@mmu_man @aeris

Justement, au bureau malgré l'avis clair de la CNIL sur le sujet donné en début d'été, on continue à utiliser Teams et consorts (et même à déployer de nouveaux services basés dessus).
Le nouveau DPO semblait sensible à ces questions mais il se révèle être une plante verte, il "encourage l'utilisation des outils propres" mais sans plus de mordant.
Il y a quelque chose de faisable ?

@benoitb

@Iutech @mmu_man @benoitb En théorie le DPO a tous les pouvoirs, y compris de notifier la CNIL et de saisir les plus hautes instances de l’entreprise.

@Iutech @mmu_man @benoitb Il est indéboulonnable (salarié protégé) et la direction ne peut pas le contourner

@aeris

OK, donc si c'est une plante verte c'est parce qu'il le veut bien donc. 😥
Dommage, il avait l'air sympa et dynamique.

@mmu_man @benoitb

@Iutech @aeris @benoitb ben oué mais c'est qui qui le nomme ? Ça sert à rien le pouvoir si c'est un pote du PDG…

@mmu_man @Iutech @benoitb Il ne peut pas être le pote du PDG. Il ne doit pas avoir de conflit d’intérêt, doit avoir son propre budget, ne peut pas faire parti de la direction ou de tout poste conduisant à décider de l’usage des données ou des choix techniques.

@mmu_man @Iutech @benoitb Ça ne peut pas être un manager, pas un RSSI, pas un dev, pas le juriste de la boîte. Il ne peut pas représenter les intérêts de l’entreprise. Etc.

@aeris @Iutech @benoitb oué et les députés représentent le peuple.

@mmu_man @Iutech @benoitb https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-cest-quoi-un-conflit-dinterets-pour-un-delegue-la-protection
Et c’est condamnable : https://mon-dpo-externe.com/amende-pour-conflit-dinteret-entre-la-fonction-de-dpo-et-de-directeur-des-risques-conformite-et-audit-interne/

@aeris @Iutech @benoitb faut encore que quelqu'un fasse la procédure, trouve des preuves…

@aeris @mmu_man @Iutech

« Ça ne peut pas » ou « Ça ne devrait pas » ?

Dans les faits, les conditions que tu énonces sont certainement très rarement respectées, non ?

@benoitb @mmu_man @Iutech Ça ne devrait pas oui. En pratique c’est yolo, mais c’est condamnable. Et ça tombe souvent :
https://gdprhub.eu/index.php?search="conflict+of+interest"

@Iutech @mmu_man @aeris

On a +/- la même situation. Défense des zélotes : « oui, mais non. On a un super contrat avec Microsoft, plein de garanties »

@benoitb @Iutech @mmu_man 0. Microsoft ne peut pas aller à l’encontre de la loi 🇺🇸 quelque soit ce qui est indiqué dans le contrat.

@benoitb @Iutech @mmu_man C’est tout le problème de FISA : c’est ancré au niveau constitutionel du pays, aucune entreprise ne peut écrire autre chose dans ses contrats et ne peut corriger le trou législatif qui pose problème dans l’arrêt SchremsII

@benoitb

C'est effectivement plus le problème qu'on a ici, et le fait que le DPO a sans doute peur de devoir mettre la moitié du fonctionnement actuel à l'arrêt sans avoir rien à proposer à la place.
Je ne pense pas qu'il y aie chez nous de réel conflit d'intérêt, juste un manque de courage.

@mmu_man @aeris

@Iutech @benoitb @mmu_man EDPB est clair : la survie de l’entreprise n’est pas une justification à laisser faire.

@Iutech @benoitb @mmu_man Et des solutions il y en a. Oui c’est juste incompatible avec la plupart des business modèles du moment. Et le plan de migration suppose de foutre à l’arrêt la prod pendant plusieurs mois.

@Iutech @benoitb @mmu_man A minima de ne plus avoir d’évolution dessus, full focus sur la mise en conformité. 12-18 mois à prévoir. Minimum.

@Iutech @benoitb @mmu_man Même des boîtes se pensant préparées et ayant investies massivement dessus se sont pris une soufflante lors d’un contrôle CNIL. Avec encore 12 mois de boulot à la clef.

@Iutech @benoitb @mmu_man Au pif https://blog.alan.com/tech-et-produit/controles-par-la-cnil
Voir aussi le taff monstrueux de @OpenPony pour @Mediapart

@aeris

Tu aurais un texte que je peux lui envoyer, vu qu'on avait de bonnes relations ?

@benoitb @mmu_man

@aeris

Chez nous c'est vraiment pas un problème de business model, juste d'inertie (et du coût du stockage si on doit se passer des 10 To par personne offerts par microsoft et google).

@benoitb @mmu_man

@Iutech @benoitb @mmu_man Ça sera aussi un problème de business modèle. Les infras à mettre en place sont souvent BEAUCOUP plus chères que ce qui est fait actuellement.

@Iutech @benoitb @mmu_man Si tu prononces les termes de IAM/SIEM ou pire IDS/IPS devant un RSSI, il fait un coma, et ton expert-comptable commence à avoir les yeux qui brillent.

@aeris

Justement, tu n'aurais pas un document quelque part (si possible à valeur officielle) expliquant qu'il va bien falloir passer par là, c'est pas juste une option pour le jour où on aura magiquement un budget suffisant ?
Pareil, un document pour expliquer que l'interdiction des outils collaboratifs américains n'est pas juste une option, qu'il faut s'y préparer concrètement et rapidement plutôt que de jouer la montre ?

@benoitb @mmu_man

@Iutech @benoitb @mmu_man https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd
https://www.dalloz-actualite.fr/node/schrems-ii-repercussion-francaise

@Iutech @benoitb @mmu_man La subtilité est que la CNIL/EDPB semble laisser une porte de sortie. En pratique elle n’est pas possible.

@Iutech @benoitb @mmu_man  Le morceau intéressant est ici :

```
Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d'éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles
```

@Iutech @benoitb @mmu_man En pratique, sauf à chiffrer en end-to-end complètement les DCP envoyées à un tiers 🇺🇸 , l’existence de FISA fait qu’il est impossible d’avoir les garanties appropriées. Et donc le transfert doit être suspendu immédiatement.

@Iutech @benoitb @mmu_man Ils ne peuvent pas fermer automatiquement et drastiquement la porte (déjà parce que droit souple, ensuite parce qu’il est effectivement théoriquement possible d’envoyer des données là-bas), mais en pratique tous les services grand public sont rayés de la carte.

@Iutech @benoitb @mmu_man Et les 1ères sanctions sont tombées.
https://gdprhub.eu/index.php?title=CNPD_(Portugal)_-_Delibera%C3%A7%C3%A3o/2021/622
https://gdprhub.eu/index.php?title=BayLfD_(Bavaria)_-_LDA-1085.1-12159/20-IDV
Ou encore plus lol https://gdprhub.eu/index.php?title=EDPS_-_2020-1013

@Iutech @benoitb @mmu_man Et du coup sur les délais d’action

@aeris

Et y'a rien en droit/jurisprudence française qui le dit clairement ?
Parce que les documents que tu mets en lien sont intéressants, mais comme tu le fais remarquer les trucs vraiment contraignants sont suffisamment subtils pour que "làlàlàlà j'entends rien" puisse continuer à leur être objecté.
(bon, le coup du Parlement est plus clair, j'avoue)

Notamment une explication de pourquoi la "porte de sortie" dont tu parles est concrètement invalide ?

@benoitb @mmu_man

@aeris

Parce que moi je te crois, hein, mais si je dois expliquer au DPO pourquoi on doit arrêter Teams et OneDrive demain alors que la CNIL parle "d'accompagner la transition" je vais pas savoir comment l'expliquer de façon convaincante.
Surtout que tout le reste de l'administration est "business as usual" et joue la montre.

@benoitb @mmu_man

@Iutech @benoitb @mmu_man La CNIL ne peut rien interdire. Organe de droit souple et les merdeux en profitent (y compris devant le Conseil d’État, coucou l’IAB).

@Iutech @benoitb @mmu_man La réflexion derrière est celle-là.
Le transfert de données vers un état tiers ne peut se faire que, dans l’ordre de priorité :
- vers un pays ayant été déclaré par l’UE comme compatible avec le droit EU (liste ici https://cnpd.public.lu/fr/dossiers-thematiques/transferts-internationaux-donnees-personnelles/Reglement-general-sur-la-protection-des-donnees.html)
- vers un pays couvert par des CCT génériques ad-hoc rédigés par l’UE et étant compatible droit EU
- vers une entreprise rédigeant des BCR ad-hoc compatible avec le droit EU
- avec des moyens de protection sinon