, les employés du département ont effectué leur propre vérification, qui a confirmé l'existence de violations de la loi sur les données personnelles: le formulaire de collecte de données sur le site Web de Navalny ne répondait pas aux critères prescrits par la loi, en outre, la ressource n'avait pas de politique de confidentialité écrite. Ampelonsky a également ajouté que les données des utilisateurs sont stockées sur des serveurs étrangers, ce qui est contraire à la loi.
Lors d'une réunion le 19 décembre, le plaignant a cité l'un des arguments selon lesquels le site Web utilise les systèmes d'analyse Google Analytics et Yandex Metrics en violation de la loi sur la protection des données personnelles et des conditions d'utilisation. Pour preuve, des photos du code HTML du site dans le navigateur Opera ont été fournies. Aujourd'hui,
ILV l'a confirmé dans un communiqué de presse officiel sur son site Internet :
Nous parlons des exigences de la loi fédérale "sur les données personnelles" et des conditions d'utilisation de GoogleAnalytics, qui stipulent l'obligation pour l'administration du site lors de la collecte d'informations personnalisées sur les visiteurs de ce site de les informer de la collecte de données, d'obtenir le consentement à leur traitement et de publier un document réglementant la politique de confidentialité concernant les données collectées .
Cependant, ces exigences ne sont pas remplies par l'administrateur du site 2019.vote.
Ainsi, il ne s'agissait pas de réclamations de Roskomnadzor aux programmes métriques de Google, Yandex LLC, mais de l'administrateur du site Web 2019.vote ne satisfaisant pas aux exigences des programmes métriques GoogleAnalytics, Yandex.Metrica spécifiés dans les conditions d'utilisation.
À cet égard, le tribunal du district de Tagansky de Moscou pour non-conformité, y compris les exigences ci-dessus, a décidé de restreindre l'accès au site jusqu'à ce que les violations identifiées soient éliminées.
Malheureusement, le communiqué de presse n'a pas précisé exactement quelles catégories de services d'analyse de «données personnelles» collectent. Ainsi, lorsque vous étudiez le site officiel d'ILV, vous pouvez trouver des commentaires indiquant que le nom complet, le numéro de téléphone ou l'e-mail peuvent ne pas être des données personnelles, et les compteurs collectent des données moins sensibles comme l'adresse IP (en même temps, ils ne donnent pas un aperçu complet). Par exemple,
les noms complets eux-mêmes ne sont pas considérés comme PD :
3. Question: Le traitement des données personnelles est-il le placement d'un nom, prénom et patronyme sans autres informations supplémentaires?
Réponse: Le fait de placer le nom, le prénom et le patronyme sur les pages Internet sans informations supplémentaires identifiant un individu comme sujet de données personnelles ne peut pas témoigner du traitement des données personnelles d'un individu spécifique.
Le numéro de téléphone du
point de vue de l'ILV n'est pas un PD:
Question: Le traitement des données personnelles, la mise en place d'appels téléphoniques pour mener des enquêtes téléphoniques auprès des citoyens?
Réponse: Conformément à l'art. 3 de la loi fédérale du 27 juillet 2006 n ° 152- «Sur les données personnelles», les données personnelles sont toute information se rapportant directement ou indirectement à une personne physique spécifique ou déterminable (sujet de données personnelles). Le numéro d'abonné (numéro de téléphone) est le numéro attribué à l'abonné (un ensemble de signes numériques) lors de la conclusion d'un accord avec un abonné sur la fourniture de services de communication téléphonique. Ce numéro est utilisé pour indiquer et identifier l'équipement final de l'abonné dans le réseau de communication lors de la connexion des appareils de l'abonné, ce qui signifie que le numéro de téléphone sans indiquer son propriétaire n'est pas une information sur la base de laquelle cette personne (personne concernée) peut être identifiée de manière unique et son utilisation ne peut impliquer le traitement des données personnelles de son propriétaire.
Ne compte pas non plus PD et adresse e-mail :
Par exemple, une photographie, un nom, un numéro de téléphone et une adresse e-mail peuvent identifier une personne de façon assez précise. Mais la photo et le nom "Olya" ne peuvent pas être considérés comme des données personnelles, ainsi qu'une seule adresse e-mail ou numéro de téléphone. Nous parlons d'un ensemble de données.
Malheureusement, de nombreux sites qui utilisent des services d'analyse n'informent pas les visiteurs et ne reçoivent pas leur consentement à la collecte de données. Ces sites, afin d'éviter le blocage, devraient prendre d'urgence des mesures pour corriger la situation. Par exemple, si vous ouvrez le code source du site "Serveur des autorités gouvernementales de la Fédération de Russie"
gov.ru , vous pouvez voir l'utilisation de "Google Analytics" et "Yandex metrics", tandis qu'un avertissement concernant la collecte de données n'est pas affiché et le consentement de l'utilisateur à la collecte de données n'est pas demandé .
Le consentement à la collecte de données n'est également pas demandé sur le site Web
de la partie Russie unie , où les services Live Internet, Yandex Metric, Facebook Pixel (2 copies) et Rambler Top 100 sont installés. Il n'y a rien de tel sur le site Web Vesti.ru, où le nombre de visiteurs de Piwik, Adblockmetrics, Rating@Mail.ru, Yandex Metric, LiveInternet, Google Analytics est impliqué dans le comptage des visiteurs. et les réseaux publicitaires "AdFox", "1banner". Leurs collègues de la
«première» chaîne ne sont pas loin derrière la «deuxième» - sur leur site Web, il y a «non déclaré» «LiveInternet Counter», «Yandex-Metric», «Google Analytics» et des widgets de «Facebook», «VK», «Odnoklassniki» "," Twitter ", collectant également des analyses.
Il convient de noter que le blocage total du site dans la Fédération de Russie n'est pas encore fourni. Selon certains utilisateurs, le site est disponible auprès de leurs fournisseurs utilisant le serveur DNS 8.8.8.8 de Google. À en juger par les enregistrements (
datés du 4.12 et du
14.12 ) sur le site Web de Roskomsvoboda, le site a déjà changé plus de 330 adresses IP, et l'accès «pour l'entreprise» pourrait être limité, comme estimé, à 362 domaines.
Les utilisateurs de Habra utilisant des services d'analyse sont invités à vérifier si les exigences réglementaires sur leurs sites sont respectées.
Ajout : A. Litreev a découvert une divergence avec les exigences du site Web de la Douma d'État en plus de celles mentionnées dans l'article. Il a également constaté qu'il existe un formulaire de rétroaction sur le site Web de la Douma d'État qui recueille les données des utilisateurs. À cette occasion, il a
écrit un appel à Roskomnadzor .
Addition . Selon l'utilisateur Habrahabr, le site de Sberbank peut également ne pas répondre aux exigences de l'ILV. Si vous allez sur le site
www.sberbank.ru avec les outils de développement ouverts sur l'onglet Réseau, vous pouvez voir de nombreux appels aux systèmes d'analyse: "RetailRocket" (un script avec le nom de
suivi tracking.js ), "RuTarget", "Google Analytics", "Google Adsense »,« métrique Yandex »(environ 8 compteurs avec un identifiant différent), scripts Facebook,« Artfut.com »,« Doubleclick »,« Top Mail.ru ». Rappelons qu'ILV a depuis longtemps des
réclamations contre les sociétés étrangères Google et Facebook, en plus de ces dernières, une enquête est en cours aux États-Unis sur le transfert des données des utilisateurs à des sociétés tierces.
De plus, le site Web de la Sberbank contient
un script de «reciblage» de Vkontakte . Ce script transmet à Vkontakte des informations selon lesquelles cet utilisateur du réseau a visité le site Web de Sberbank, et peut être utilisé pour afficher des publicités plus pertinentes, et permet également à Sberbank de «rechercher le public qui visite le site». Le fonctionnement de ce système est décrit dans la
documentation du site de réseau social . Il déclare que:
Le pixel de reciblage VK est un code JavaScript qui est inséré dans le code source du site et vous permet de suivre tous ses visiteurs: dès qu'une personne visite le site, le pixel de reciblage le prend automatiquement en compte.
Si ces fonctionnalités ne suffisent pas, Vkontakte propose des méthodes plus précises pour cibler les annonces sur des utilisateurs spécifiques:
Lors du reciblage d'un fichier, une liste pré-préparée est chargée, qui comprend des numéros de téléphone, des adresses e-mail et / ou des identifiants (ID) de pages VK pour les utilisateurs dont vous avez besoin. Si vous disposez d'une application mobile, vous pouvez également télécharger une liste d'identifiants d'appareils mobiles - identifiants publicitaires d'Apple (IDFA), Android et Google (GAID).
Une fois le fichier téléchargé sur le serveur, toutes les données qu'il contient seront traitées et comparées à la base de données utilisateur VKontakte.
...
Aucun des utilisateurs de la liste de fichiers ne saura comment ajouter du reciblage au public, et nous ne les contacterons en aucune manière sans votre participation.
Avec tout cela, le site de Sberbank ne montre pas à l'utilisateur un avertissement concernant la collecte d'informations à son sujet, ni ne demande son consentement. Il n'y a qu'un avertissement concernant l'utilisation de cookies, et il ne dit rien sur le transfert de données à des sociétés tierces.
La banque et les réseaux sociaux devraient revérifier la conformité du mécanisme de «ciblage regga» avec la législation actuelle afin d'éviter de bloquer leurs services.
Addition : selon les rapports des utilisateurs, un script d'analyse de la société Sputnik, dont la société est Yandex-Metrica, a également été trouvé sur
la page des communiqués de presse du site Web d'ILV . En outre, il existe un
script sur le site Web d'ILV qui contient du code pour analyser l'ordinateur de l'utilisateur pour la présence de programmes d'analyse du trafic, tels que Fiddler. Voici un exemple de code pour détecter cet outil:
t.src = "http://127.0.0.1:8888/FiddlerRoot.cer", t.onerror = function() { if ((new Date).getTime() - e < f) { var t = "Tool: Fiddler; Open Port: 8888";
En plus de Fiddler, la présence des programmes «acunetix», «beef», «burp», «zap», «netsparker», «sleepypuppy», «sonar», «xbackdoor», «xenotix», «dominator», «littleDoctor» et utilisation des utilitaires Casper.js ou Phantom.js. Le consentement de l'utilisateur pour la numérisation et la transmission de données à Sputnik n'est pas demandé par le site Web d'ILV au moment de la publication.
Minute de soins OVNI
Ce matériel peut provoquer des sentiments contradictoires, donc avant d'écrire un commentaire, rafraîchissez quelque chose d'important dans votre mémoire:
Supplément: Le tribunal de Tagansky a rendu une
décision dans cette affaire . Vous pouvez en apprendre beaucoup, notamment:
Cependant, selon des sources «whois», il a été constaté que les services de fourniture de puissance de calcul pour l'hébergement de bases de données contenant des données personnelles de citoyens de la Fédération de Russie, à travers lesquels l'enregistrement, la systématisation, l'accumulation, le stockage, la mise à jour (mise à jour, la modification) et l'extraction des données personnelles des citoyens sont fournis De la Fédération de Russie, constamment connecté à Internet ... est effectué via les installations de serveur de Cloudflare, Inc., situé aux États-Unis d'Amérique
Nous pouvons en tirer les conclusions suivantes:
- l'adresse du bureau de la société à Whois est reconnue par le tribunal comme l'adresse de localisation du serveur avec cette IP
- par whois vous pouvez déterminer l'emplacement géographique de la base de données du site
A noter que selon whois, le site de United Russia utilise Cloudflare, et il s'avère qu'il risque également d'être bloqué.
La cour a également parlé de l'utilisation de l'analyse:
Le représentant du demandeur note également que le défendeur et des tiers utilisent les services Google Analytics et Yandex Metrica, conçus pour évaluer le trafic du site Web et analyser le comportement des utilisateurs, leurs serveurs sont également situés aux États-Unis, l'utilisation des services est la collecte et le traitement de données personnelles, La politique de confidentialité de la ressource Internet 2019.vote sur l'utilisation des services dans le traitement des données personnelles ne contient pas d'informations, ce qui constitue également une violation de la loi fédérale n ° 152.
Ce paragraphe ne peut pas être interprété de manière ambiguë: l'
utilisation de l'analyse est une collecte de données personnelles . Rappelons que l'analyse est utilisée sur un grand nombre de sites, dont le site de United Russia, Channel One et Vesti.
Il est recommandé que les utilisateurs du site examinent la décision du tribunal pour vérifier que leurs sites sont conformes à celle-ci.