Quand je disais que les gargarismes des politiques et entreprises en đŸ‡«đŸ‡· et en đŸ‡ȘđŸ‡ș n’était qu’une façade pour dĂ©tourner les regards de ce qu’on faisait ici vers les đŸ‡ș🇾 

edps.europa.eu/system/files/20

Follow

Europol chopĂ©e les doigts dans le pot de confiture avec 4PB de donnĂ©es collectĂ©es illĂ©galement. Du mĂȘme tonneau que le comportement de la NSA & cie.
Quand je vois dis qu’un jour on va se prendre un dans la face et que l’écosystĂšme đŸ‡«đŸ‡· et đŸ‡ȘđŸ‡ș va ĂȘtre TRÈS mal


· · 1 · 11 · 5

@aeris

Un coup de Duckduckgo ou StartPage sur « Schremll » ne me donne rien de probant.

Tu aurais un indice pour mieux comprendre ?

@mmu_man @aeris

Ah OK. Merci (j'ai Ă©tĂ© trompĂ© par les deux « l » finaux et ma mĂ©moire dĂ©faillante qui disait « j'ai un dossier lĂ  dessus, mais une recherche exacte ne donne rien
 »)

@benoitb @mmu_man Euh en fait c’est encore pire que juste Facebook. Il a carrĂ©ment fait interdire tout systĂšme đŸ‡ș🇾 en đŸ‡ȘđŸ‡ș :
cnil.fr/fr/invalidation-du-pri

@aeris @benoitb voui et ce qui l'a remplacé n'est pas mieux


@mmu_man @benoitb Ça n’a pas Ă©tĂ© remplacĂ©. Il est toujours complĂštement interdit d’utiliser des services đŸ‡ș🇾 .

@mmu_man @benoitb La seule maniĂšre de le faire est de ne pas envoyer du tout de donnĂ©es Ă  caractĂšre personnel lĂ -bas. C’est impossible dans quasiment tous les cas.

@mmu_man @aeris

Justement, au bureau malgrĂ© l'avis clair de la CNIL sur le sujet donnĂ© en dĂ©but d'Ă©tĂ©, on continue Ă  utiliser Teams et consorts (et mĂȘme Ă  dĂ©ployer de nouveaux services basĂ©s dessus).
Le nouveau DPO semblait sensible Ă  ces questions mais il se rĂ©vĂšle ĂȘtre une plante verte, il "encourage l'utilisation des outils propres" mais sans plus de mordant.
Il y a quelque chose de faisable ?

@benoitb

@Iutech @mmu_man @benoitb En thĂ©orie le DPO a tous les pouvoirs, y compris de notifier la CNIL et de saisir les plus hautes instances de l’entreprise.

@Iutech @mmu_man @benoitb Il est indéboulonnable (salarié protégé) et la direction ne peut pas le contourner

@aeris

OK, donc si c'est une plante verte c'est parce qu'il le veut bien donc. đŸ˜„
Dommage, il avait l'air sympa et dynamique.

@mmu_man @benoitb

@Iutech @aeris @benoitb ben ouĂ© mais c'est qui qui le nomme ? Ça sert Ă  rien le pouvoir si c'est un pote du PDG


@mmu_man @Iutech @benoitb Il ne peut pas ĂȘtre le pote du PDG. Il ne doit pas avoir de conflit d’intĂ©rĂȘt, doit avoir son propre budget, ne peut pas faire parti de la direction ou de tout poste conduisant Ă  dĂ©cider de l’usage des donnĂ©es ou des choix techniques.

@mmu_man @Iutech @benoitb Ça ne peut pas ĂȘtre un manager, pas un RSSI, pas un dev, pas le juriste de la boĂźte. Il ne peut pas reprĂ©senter les intĂ©rĂȘts de l’entreprise. Etc.

@aeris @Iutech @benoitb oué et les députés représentent le peuple.

@aeris @Iutech @benoitb faut encore que quelqu'un fasse la procédure, trouve des preuves


@aeris @mmu_man @Iutech

« Ça ne peut pas » ou « Ça ne devrait pas » ?

Dans les faits, les conditions que tu énonces sont certainement trÚs rarement respectées, non ?

@benoitb @mmu_man @Iutech Ça ne devrait pas oui. En pratique c’est yolo, mais c’est condamnable. Et ça tombe souvent :
gdprhub.eu/index.php?search="conflict+of+interest"

@Iutech @mmu_man @aeris

On a +/- la mĂȘme situation. DĂ©fense des zĂ©lotes : « oui, mais non. On a un super contrat avec Microsoft, plein de garanties »

@benoitb @Iutech @mmu_man 0. Microsoft ne peut pas aller Ă  l’encontre de la loi đŸ‡ș🇾 quelque soit ce qui est indiquĂ© dans le contrat.

@benoitb @Iutech @mmu_man C’est tout le problĂšme de FISA : c’est ancrĂ© au niveau constitutionel du pays, aucune entreprise ne peut Ă©crire autre chose dans ses contrats et ne peut corriger le trou lĂ©gislatif qui pose problĂšme dans l’arrĂȘt SchremsII

@benoitb

C'est effectivement plus le problĂšme qu'on a ici, et le fait que le DPO a sans doute peur de devoir mettre la moitiĂ© du fonctionnement actuel Ă  l'arrĂȘt sans avoir rien Ă  proposer Ă  la place.
Je ne pense pas qu'il y aie chez nous de rĂ©el conflit d'intĂ©rĂȘt, juste un manque de courage.

@mmu_man @aeris

@Iutech @benoitb @mmu_man EDPB est clair : la survie de l’entreprise n’est pas une justification à laisser faire.

@Iutech @benoitb @mmu_man Et des solutions il y en a. Oui c’est juste incompatible avec la plupart des business modĂšles du moment. Et le plan de migration suppose de foutre Ă  l’arrĂȘt la prod pendant plusieurs mois.

@Iutech @benoitb @mmu_man A minima de ne plus avoir d’évolution dessus, full focus sur la mise en conformitĂ©. 12-18 mois Ă  prĂ©voir. Minimum.

@Iutech @benoitb @mmu_man MĂȘme des boĂźtes se pensant prĂ©parĂ©es et ayant investies massivement dessus se sont pris une soufflante lors d’un contrĂŽle CNIL. Avec encore 12 mois de boulot Ă  la clef.

@aeris

Tu aurais un texte que je peux lui envoyer, vu qu'on avait de bonnes relations ?

@benoitb @mmu_man

@aeris

Chez nous c'est vraiment pas un problÚme de business model, juste d'inertie (et du coût du stockage si on doit se passer des 10 To par personne offerts par microsoft et google).

@benoitb @mmu_man

@Iutech @benoitb @mmu_man Ça sera aussi un problùme de business modùle. Les infras à mettre en place sont souvent BEAUCOUP plus chùres que ce qui est fait actuellement.

@Iutech @benoitb @mmu_man Si tu prononces les termes de IAM/SIEM ou pire IDS/IPS devant un RSSI, il fait un coma, et ton expert-comptable commence Ă  avoir les yeux qui brillent.

@aeris

Justement, tu n'aurais pas un document quelque part (si possible Ă  valeur officielle) expliquant qu'il va bien falloir passer par lĂ , c'est pas juste une option pour le jour oĂč on aura magiquement un budget suffisant ?
Pareil, un document pour expliquer que l'interdiction des outils collaboratifs américains n'est pas juste une option, qu'il faut s'y préparer concrÚtement et rapidement plutÎt que de jouer la montre ?

@benoitb @mmu_man

@Iutech @benoitb @mmu_man La subtilitĂ© est que la CNIL/EDPB semble laisser une porte de sortie. En pratique elle n’est pas possible.

Show newer

@aeris @benoitb @mmu_man

Dans les faits bien peu s'en préoccupent.
Voir sncf avec le service clients, Airbus, etc.

Ca vaudrait le coup de demander à la SNCF leur niveau de conformité avec Schrems II tiens.
db

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!