Quand je disais que les gargarismes des politiques et entreprises en đ«đ· et en đȘđș nâĂ©tait quâune façade pour dĂ©tourner les regards de ce quâon faisait ici vers les đșđž âŠ
https://edps.europa.eu/system/files/2022-01/22-01-10-edps-decision-europol_en.pdf
Europol chopĂ©e les doigts dans le pot de confiture avec 4PB de donnĂ©es collectĂ©es illĂ©galement. Du mĂȘme tonneau que le comportement de la NSA & cie.
Quand je vois dis quâun jour on va se prendre un #SchremII dans la face et que lâĂ©cosystĂšme đ«đ· et đȘđș va ĂȘtre TRĂS malâŠ
Un coup de Duckduckgo ou StartPage sur « Schremll » ne me donne rien de probant.
Tu aurais un indice pour mieux comprendre ?
@benoitb @mmu_man Euh en fait câest encore pire que juste Facebook. Il a carrĂ©ment fait interdire tout systĂšme đșđž en đȘđș :
https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue
Justement, au bureau malgrĂ© l'avis clair de la CNIL sur le sujet donnĂ© en dĂ©but d'Ă©tĂ©, on continue Ă utiliser Teams et consorts (et mĂȘme Ă dĂ©ployer de nouveaux services basĂ©s dessus).
Le nouveau DPO semblait sensible Ă ces questions mais il se rĂ©vĂšle ĂȘtre une plante verte, il "encourage l'utilisation des outils propres" mais sans plus de mordant.
Il y a quelque chose de faisable ?
C'est effectivement plus le problĂšme qu'on a ici, et le fait que le DPO a sans doute peur de devoir mettre la moitiĂ© du fonctionnement actuel Ă l'arrĂȘt sans avoir rien Ă proposer Ă la place.
Je ne pense pas qu'il y aie chez nous de rĂ©el conflit d'intĂ©rĂȘt, juste un manque de courage.
@Iutech @benoitb @mmu_man Au pif https://blog.alan.com/tech-et-produit/controles-par-la-cnil
Voir aussi le taff monstrueux de @OpenPony pour @Mediapart
Justement, tu n'aurais pas un document quelque part (si possible Ă valeur officielle) expliquant qu'il va bien falloir passer par lĂ , c'est pas juste une option pour le jour oĂč on aura magiquement un budget suffisant ?
Pareil, un document pour expliquer que l'interdiction des outils collaboratifs américains n'est pas juste une option, qu'il faut s'y préparer concrÚtement et rapidement plutÎt que de jouer la montre ?
@Iutech @benoitb @mmu_man  Le morceau intéressant est ici :
```
Si vous arrivez Ă la conclusion que, compte tenu des circonstances du transfert et d'Ă©ventuelles mesures supplĂ©mentaires, le respect des garanties appropriĂ©es ne serait pas assurĂ©, vous ĂȘtes tenu de suspendre ou de mettre fin au transfert de donnĂ©es personnelles
```
@Iutech @benoitb @mmu_man Et les 1Úres sanctions sont tombées.
https://gdprhub.eu/index.php?title=CNPD_(Portugal)_-_Delibera%C3%A7%C3%A3o/2021/622
https://gdprhub.eu/index.php?title=BayLfD_(Bavaria)_-_LDA-1085.1-12159/20-IDV
Ou encore plus lol https://gdprhub.eu/index.php?title=EDPS_-_2020-1013
Et y'a rien en droit/jurisprudence française qui le dit clairement ?
Parce que les documents que tu mets en lien sont intĂ©ressants, mais comme tu le fais remarquer les trucs vraiment contraignants sont suffisamment subtils pour que "lĂ lĂ lĂ lĂ j'entends rien" puisse continuer Ă leur ĂȘtre objectĂ©.
(bon, le coup du Parlement est plus clair, j'avoue)
Notamment une explication de pourquoi la "porte de sortie" dont tu parles est concrĂštement invalide ?
Parce que moi je te crois, hein, mais si je dois expliquer au DPO pourquoi on doit arrĂȘter Teams et OneDrive demain alors que la CNIL parle "d'accompagner la transition" je vais pas savoir comment l'expliquer de façon convaincante.
Surtout que tout le reste de l'administration est "business as usual" et joue la montre.
@Iutech @benoitb @mmu_man La réflexion derriÚre est celle-là .
Le transfert de donnĂ©es vers un Ă©tat tiers ne peut se faire que, dans lâordre de prioritĂ©Â :
- vers un pays ayant Ă©tĂ© dĂ©clarĂ© par lâUE comme compatible avec le droit EU (liste ici https://cnpd.public.lu/fr/dossiers-thematiques/transferts-internationaux-donnees-personnelles/Reglement-general-sur-la-protection-des-donnees.html)
- vers un pays couvert par des CCT gĂ©nĂ©riques ad-hoc rĂ©digĂ©s par lâUE et Ă©tant compatible droit EU
- vers une entreprise rédigeant des BCR ad-hoc compatible avec le droit EU
- avec des moyens de protection sinon
@Iutech @benoitb @mmu_man Les đșđž avaient prĂ©cĂ©demment le point 1 et 2 de valide. SchremII a conclu que Ă cause de FISA, ce nâest pas possible, que 1 & 2 Ă©taient illĂ©gaux et que by design 3 nâest pas possible (droit đșđž primant sur les contrats commerciaux)
Il ne reste donc que 4, qui implique de ne pas transmettre de DCP du tout aux đșđž vu FISA.
@Iutech @benoitb @mmu_man EDPB ou CNIL ne sont que des organes de droits souples et doivent composer avec leurs moyens lĂ©gaux. Ils ne peuvent donc pas exclure que quelquâun trouve comment faire 3, peut-ĂȘtre dans des cas trĂšs prĂ©cis et aprĂšs des analyses pointus du cas ponctuel. Le cas gĂ©nĂ©ral est par contre proscrit. Et 4 est inconcevable en pratique (faudrait tout chiffrer en end-to-end)
@Iutech @benoitb @mmu_man Dans tous les cas tu as une obligation dâĂ©tude formel de ton propre cas particulier pour justifier Ă©ventuellement de conserver lâexport vers les đșđž
La GrĂšce lâa appris Ă ses dĂ©pends
https://gdprhub.eu/index.php?title=HDPA_(Greece)_-_Decision_50/2021
@Iutech @benoitb @mmu_man Et par exemple lâAllemagne a invalidĂ© Mailchimp pour ce motif : https://www.zdnet.fr/actualites/rgpd-mailchimp-retoque-par-une-cnil-allemande-39920021.htm
@Iutech @benoitb @mmu_man Et pour Google Analytics et Stripe, câest invalidĂ© par EDPS directement ici : https://gdprhub.eu/index.php?title=EDPS_-_2020-1013
@Iutech @benoitb @mmu_man A minima de ne plus avoir dâĂ©volution dessus, full focus sur la mise en conformitĂ©. 12-18 mois Ă prĂ©voir. Minimum.