Quand je disais que les gargarismes des politiques et entreprises en 🇫🇷 et en 🇪🇺 n’était qu’une façade pour détourner les regards de ce qu’on faisait ici vers les 🇺🇸 …
edps.europa.eu/system/files/20

Europol chopée les doigts dans le pot de confiture avec 4PB de données collectées illégalement. Du même tonneau que le comportement de la NSA & cie.
Quand je vois dis qu’un jour on va se prendre un dans la face et que l’écosystème 🇫🇷 et 🇪🇺 va être TRÈS mal…

@aeris

Un coup de Duckduckgo ou StartPage sur « Schremll » ne me donne rien de probant.

Tu aurais un indice pour mieux comprendre ?

@mmu_man @aeris

Ah OK. Merci (j'ai été trompé par les deux « l » finaux et ma mémoire défaillante qui disait « j'ai un dossier là dessus, mais une recherche exacte ne donne rien… »)

@benoitb @mmu_man Euh en fait c’est encore pire que juste Facebook. Il a carrément fait interdire tout système 🇺🇸 en 🇪🇺 :
cnil.fr/fr/invalidation-du-pri

@aeris @benoitb voui et ce qui l'a remplacé n'est pas mieux…

@mmu_man @benoitb Ça n’a pas été remplacé. Il est toujours complètement interdit d’utiliser des services 🇺🇸 .

@mmu_man @benoitb La seule manière de le faire est de ne pas envoyer du tout de données à caractère personnel là-bas. C’est impossible dans quasiment tous les cas.

@mmu_man @aeris

Justement, au bureau malgré l'avis clair de la CNIL sur le sujet donné en début d'été, on continue à utiliser Teams et consorts (et même à déployer de nouveaux services basés dessus).
Le nouveau DPO semblait sensible à ces questions mais il se révèle être une plante verte, il "encourage l'utilisation des outils propres" mais sans plus de mordant.
Il y a quelque chose de faisable ?

@benoitb

@Iutech @mmu_man @aeris

On a +/- la même situation. Défense des zélotes : « oui, mais non. On a un super contrat avec Microsoft, plein de garanties »

@benoitb

C'est effectivement plus le problème qu'on a ici, et le fait que le DPO a sans doute peur de devoir mettre la moitié du fonctionnement actuel à l'arrêt sans avoir rien à proposer à la place.
Je ne pense pas qu'il y aie chez nous de réel conflit d'intérêt, juste un manque de courage.

@mmu_man @aeris

Follow

@Iutech @benoitb @mmu_man EDPB est clair : la survie de l’entreprise n’est pas une justification à laisser faire.

@Iutech @benoitb @mmu_man Et des solutions il y en a. Oui c’est juste incompatible avec la plupart des business modèles du moment. Et le plan de migration suppose de foutre à l’arrêt la prod pendant plusieurs mois.

@Iutech @benoitb @mmu_man A minima de ne plus avoir d’évolution dessus, full focus sur la mise en conformité. 12-18 mois à prévoir. Minimum.

@Iutech @benoitb @mmu_man Même des boîtes se pensant préparées et ayant investies massivement dessus se sont pris une soufflante lors d’un contrôle CNIL. Avec encore 12 mois de boulot à la clef.

@aeris

Tu aurais un texte que je peux lui envoyer, vu qu'on avait de bonnes relations ?

@benoitb @mmu_man

@aeris

Chez nous c'est vraiment pas un problème de business model, juste d'inertie (et du coût du stockage si on doit se passer des 10 To par personne offerts par microsoft et google).

@benoitb @mmu_man

@Iutech @benoitb @mmu_man Ça sera aussi un problème de business modèle. Les infras à mettre en place sont souvent BEAUCOUP plus chères que ce qui est fait actuellement.

@Iutech @benoitb @mmu_man Si tu prononces les termes de IAM/SIEM ou pire IDS/IPS devant un RSSI, il fait un coma, et ton expert-comptable commence à avoir les yeux qui brillent.

@aeris

Justement, tu n'aurais pas un document quelque part (si possible à valeur officielle) expliquant qu'il va bien falloir passer par là, c'est pas juste une option pour le jour où on aura magiquement un budget suffisant ?
Pareil, un document pour expliquer que l'interdiction des outils collaboratifs américains n'est pas juste une option, qu'il faut s'y préparer concrètement et rapidement plutôt que de jouer la montre ?

@benoitb @mmu_man

@Iutech @benoitb @mmu_man La subtilité est que la CNIL/EDPB semble laisser une porte de sortie. En pratique elle n’est pas possible.

@Iutech @benoitb @mmu_man  Le morceau intéressant est ici :

```
Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d'éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles
```

@Iutech @benoitb @mmu_man En pratique, sauf à chiffrer en end-to-end complètement les DCP envoyées à un tiers 🇺🇸 , l’existence de FISA fait qu’il est impossible d’avoir les garanties appropriées. Et donc le transfert doit être suspendu immédiatement.

@Iutech @benoitb @mmu_man Ils ne peuvent pas fermer automatiquement et drastiquement la porte (déjà parce que droit souple, ensuite parce qu’il est effectivement théoriquement possible d’envoyer des données là-bas), mais en pratique tous les services grand public sont rayés de la carte.

@aeris

Et y'a rien en droit/jurisprudence française qui le dit clairement ?
Parce que les documents que tu mets en lien sont intéressants, mais comme tu le fais remarquer les trucs vraiment contraignants sont suffisamment subtils pour que "làlàlàlà j'entends rien" puisse continuer à leur être objecté.
(bon, le coup du Parlement est plus clair, j'avoue)

Notamment une explication de pourquoi la "porte de sortie" dont tu parles est concrètement invalide ?

@benoitb @mmu_man

@aeris

Parce que moi je te crois, hein, mais si je dois expliquer au DPO pourquoi on doit arrêter Teams et OneDrive demain alors que la CNIL parle "d'accompagner la transition" je vais pas savoir comment l'expliquer de façon convaincante.
Surtout que tout le reste de l'administration est "business as usual" et joue la montre.

@benoitb @mmu_man

@Iutech @benoitb @mmu_man La CNIL ne peut rien interdire. Organe de droit souple et les merdeux en profitent (y compris devant le Conseil d’État, coucou l’IAB).

@Iutech @benoitb @mmu_man La réflexion derrière est celle-là.
Le transfert de données vers un état tiers ne peut se faire que, dans l’ordre de priorité :
- vers un pays ayant été déclaré par l’UE comme compatible avec le droit EU (liste ici cnpd.public.lu/fr/dossiers-the)
- vers un pays couvert par des CCT génériques ad-hoc rédigés par l’UE et étant compatible droit EU
- vers une entreprise rédigeant des BCR ad-hoc compatible avec le droit EU
- avec des moyens de protection sinon

@Iutech @benoitb @mmu_man Les 🇺🇸 avaient précédemment le point 1 et 2 de valide. SchremII a conclu que à cause de FISA, ce n’est pas possible, que 1 & 2 étaient illégaux et que by design 3 n’est pas possible (droit 🇺🇸 primant sur les contrats commerciaux)
Il ne reste donc que 4, qui implique de ne pas transmettre de DCP du tout aux 🇺🇸 vu FISA.

@Iutech @benoitb @mmu_man EDPB ou CNIL ne sont que des organes de droits souples et doivent composer avec leurs moyens légaux. Ils ne peuvent donc pas exclure que quelqu’un trouve comment faire 3, peut-être dans des cas très précis et après des analyses pointus du cas ponctuel. Le cas général est par contre proscrit. Et 4 est inconcevable en pratique (faudrait tout chiffrer en end-to-end)

@Iutech @benoitb @mmu_man Dans tous les cas tu as une obligation d’étude formel de ton propre cas particulier pour justifier éventuellement de conserver l’export vers les 🇺🇸
La Grèce l’a appris à ses dépends
gdprhub.eu/index.php?title=HDP

@Iutech @benoitb @mmu_man Donc de toute façon tu gagnes le droit de faire une étude. Elle pourra éventuellement conclure que le transfert reste légitime. J’en doute plus que très fortement.

Show newer
Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!