Quand je disais que les gargarismes des politiques et entreprises en 🇫🇷 et en 🇪🇺 n’était qu’une façade pour détourner les regards de ce qu’on faisait ici vers les 🇺🇸 …
edps.europa.eu/system/files/20

Europol chopée les doigts dans le pot de confiture avec 4PB de données collectées illégalement. Du même tonneau que le comportement de la NSA & cie.
Quand je vois dis qu’un jour on va se prendre un dans la face et que l’écosystème 🇫🇷 et 🇪🇺 va être TRÈS mal…

@aeris

Un coup de Duckduckgo ou StartPage sur « Schremll » ne me donne rien de probant.

Tu aurais un indice pour mieux comprendre ?

@mmu_man @aeris

Ah OK. Merci (j'ai été trompé par les deux « l » finaux et ma mémoire défaillante qui disait « j'ai un dossier là dessus, mais une recherche exacte ne donne rien… »)

@benoitb @mmu_man Euh en fait c’est encore pire que juste Facebook. Il a carrément fait interdire tout système 🇺🇸 en 🇪🇺 :
cnil.fr/fr/invalidation-du-pri

@aeris @benoitb voui et ce qui l'a remplacé n'est pas mieux…

Follow

@mmu_man @benoitb Ça n’a pas été remplacé. Il est toujours complètement interdit d’utiliser des services 🇺🇸 .

@mmu_man @benoitb La seule manière de le faire est de ne pas envoyer du tout de données à caractère personnel là-bas. C’est impossible dans quasiment tous les cas.

@mmu_man @aeris

Justement, au bureau malgré l'avis clair de la CNIL sur le sujet donné en début d'été, on continue à utiliser Teams et consorts (et même à déployer de nouveaux services basés dessus).
Le nouveau DPO semblait sensible à ces questions mais il se révèle être une plante verte, il "encourage l'utilisation des outils propres" mais sans plus de mordant.
Il y a quelque chose de faisable ?

@benoitb

@Iutech @mmu_man @benoitb En théorie le DPO a tous les pouvoirs, y compris de notifier la CNIL et de saisir les plus hautes instances de l’entreprise.

@Iutech @mmu_man @benoitb Il est indéboulonnable (salarié protégé) et la direction ne peut pas le contourner

@aeris

OK, donc si c'est une plante verte c'est parce qu'il le veut bien donc. 😥
Dommage, il avait l'air sympa et dynamique.

@mmu_man @benoitb

@Iutech @aeris @benoitb ben oué mais c'est qui qui le nomme ? Ça sert à rien le pouvoir si c'est un pote du PDG…

@mmu_man @Iutech @benoitb Il ne peut pas être le pote du PDG. Il ne doit pas avoir de conflit d’intérêt, doit avoir son propre budget, ne peut pas faire parti de la direction ou de tout poste conduisant à décider de l’usage des données ou des choix techniques.

@mmu_man @Iutech @benoitb Ça ne peut pas être un manager, pas un RSSI, pas un dev, pas le juriste de la boîte. Il ne peut pas représenter les intérêts de l’entreprise. Etc.

@aeris @Iutech @benoitb faut encore que quelqu'un fasse la procédure, trouve des preuves…

@aeris @mmu_man @Iutech

« Ça ne peut pas » ou « Ça ne devrait pas » ?

Dans les faits, les conditions que tu énonces sont certainement très rarement respectées, non ?

@benoitb @mmu_man @Iutech Ça ne devrait pas oui. En pratique c’est yolo, mais c’est condamnable. Et ça tombe souvent :
gdprhub.eu/index.php?search="conflict+of+interest"

@Iutech @mmu_man @aeris

On a +/- la même situation. Défense des zélotes : « oui, mais non. On a un super contrat avec Microsoft, plein de garanties »

@benoitb @Iutech @mmu_man 0. Microsoft ne peut pas aller à l’encontre de la loi 🇺🇸 quelque soit ce qui est indiqué dans le contrat.

@benoitb @Iutech @mmu_man C’est tout le problème de FISA : c’est ancré au niveau constitutionel du pays, aucune entreprise ne peut écrire autre chose dans ses contrats et ne peut corriger le trou législatif qui pose problème dans l’arrêt SchremsII

@benoitb

C'est effectivement plus le problème qu'on a ici, et le fait que le DPO a sans doute peur de devoir mettre la moitié du fonctionnement actuel à l'arrêt sans avoir rien à proposer à la place.
Je ne pense pas qu'il y aie chez nous de réel conflit d'intérêt, juste un manque de courage.

@mmu_man @aeris

@Iutech @benoitb @mmu_man EDPB est clair : la survie de l’entreprise n’est pas une justification à laisser faire.

@Iutech @benoitb @mmu_man Et des solutions il y en a. Oui c’est juste incompatible avec la plupart des business modèles du moment. Et le plan de migration suppose de foutre à l’arrêt la prod pendant plusieurs mois.

@Iutech @benoitb @mmu_man A minima de ne plus avoir d’évolution dessus, full focus sur la mise en conformité. 12-18 mois à prévoir. Minimum.

@Iutech @benoitb @mmu_man Même des boîtes se pensant préparées et ayant investies massivement dessus se sont pris une soufflante lors d’un contrôle CNIL. Avec encore 12 mois de boulot à la clef.

@aeris

Tu aurais un texte que je peux lui envoyer, vu qu'on avait de bonnes relations ?

@benoitb @mmu_man

@aeris

Chez nous c'est vraiment pas un problème de business model, juste d'inertie (et du coût du stockage si on doit se passer des 10 To par personne offerts par microsoft et google).

@benoitb @mmu_man

@Iutech @benoitb @mmu_man Ça sera aussi un problème de business modèle. Les infras à mettre en place sont souvent BEAUCOUP plus chères que ce qui est fait actuellement.

@Iutech @benoitb @mmu_man Si tu prononces les termes de IAM/SIEM ou pire IDS/IPS devant un RSSI, il fait un coma, et ton expert-comptable commence à avoir les yeux qui brillent.

@aeris

Justement, tu n'aurais pas un document quelque part (si possible à valeur officielle) expliquant qu'il va bien falloir passer par là, c'est pas juste une option pour le jour où on aura magiquement un budget suffisant ?
Pareil, un document pour expliquer que l'interdiction des outils collaboratifs américains n'est pas juste une option, qu'il faut s'y préparer concrètement et rapidement plutôt que de jouer la montre ?

@benoitb @mmu_man

@Iutech @benoitb @mmu_man La subtilité est que la CNIL/EDPB semble laisser une porte de sortie. En pratique elle n’est pas possible.

@Iutech @benoitb @mmu_man  Le morceau intéressant est ici :

```
Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d'éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles
```

@Iutech @benoitb @mmu_man En pratique, sauf à chiffrer en end-to-end complètement les DCP envoyées à un tiers 🇺🇸 , l’existence de FISA fait qu’il est impossible d’avoir les garanties appropriées. Et donc le transfert doit être suspendu immédiatement.

@Iutech @benoitb @mmu_man Ils ne peuvent pas fermer automatiquement et drastiquement la porte (déjà parce que droit souple, ensuite parce qu’il est effectivement théoriquement possible d’envoyer des données là-bas), mais en pratique tous les services grand public sont rayés de la carte.

@aeris

Et y'a rien en droit/jurisprudence française qui le dit clairement ?
Parce que les documents que tu mets en lien sont intéressants, mais comme tu le fais remarquer les trucs vraiment contraignants sont suffisamment subtils pour que "làlàlàlà j'entends rien" puisse continuer à leur être objecté.
(bon, le coup du Parlement est plus clair, j'avoue)

Notamment une explication de pourquoi la "porte de sortie" dont tu parles est concrètement invalide ?

@benoitb @mmu_man

@aeris

Parce que moi je te crois, hein, mais si je dois expliquer au DPO pourquoi on doit arrêter Teams et OneDrive demain alors que la CNIL parle "d'accompagner la transition" je vais pas savoir comment l'expliquer de façon convaincante.
Surtout que tout le reste de l'administration est "business as usual" et joue la montre.

@benoitb @mmu_man

@Iutech @benoitb @mmu_man La CNIL ne peut rien interdire. Organe de droit souple et les merdeux en profitent (y compris devant le Conseil d’État, coucou l’IAB).

Show newer
Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!