Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierTech Généraliste

Un compteur de visiteurs sur votre site, sans payer un centime

Par : Korben ✨
12 juillet 2026 à 07:45

Vous avez peut-être remarqué un petit point rouge tout en bas de mon site, avec un nombre à côté. Il s'agit du nombre de personnes passées sur le site durant la dernière heure.

Je voulais remettre ce truc depuis un bail, bien à l'ancienne comme dans les années 2000 mais sur un site statique, qui plus est sans tracker de stats JS type Google Analytics ou Matomo, et sans cookies de tracking, c'était pas franchement une option... jusqu'à maintenant !

Le compteur, en vrai, tout en bas de korben.info.

La solution évidente sur des sites statiques, c'est souvent un petit Worker Cloudflare qui compte les visiteurs et servirait le chiffre, mais ça se facture à chaque requête. À 390 000 pages vues par jour, ça grimpe vite à des dizaines de millions d'invocations par mois, soit dans les 6 à 7 dollars. C'est pas super cher mais pour un compteur qui n'est utile qu'à satisfaire mon égo tout en sachant s'il y a du monde aujourd'hui, ça ne sert strictement à rien ! Donc le Worker, je l'ai écarté direct.

Du coup j'ai fait ça à l'ancienne. Un petit script Python tourne sur la machine qui héberge le site, une fois par minute. Il pose une seule question à Cloudflare, à savoir combien d'adresses IP distinctes ont chargé une page durant la dernière heure (ou demi-heure, ou quart d'heure ou 5 min, c'est vous qui paramétrez), il écrit la réponse dans un minuscule fichier live.json de quelques centaines d'octets, et c'est tout. Ce fichier, Cloudflare le sert ensuite depuis son cache comme il servirait une image, gratuitement. Zéro Worker, zéro base de données, zéro abonnement, j'ai exactement le même résultat sans dépenser une thune.

Maintenant, faut que je sois clair sur ce que ce chiffre raconte. C'est le nombre de navigateurs distincts ayant chargé une page durant la dernière heure, hors trafic interne de Cloudflare. C'est un "*combien de monde est passé récemment *", pas un "combien lisent là tout de suite".

Et les bots là-dedans ?

En fait, les bots pourris , ceux qui scrapent en boucle, se font bloquer en amont par le Super Bot Fight Mode de Cloudflare, donc ils n'arrivent même pas jusqu'à mon site. Restent les gentils bots, du genre de Googlebot et compagnie, que je laisse passer exprès, parce que les bloquer reviendrait à me flinguer mon référencement. Sur les 7 derniers jours, Cloudflare classe à peine 4% comme bots vérifiés. Donc c'est une goutte d'eau, surtout qu'ils tournent sur une poignée d'IP. Donc oui, mon compteur avale deux ou trois crawlers au passage, mais je ne voulais pas vous mentir en écrivant "zéro bot". Mais l'essentiel c'est que les nuisibles, eux, ne soient pas comptabilisés.

J'ai aussi dû gérer un petit piège car l'API de Cloudflare plafonne sa réponse à 10 000 lignes. Et comme sur une heure entière de trafic ça peut se remplir vite, si je crève ce plafond, la requête sous-compterait sans rien dire. Donc le script lève un flag et le compteur affiche "10 000 personnes ou plus" plutôt qu'un faux nombre. Quand j'y serai aux 10 000 et plus, je pense que je réduirai alors le delta temps en passant de 1h à 30 min...etc.

Côté vie privée, c'est carré également. Cloudflare renvoie à mon serveur une liste JSON des IP passées dans l'heure, mon script en compte le nombre de distinctes, et efface cette liste de sa mémoire dans la milliseconde qui suit. Aucune IP n'est stockée, aucune n'atterrit dans un log, aucun fichier avec les IPs n'est créé sur le disque... Il ne reste qu'un entier. Comme je vous le disais, pas de cookie , pas de traceur, et rien qui touche votre navigateur . Et comme le compteur ne s'affiche jamais en dessous de 10 personnes, impossible d'isoler qui que ce soit.

Maintenant, si vous voulez le même chez vous, sachez que j'ai tout balancé en open source sur GitHub , sous licence MIT, donc servez-vous. Voici les pré-requis :

  1. votre site doit être derrière Cloudflare, le plan gratuit suffit largement.
  2. vous générez un token API Cloudflare avec le droit de lecture sur les analytics.
  3. vous posez le script live_count.py sur votre serveur et vous le lancez une fois par minute (ou toutes les 5 ou 10 min) via un cron.
  4. vous ajoutez le bout de JavaScript et son span dans vos pages, tout se règle par des attributs, aucun script inline, donc ça passe même avec une politique de sécurité stricte.

Le seul truc sur lequel ne pas vous louper, c'est de mettre un temps de cache court à live.json. Si c'est trop long, tous vos visiteurs verraient un chiffre périmé.

Voilà. Un petit compteur maison simili-live sans tracking et qui ne me coûte rien, c'est le bonheur !

Données de santé Doctolib - Comment vous opposer à leur usage IA ?

Par : Korben ✨
8 juillet 2026 à 17:23

Cet aprem, je bossais tranquillou quand j'ai reçu un mail de DoctoLib qui m'a bien énervé avec pour titre : "Doctolib s'engage dans la recherche pour améliorer la santé". Bon, si on s'arrête au titre, on se dit "Ah bravo, Doctolib", sauf qu'en le lisant en entier, j'ai vite compris qu'ils venaient de décider à ma place que mes données de santé allaient nourrir des trucs, des bidules et des machins pour de la recherche en intelligence artificielle.

Et bien sûr que si ça ne me plaisait pas, bah fallait que je le dise.

Alors ce qu'ils expliquent dans ce mail, c'est qu'à partir d'août 2026, Doctolib lance un projet de recherche mené par une équipe associée à Inria, l'Inserm et l'Université Paris Cité pour, je cite "améliorer les parcours de soins grâce à l'IA". Jusque-là, difficile de cracher dessus, ce sont des institutions publiques sérieuses et l'objectif est louable. Le truc, c'est ce qu'ils vont manger pour y arriver : nos données démographiques, nos données de santé, et même celles de vos proches rattachés à votre compte. Et cela que ces données aient été renseignées par nous ou par nos soignants.

Et surtout, Doctolib ne nous demande pas notre accord. Ils s'appuient sur ce qu'on appelle l'intérêt légitime, une base légale du RGPD qui leur permet de piocher dans nos données sans passer par la case consentement. Hé ouais, en clair, on ne vous prend pas votre consentement, on vous l'enlève. Vous n'avez même pas à dire oui, c'est déjà oui par défaut, et vous êtes obligé de dire non si vous voulez sortir du dispositif.

Ils présentent ça comme de l'intérêt légitime, sauf qu'en même temps on ne sait pas du tout sur quoi ils vont bosser, on ne sait pas avec qui ils vont bosser, on ne sait pas comment nos données seront sécurisées, bref, on ne sait rien du tout. Alors forcément, moi je m'inquiète surtout que leur mail annonce clairement que d'autres travaux suivront, "avec des hôpitaux ou des institutions privées ou publiques". Donc on accepte qu'ils signent à notre place un chèque en blanc avec nos données pour des projets futurs dont personne ne connaît le contenu et basta, tout ça sous couvert d'intérêt légitime. Ce n'est que mon avis mais je trouve ça vraiment léger.

Alors oui, tout ça est parfaitement légal. Doctolib s'appuie sur la méthodologie MR-004 de la CNIL , qui encadre la recherche en santé et autorise justement ce fonctionnement par opposition plutôt que par consentement. Rien d'illégal là-dedans. Mais légal ne veut pas dire que je dois être d'accord.

Et c'est bien ça le problème... Ce cadre légal permet à une entreprise privée comme Doctolib de considérer que nos données de santé lui appartiennent assez pour les offrir (ou les revendre, je n'en sais rien ??) à la recherche, tant que vous ne levez pas la main pour refuser.

Doctolib tente de nous rassurer aussi en expliquant que les données sont pseudonymisées et "ne permettent pas de nous identifier directement". Notez bien le "directement", lol, ça ne se mouille pas trop. En réalité, pseudonymisé, ça ne veut pas dire anonyme... Ça veut seulement dire qu'on a remplacé votre nom par un code, mais que le lien existe toujours quelque part et reste réversible. Aux yeux de la loi, ça reste encore vos données personnelles . La vraie anonymisation, elle, est irréversible, et ce n'est pas ce dont on parle ici.

Et puis il y a le contexte... Non, Doctolib n'a pas subi de grosse fuite de données, il faut être honnête là-dessus mais on nage actuellement dans un écosystème tech en France qui prend l'eau de partout : 33 millions de Français touchés par le piratage des mutuelles Viamedis et Almerys début 2024, une quinzaine de millions de plus avec la fuite Cegedim en 2026. Chaque base de données de santé qui se constitue quelque part, c'est une cible de plus.

Et il y a un mois à peine, le Canard Enchaîné accusait Doctolib de transmettre des infos à Google, Microsoft et Anthropic pour de l'IA. Doctolib a répondu que ces boîtes n'étaient que des prestataires techniques qui n'entraînent pas leurs modèles avec vos données. Alors peut-être, hein, mais quand on nous demande de faire confiance sur parole pour des données aussi intimes que notre santé, l'inquiétude a le droit d'exister.

Bref, moi je m'oppose, et si vous êtes sur Doctolib je vous invite au moins à décider en connaissance de cause. Le mail est probablement arrivé dans vos spams, donc pour refuser, sachez que ça se passe dans les paramètres de confidentialité de votre compte, via le formulaire d'exclusion de la recherche . Ça bloque toute utilisation future de vos données et de celles de vos proches, sans aucun impact sur vos rendez-vous ni sur vos soins. Faites-le avant août 2026, car c'est le moment où le premier projet démarre.

Enfin bref, moi je pense qu'on devrait avoir à donner son accord, et pas à courir derrière ces boîtes pour retirer un accord qu'on n'a jamais donné en pleine conscience... C'est ça qui me dérange surtout.

Le dernier mail de Doctolib cache un projet d’IA : voici comment s’y opposer

8 juillet 2026 à 11:09

Dans un mail envoyé le 8 juillet 2026, Doctolib présente son nouveau projet de recherche en santé. Mais derrière une formulation très institutionnelle, il est surtout question d’IA clinique et de données de santé potentiellement utilisées, sauf opposition des utilisateurs.

❌
❌