I totally like the QoL oneboxes bring to the Discourse users. However, i stumbled upon the following ‘issue’:
While Youtube for example is embedded via LazyYT and therefore doesn’t load the iframe and attached cookies until the users presses play, this functionally seems to be absent for every other player onebox.
Vimeo for example loads the entire iframe, player and cookies on page load
Therefore my question: Is it planned to replicate the LazyYT functionality on other oneboxes like Vimeo or how would be the best way to go about it on my own. I am aware that i am able to simply blacklist Vimeo and the like which only should be my last resort, though.
I know it is debatable if this is necessary to comply with GDPR, but nonetheless I think better control over embedded 3rd party content would be worthwhile as the LazyYT example shows to some extent.
As I see it every of those iframes transfers IP, and load third-party non-essential cookies for every user (also not registered ones) before they are able to agree with that.
Apart from that especially topics with multiple embeds could run into performance issues when for example 10 players are loading at the same time.
LazyYT does it pretty fine I think, and Preview in post creation. (Option for a 3rd party hint on top of the preview image could be helpful, too)
I’ve noticed a few European websites now let the user decide whether they want to see embedded content. This is especially useful for sites that are known to follow you around the web and build a profile even if you haven’t signed up with them. I’d like to give community members that kind of control over their privacy.
show content from Facebook
Something like this near every embed or in the user preferences might be too much for some, though. A more seamless alternative could be Embetty: https://github.com/heiseonline/embetty
Maybe a first simple step would be to implement a general option in the user settings to enable/disable 3rd party content, activating/deactivating the onebox feature on a per user base?
We are also craving for an option like this, but are not really able to implement it.
J’ai trouvé ce sujet après que des préoccupations aient été soulevées par nos utilisateurs. Discourse charge le contenu de Youtube (l’image de la vidéo) sans le consentement des utilisateurs… De plus, nous ne pouvons fournir aucune information à l’utilisateur sur ce que cela signifie lorsqu’il clique sur la vidéo. Je doute donc que ce soit un consentement valide pour transmettre des informations à Youtube, car Discourse chargera davantage de scripts, etc. de Youtube.
Existe-t-il une solution pour rendre Discourse conforme au RGPD autre que la désactivation de OneBoxing ?
Strictement parlant, l’intégration d’images provenant d’URL tierces pose également problème. Est-ce que cela peut être désactivé ?
Avec YouTube, il n’y a pas de problème de RGPD en soi. Dites simplement aux utilisateurs que le tiers est responsable du respect du RGPD — ce qu’ils doivent réellement faire, et ce que YouTube/Google fait réellement. La même chose que vous devez faire avec Analytics, par exemple. TikTok est un point d’interrogation beaucoup plus important.
Avec les images, vous ne divulguez pas de données personnelles, à ma connaissance.
Si un site Web demande au navigateur de récupérer des ressources auprès d’un tiers, l’adresse IP est (pour des raisons inévitables) transmise à ce tiers. Et l’opérateur de ce site Web est tenu pour responsable de ce transfert de données. Comme l’adresse IP peut être utilisée pour identifier des individus, elle est protégée par le RGPD.
C’est pourquoi les sites Web s’assurent d’héberger les polices sur leur propre serveur au lieu de les référencer depuis Google Fonts. Juste le premier résultat de Google : Google Fonts and GDPR: How to Stay Compliant? - CookieYes
Oui, c’est aussi simple que ça. Et l’adresse IP n’est pas protégée, car elle est inutile pour identifier une personne. Elle fait partie des données techniques qu’il est toujours permis d’utiliser et de stocker tant que nécessaire.
Je ne suis pas sûr de la juridiction dans laquelle vous vivez, mais dans la mienne, les tribunaux ont déjà statué que l’utilisation de Google Fonts sans le consentement de l’utilisateur n’est pas conforme au RGPD.
Pour autant que je sache, c’est une préoccupation légitime. Cela a déjà été soulevé sur Meta : Embed YouTube videos with enhanced privacy mode (youtube-nocookie.com). C’est aussi quelque chose que j’ai essayé d’aider les propriétaires de sites avec via le support privé par le passé.
Il y a quelques détails dans le lien que j’ai posté ci-dessus concernant le domaine alternatif youtube-nocookie.com. Il serait possible pour les onebox Youtube de Discourse de proposer une option pour intégrer des vidéos de ce domaine. La réponse de l’équipe Discourse dans ce sujet indique pourquoi cela n’a pas encore été implémenté.
Il convient de noter que même avec le domaine youtube-nocookie.com, Youtube définit toujours des cookies de suivi sur le navigateur, il ne définit simplement pas de cookies liés au marketing.
En cherchant sur le web des exemples de sites qui ont implémenté des vidéos Youtube intégrées d’une manière conforme au RGPD, le mieux que j’ai trouvé est ceci : YouTube and Vimeo without Cookies | CookieTractor. Il provient d’une entreprise qui gère un service de gestion des cookies, donc cela pourrait biaiser l’article. Ce qui est intéressant, c’est la démo de la vidéo Youtube. Pour l’essayer, cliquez sur le lien “vos paramètres de cookies” de la page et rechargez la page. Il vaut la peine d’essayer les trois options de cookies possibles pour voir comment les choses sont gérées.
Quelque chose de similaire pourrait être implémenté par Discourse. Essayer d’intégrer Discourse avec des systèmes tiers de gestion des cookies est un casse-tête.
Notez que je n’ai pas d’opinion tranchée à ce sujet et que je ne vis pas dans l’UE. Je réponds ici parce que je sais que c’est quelque chose qui préoccupe les propriétaires de sites et qu’ils ont eu du mal à implémenter en utilisant des services externes.
show content from Facebook
