Follow

Petit bilan de 3 ans de du coup :
- 27 demandes d’accès
- 3 correctement répondues… 😑
- 8 plaintes CNIL
- 1 condamnation 2.25 millions d’euro

Mon avis sur le ? Tout le monde en a strictement rien à foutre. Les régulateurs comme les entreprises…

Côté entreprises, on continue à voir tout et surtout n’importe quoi. Le taff de @ExodusPrivacy le montre très bien.
Ça génère trop de cash, ça remet en question tous les business modèles ou presque. Trop de boîtes mourraient juste à ne serait-ce que l’appliquer à 10%.

Le régulateur est à l’arrêt complet, en particulier en France. Je n’ai rien contre toi @CNIL, mais quand je vois mes plaintes et le résultat à la fin…

Une boîte est (massivement) connue depuis 3 ans pour vendre l’intégralité de sa base de données. La seule réponse reçue aura été « on a pas de lignes directrices, déso ».

3 ans, les mêmes problèmes remontés au moins 5× de la part de la même boîte avec les mêmes mécanismes. QUE. DALLE.
Tu m’étonnes que ça continue.

Pour discuter pas mal avec les potes DPO & assimilés, la situation est littéralement catastrophique. DPO interne, c’est se foutre toute la boîte à dos et partir en burn-out. DPO externe, c’est rompre son contrat très rapidement devant l’inaction constatée…

« fouille-merde », « chieur », et « poil à gratter » sont les qualificatifs qui reviennent très régulièrement dans les discussions sur le sujet.

J’ai une boîte que je cite en exemple régulièrement de mise et de maintien en conformité : @mediapart
Mais forcément avec le bulldozer-tank de @OpenPony à la conformité, ça aide 🤣
« C’est pas conforme ça. Je ne veux plus ça en prod. Et pour demain max » 🤣

La conformité est généralement mal voire pas comprise par les dirigeants. Être conforme, ce n’est pas « faire mieux que Google ». Déjà parce que Google est généralement plus conforme que vous sur ses process internes (sur ses produits c’est autre chose par contre). Ensuite parce qu’être conforme RGPD c’est être conforme RGPD. Pas à moitié.

Ce n’est pas parce que vous ne revendez pas les données et qu’elles ne sortent pas de chez vous que vous êtes conformes. Le simple fait de les détenir fait peser sur vous l’intégralité du RGPD. Parce que la collecte est **DÉJÀ** un traitement en soi.

Je l’ai déjà dis ici mais je le répète du coup. La conformité, c’est l’intégralité de la chaîne qui doit dormir, manger et pisser RGPD du lundi 8h au vendredi 18h. Du tecos au juriste en passant par les RH ou les UI/UX.
Pas une décision sans intégration d’une réflexion RGPD sur le sujet.

Côté régulateurs, les « gros » ne bougent pas des masses, comme la France et la Grande-Bretagne. Manque de moyens ou blocages politiques, certainement un mélange des 2.

Les petits se sont sortis un peu les doigts par contre. J’aime particulièrement l’Espagne qui s’est surtout attaqué à l’autre bout de la chaîne, avec toutes les petites non conformités au lieu de taper les GAFAM et le CAC40.

Ça fait bizarre de voir autant de condamnation de particuliers par exemple. Oui, le RGPD s’applique aussi à l’ensemble des données personnelles que vous détenez. Photo, email, …

Et j’ai aussi particulièrement adoré les condamnations de voyeurs et pédophiles sur des motifs RGPD, plus rapides et efficaces certainement à prendre que des décisions pénales (qui devraient arriver derrière quand même j’espère).

@aeris

C'est pas en train de changer justement ?
La CNIL a toujours dit qu'ils y allaient très progressivement, mais à ma connaissance fermement aussi.

@tmp Parce que l’exception domestique s’applique uniquement dans un cadre strictement personnel.

@aeris c'est-à-dire ?
Si j'écris un mail à une personne et que j'ai son contact, ça compte ? Si je prends une photo de gens dans la rue, pareil ?

@tmp Ça dépend de ce que tu en fais derrière. Mais la notion de « strictement personnelle » a été strictement appliquée. Envoyer un email à 250 personnes en BCC a été considéré comme plus strictement personnel et sanctionner de 2000€ d’amende.

@tmp Pardon, c’était justement pas en BCC mais en CC/TO

@aeris et ouais et comment j'ai peur grave pour les petites associations sportive, culturelles locales etc qui font d eleur mieux mais que quand ça va leur tomber sur le coin du museau, ça va faire très mal (et ce sera tellement plsu facile chez eux hein !)

@aeris Tiens ça me rappelle le fonctionnement de la finance internationale 🧐

@aeris
la réponse à ce foutoir généralisé est la degooglelisation générale, moins de GAFAM + de liberté.
Reste que pour se débarrasser de tous c'est pas facile.
plus de Microsoft j'utilise debian et 100% de libre
plus de Apple.
pas de Facebook, Instagram, Twitter, WhatsApp
un peu de Amazon.fr pour quelques bricoles mais j'utilise le + possible l'achat local.
Reste à me débarrasser de Google mais côté smartphone le choix est limité.
Quand au mail je ne suis pas encore totalement indépendant

@aeris
De tout facon, il n'y a pas vraiment de sanction et qd il y en a c'est plus politique qu'autre chose.
En gros , l'idee est bonne, mais je soupsonne qu'elle est juste la pour empecher les GAFAM de prendre tes donnees de facon a ce que les boites nationnales puissent se servir. Bref, c'est pas vraiment fait pour proteger le citoyen

@aeris
une remarque supplementaire:
Ceux qui sont supposes le mettre en pratique en interne ne recoivent qu'une formation rapide et sont sous-paye.
Ceci montre l'implication du legislateur plus prompt a faire de l'affichage qu'autre chose

@aeris Tu as fait condamner une boite à 2.25 millions 🤔
Laquelle ?

@aeris
Celles qui d'y conforment sont celles trop petites pour prendre un risque et dont la donnée n'est pas le fondement de l'activité.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!