Connexion
Abonnez-vous

Invalidation du Privacy Shield : les organisations professionnelles réclament des mesures contre l’insécurité juridique

Invalidation du Privacy Shield : les organisations professionnelles réclament des mesures contre l’insécurité juridique

Le 28 septembre 2020 à 08h51

L’Asic, Syntec Numérique et TECH IN France s’inquiètent vivement des conséquences de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne

Avec cet arrêt, la CJUE a considéré que les États-Unis n’offraient pas le niveau de protection adéquat pour traiter les données des personnes physiques installées en Europe. Théoriquement, les entreprises ne sont pas pour autant démunies puisque restent en lice les Clauses Contractuelles Types (CCT) notamment. 

Cependant, pour transférer des données vers ce pays tiers, les responsables de traitement sont tenus alors d’associer des garanties complémentaires pour s’assurer que les lois américaines (ou de n’importe quel autre pays hors UE) et la protection accordée aux citoyens soient équivalentes à celle en vigueur en Europe. 

« La CJUE exige désormais que les entreprises exportatrices évaluent elles-mêmes le niveau d’adéquation du pays tiers ne bénéficiant pas de décision d’adéquation valide, en tenant compte des lois du pays où se situe l’importateur, et en particulier des pratiques permettant l’accès auxdites données par les autorités publiques du pays en question », résument les organisations. 

Elles alertent sur la nécessité que « les autorités européennes et nationales mettent tout en œuvre pour proposer des mesures transitoires d’application immédiate qui permettront de sécuriser les entreprises dans l’attente d’un cadre protecteur stabilisé ». Elles réclament des autorités de contrôle des recommandations « précises, opérationnelles et adaptées » pour assurer ces transferts, et ce de manière cohérente pour éviter un patchwork d’interprétations. 

La Commission européenne est invitée à mettre à jour « dans les meilleurs délais » les CCT, « en prenant en compte la décision de la CJUE, afin de garantir la stabilité juridique de ce mécanisme de transfert vers les pays tiers ». 

Ces acteurs institutionnels sont priés enfin de se prononcer « sur les risques ou, le cas échéant, le niveau d’adéquation des pays tiers, afin de faciliter la mise en conformité des acteurs responsables souhaitant poursuivre leurs transferts vers des pays tiers jugés non adéquats et de garantir ainsi une approche harmonisée et cohérente pour toutes les organisations européennes ».

Le 28 septembre 2020 à 08h51

Commentaires (32)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Les pauvres. :mdr2:

votre avatar

Ce qu’elles laissent implicite c’est qu’elles n’envisagent absolument pas de ne pas transférer les données. On a des entreprises avec un business illégal qui réclament d’être protégées par la loi.

votre avatar

Il faudrait les envoyer faire un stage erasmus à Naples. :ouioui:

votre avatar

Oui, c’est ce que j’ai compris aussi… !!



Et quid des clients de ces entreprises? (notamment publics).
Mettons un hôpital. Si j’ai bien compris le RGPD, le responsable est et reste toujours le “responsable de traitement”, autrement dit le directeur de l’hôpital. On ne change pas un SI en quelques mois, et on est souvent captif des fournisseurs. Si j’ai bien compris, il suffisait avant l’annulation du Privacy Shield de signer des clauses types et alors l’exportation de données aux EU n’étaient plus illégales. Mais maintenant, concrètement, on fait quoi? On est dans l’illégalité?
Je ne parle pas de ce qu’on va faire dans 6 mois, 2 ans ou 10 ans. Mais aujourdui, là tout de suite maintenant. Hier même.
Ce ne sont pas ces entreprises qui sont le plus victimes d’insécurité juridique, ce sont leurs clients (qui théoriquement peuvent aller en prison….)
Ou alors, j’ai pas tout compris.



NB: je précise que je ne suis pas contre la politique UE de protection des données, hein, bien au contraire. Tout cet imbroglio est pour la bonne cause, mais en attendant, la position des responsables de traitement me semble inconfortable…

votre avatar

Le problème c’est que le “problème” de l’arrêt Schrems 2 n’est pas nouveau et que si ces entreprises avaient lus correctement le RGPD, alors elles auraient au moins prévues un plan b. Ici, même les CCT paraissent bien maigres pour protéger les données européennes sur le sol américain des lois intrusives.
C’est une vraie question mais qui repose sur le manque de clarté de la décision concernant les-dites clauses.



Bon courage à elle pour arrêter les transferts.

votre avatar

Elles attendent quoi au final, une liste de pays avec des drapeaux verts, oranges et rouges, selon le niveau de protection ?
Ce sont elles qui ont décidé d’héberger NOS données dans des pays qui n’offrent pas de protection suffisante. Elles ont l’air de le découvrir, pourtant il y a eu les rélévations de Snowden, l’invalidation du Safe Harbor, et je passe sur les autres scandales de ces dernières années qui montrent ce que les hébergeurs états-uniens font de ces données. Donc elles ont eu tout le temps nécessaire pour prendre connaissance du niveau de protection, ou de trouver une solution de rechange.
Ils nous refont le coup du RGPD “ah on ne savait pas, laissez-nous encore deux ou trois ans pour nous adapter, promis cette fois on va le faire”.

votre avatar

Tu as raison, mais dans l’immédiat, c’est pas elle qui sont en danger juridique… ce sont les responsables de traitement (= leurs clients)

votre avatar

Tout bon DSI en suivant l’actualité sait depuis plusieurs années que les transferts vers les USA sont un peu touchy. Donc si il n’a pas prévu d’alternative, c’est quand même pas mal de sa faute. Dans ma boîte (avec un budget IT d’environ 0 €) on avait déjà des mesures en places pour réduire ça même si on a encore quelques dépendances vers des services potentiellement traités aux USA.
Donc à la place d’aller se plaindre ils devraient activement chercher à ne pas envoyer de données de citoyens européens aux USA.

votre avatar

Oui, en théorie…
Mais il y a des domaines où les alternatives ne sont pas pléthoriques.
Et c’est pas comme si le lieu de traitement des données était le seul critère de choix d’une application….
“tout bon DSI” a une vision globale, mesure les impacts, et pondère les différents critères pour prendre une décision (décision qui, en termes de SI, peut par ailleurs prendre des années à être totalement mise en oeuvre).

votre avatar

Ça tombe bien vu que ça fait des années que ça traîne.



“Fait chier, j’ai encore un stock d’amiante, c’est encore les clients dont l’offre va diminuer qui vont en pâtir. Pauvres clients, bouhouhou “



Sans dec’ :roll:

votre avatar

Bcp de ptites boites traitent de la donnée perso, et n’ont pas un grand DSI manitou qui gère à proprement parlé ces questions (peut-être que ceux qui ont bossé ds la ptite startup verront de quoi je parle).
Du coup oui, l’invalidation du PS pose question et crée de l’incertitude. Combien de boites traitent de la donnée perso sur du google drive (et pareil pr office 365, AWS et compagnie)… et n’ont pas le début de commencement dune réponse sur ce qui doit ou doit pas être fait. Oui je suis lecteur de NXI et je sais que des alternatives existent, mais peu sont finalement ds les clous, et les G docs restent pratiques pr bon nombre d’entre elles.
Tt ça pr dire que oui ça chouine, oui ok c’est peut-être pas si mal de mettre un coup de pied pr gicler les solutions de type gafam, ms qu’en attendant bien sûr que ca crée de l’incertitude et de l’inquiétude.

votre avatar

Les données de l’assurance maladie stockées chez microsoft, c’est sur des serveurs basés sur le sol européen où on se dirige vers un nouveau drama?

votre avatar

(reply:1826880:UtopY-Xte)



  1. L’annulation du Privacy Shield n’empêche pas de stocker des données aux Etats-Unis, dès lors que l’hebergeur fait signer au responsable de traitement (= son client) les fameuses clauses contactuelles types (CCT).



  2. Par ailleurs, Microsoft est soumis au Cloud Act, qui de toute façon s’applique que les serveurs soient aux Etats-Unis ou en Europe.




L’affaire du Health Data Hub est loin d’être finie, j’ai stocké le pop corn ! ^^

votre avatar

erw_da a dit:


Ce qu’elles laissent implicite c’est qu’elles n’envisagent absolument pas de ne pas transférer les données. On a des entreprises avec un business illégal qui réclament d’être protégées par la loi.


Malheureusement, c’est tout à fait ça.
Je suis sidéré de constater combien les exigences légales en informatique - et en particulier en ce qui concerne la protection des données - sont délibérément ignorées par les entreprises et même par les administrations (cf. e-Health Data Hub) ; pourtant :




  • Le Patriot Act date de 2001.

  • E. Snowden a confirmé ensuite les pires craintes que l’on pouvait avoir en ce qui concerne la protection des données personnelles

  • L’invalidation du Safe Harbor ne s’est pas produit en catimini, M. Schrems ayant dû lutter pendant plusieurs années pour avoir gain de cause.

  • L’Executive Order de POTUS au lendemain de son arrivée à la Maison Blanche (2017-01-25) était pourtant très clair.

  • Le CLOUD Act date de Mars 2018 ; seulement 2 mois avant l’entrée en vigueur en Europe du RGPD.



La décision du 17 Juillet 2020 par la CJUE était plus que prévisible (pour moi, le Privacy Shield était déjà en état de mort clinique depuis le 2017-01-25).



Il n’y a donc AUCUNE excuse pour ne pas avoir anticipé.



Il faut enfin arrêter de prendre des décisions exclusivement court-termistes sans réfléchir !!!



Pour info :
Executive order, 2017-01-25, Enhancing Public Safety in the Interior of the United States, Sec. 14



“Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.”



Les agences doivent, dans la mesure où cela est compatible avec le droit applicable, veiller à ce que leurs politiques de protection de la vie privée excluent les personnes qui ne sont pas des citoyens américains ou des résidents permanents légaux des protections de la loi sur la protection de la vie privée concernant les informations personnelles identifiables.



NB:
Le “droit applicable” ne concerne pas les législations hors des USA mais les seules lois états-uniennes.
En d’autres termes: “RGPD ? Connais pas !”



Les “informations personnelles identifiables” sont définies dans le cadre de l’HIPAA (Health Insurance Portability & Accountability Act) : il s’agit de 18 identifiants.

votre avatar

Merci pour ce rappel des fondamentaux.



Le problème, c’est les états unis l’incompatibilité entre les règles UE (RGPD + Privacy Shield mort-né puis supprimé) et les règles US (dont Cloud Act).



Ce qui me gène, c’est que dans l’immédiat, ce n’est pas tant les géants américains qui sont inquiets, mais surtout leurs clients européens, souvent captifs (peine possible : 5 ans de prison et 300k€ d’amende!!).



Bref, tout repose sur les clients, parce qu’on est impuissant face aux EU.
Soit on obtient que les Etats Unis modifient leurs législation extra-territoriale (je vois pas comment…).
Soit on interdit les entreprises américaines (comme Trump avec Tik-Tok, Huawei, et sans doute d’autres bientôt).
Deux solutions extrêmes, certes… :mad2:

votre avatar

Tiebor a dit:




  1. L’annulation du Privacy Shield n’empêche pas de stocker des données aux Etats-Unis, dès lors que l’hébergeur fait signer au responsable de traitement (= son client) les fameuses clauses contractuelles types (CCT).


En Droit, il n’est pas possible de définir dans le cadre d’un contrat des clauses qui ne sont pas soutenues et reconnues par la législation applicable en vigueur (en l’espèce : code fédéral US).
Le problème ne se pose pas seulement pour la protection des données personnelles mais également pour la protection de la propriété intellectuelle (cf. par exemple les problèmes avec l’Inde).



Au plus tard depuis l’invalidation du Privacy Shield, les transferts (pour traitement et/ou stockage) de données rentrant dans le périmètre du RGPD vers les USA ou vers des infrastructures gérées par des entreprises à capitaux US ne sont pas légaux !!!



NB: Quid des listes dans Excel 365 contenant des données personnelles ?



Sans compter que ce n’est véritablement pas une riche idée de stocker des secrets de fabrication ou des résultats de recherche dans le cloud, en particulier Office365 ! ….

votre avatar

Tiebor a dit:


Merci pour ce rappel des fondamentaux.
Ce qui me gène, c’est que dans l’immédiat, ce n’est pas tant les géants américains qui sont inquiets, mais surtout leurs clients européens, souvent captifs (peine possible : 5 ans de prison et 300k€ d’amende!!).


De rien :-)



Je suis désolé mais c’est au client de prendre des décisions et de faire des choix en accord avec la législation applicable.
Si je mets illégalement de l’argent dans un paradis fiscal douteux, c’est d’abord mon problème. Je peux peut-être essayer d’expliquer que la banque m’a encouragé à faire quelque chose d’illégale, néanmoins, cela reste mon choix.



Ce sont les entreprises Européennes qui se sont mise en position de dépendance.
J’ai mentionné cet aspect depuis 2012 dans différentes conférences et dans plusieurs articles … et je me suis fait traité de “ringard opposé au progrès technologique”.
Ce n’était et ce n’est absolument pas le cas ; je me contente simplement de lire la Loi et la Réglementation en vigueur et d’en déduire logiquement les implications.

votre avatar

Coeur2canard a dit:


Bcp de ptites boites traitent de la donnée perso, et n’ont pas un grand DSI manitou qui gère à proprement parlé ces questions (peut-être que ceux qui ont bossé ds la ptite startup verront de quoi je parle). Du coup oui, l’invalidation du PS pose question et crée de l’incertitude. Combien de boites traitent de la donnée perso sur du google drive (et pareil pr office 365, AWS et compagnie)… et n’ont pas le début de commencement dune réponse sur ce qui doit ou doit pas être fait.


En transposant : je fais de nombreuses erreurs dans ma déclaration d’impôts, de TVA ou d’URSSAF, mais je suis une petite structure et je ne sais pas faire, donc ce n’est pas de ma faute s’il y a des problèmes.



De même que l’argument n’est pas recevable d’un point de vue fiscal, il ne peut pas l’être du point de vue de la protection des données.
Il faut arrêter de faire n’importe quoi et de toujours chercher des excuses inacceptables.
Il faut faire son travail, se former, et savoir se faire conseiller correctement.



Les prospectus marketing ne représentent pas une source fiable d’information.



Quant au pop-corn, j’en ai également fait provision :-D






Pendant l’été, il y avait un témoignage très instructif concernant quelqu’un qui a été victime d’une usurpation d’identité, la fuite des données était une agence immobilière contactée quelques années plus tôt dans le cadre d’une recherche de logement.
Pour ceux qui auraient encore des doutes sur la pertinence du RGPD :
https://linuxfr.org/users/malizor/journaux/j-ai-teste-pour-vous-se-faire-usurper-son-identite

votre avatar

Il faut arrêter de faire n’importe quoi je suis d’accord. Maintenant trouve moi un seul truc clair émanant de la CNIL ou d’une autorité compétente qui te dise quoi faire par rapport à l’utilisation de Google Drive ou MS Office ou AWS par rapport à des traitements de données personnelles. Ce sont des sous-traitants de la donnée au sens du RGPS, et pas des moindres il me semble non?
Et bien qd les autorités qui font la règle n’ont pas la réponse, les entreprises utilisatrices ne l’ont pas non plus. Et oui tu peux être inquiet quand “en haut” on reste volontairement ds le flou artistique.
Ce qui est très clair c’est que jamais les mesures qui seront prises n’iront à l’encontre de ces solutions :




  1. Elles sont bcp trop implantées ds le paysage européen

  2. On va pas déclarer cette guerre économique là aux US



Le Privacy Shield était juste condamné à échouer. Comment tu fais avec un patriot / cloud act en face?



Je respecte vraiment le boulot de la CNIL. Je suis pour l’esprit des RGPD. Mais en pratique ce règlement c’est du vide pour le moment. J’espère que ca changera, mais il n’est rien question d’interdire, juste d’encadrer (vaguement) ce qui peut encore l’être. Et on fait tout reposer sur le dos de l’entreprise, particulièrement de la petite entreprise (séduite par la gratuité et le côté pratique/populaire), qui oui flippe au final de se prendre une amende, et ça je le répète en l’absence de toute directive claire. Pour ce qui est de l’usurpation d’identité ou de gros abus en termes de données personnelles, faut pas oublier que y avait déjà des lois avant le RGPD. Celui-ci, en pratique, n’a rien changé à part les bannières infames pour les cookies qui se présentent à l’arrivée de chaque site et pour lesquelles 99% des gens cliquent sur “Accepter”.
Plein d’entreprises veulent se mettre en conformité, mais tu ne peux même pas demander ça à l’autorité compétente, qui a déjà fort à faire à essayer de rattraper des pratiques déjà bien ancrées avec ds textes assez larges et assez flous pour qu’ils puissent être abordés/interprétés n’importe comment.



Pour être DPO de ma boite, et en fréquenter moult autres, je peux aussi te dire qu’il se dit un paquet de conneries autour du RGPD par des gens qui sont censés le faire appliquer. On nage ds le ridicule.

votre avatar

D’accord à 100%, en ajoutant que le problème concerne à mon avis autant les grosses boites que les petites.
À la rigueur, pour une start up de 15 personnes, on peut facilement remplacer Google Drive par un bon gros NAS Synology grand public… ^^
mais quand on a un parc applicatif de 200 logiciels plus ou moins interfacés dans tous les sens,la reurbanisation est complexe…

votre avatar

Erwannys a dit:


En Droit, il n’est pas possible de définir dans le cadre d’un contrat des clauses qui ne sont pas soutenues et reconnues par la législation applicable en vigueur (en l’espèce : code fédéral US). Le problème ne se pose pas seulement pour la protection des données personnelles mais également pour la protection de la propriété intellectuelle (cf. par exemple les problèmes avec l’Inde).



En droit, il n’est pas possible de définir des clauses contractuelles incompatibles avec la législation (en l’espece, le RGPD)



Erwannys a dit:



Au plus tard depuis l’invalidation du Privacy Shield, les transferts (pour traitement et/ou stockage) de données rentrant dans le périmètre du RGPD vers les USA ou vers des infrastructures gérées par des entreprises à capitaux US ne sont pas légaux !!!


Source?
Tu as une jurisprudence?
Moi ce que j’ai compris, c’est que la législation du pays hors UE soit équivalente en termes de protection que la législation européenne, et que la charge de la preuve revient au responsable de traitement ( le client, pour faire simple).
Je n’ai pas connaissance d’un cas concernant les EU et qui ait donné lieu à une décision de justice, pour l’instant.




Erwannys a dit:



NB: Quid des listes dans Excel 365 contenant des données personnelles ?


Faut arrêter, l’enjeu n’est pas Excel. Je pense que 80% des fichiers Excel au moins ne sont pas conformes à la CNIL ( loi de 1978!). Alors le RGPD….

votre avatar

Erwannys a dit:



Pendant l’été, il y avait un témoignage très instructif concernant quelqu’un qui a été victime d’une usurpation d’identité, la fuite des données était une agence immobilière contactée quelques années plus tôt dans le cadre d’une recherche de logement.


En transposant: j’ai une porte sécurisée à 3 points, une alarme, et un gros chien méchant. Je peux quand même me faire cambrioler. À un moment, c’est le travail de la police ( + assurance). Je vais pas mettre des mines antipersonnel dans mon jardin et garder ma maison avec un fusil à pompe à la mai .
Quoi? La comparaison est foireuse? Bah…oui, comme toujours avec les raisonnements par analogie!

votre avatar

Erwannys a dit:


Ce sont les entreprises Européennes qui se sont mise en position de dépendance.


Oui et non.
Les pouvoirs publics n’ont rien fait contre l’hegemonie des américains. Comme dit régulièrement ici, Si ces 20 dernières années, on avait investi l’equivalent de ce que l’ensemble des administrations publiques et parapubliques versent chaque année à Microsoft, ça ferait un joli paquet de milliards pour avoir des alternatives.
Si au moins on laissait une chance aux boites européennes pour se développer….



L’Europe agit essentiellement par le droit, les normes. Or, une politique efficace repose sur différents leviers complémentaires : le juridique, le politique, l’economique.
Toutes les puissances agissent sur ces différents leviers, sauf l’Europe, impuissante, marginalisée.



C’est hors sujet, mais le fiasco de stop covid est un exemple typique et navrant: on est à côté de la plaque.
Ça me fait au * d’ecrire ça, mais Trump a interdit le Tik Tok chinois en 2 mois, et pendant ce temps on est toujours fiché par Facebook, même quand on n’a jamais eu de compte…




Erwannys a dit:


Il faut arrêter de faire n’importe quoi et de toujours chercher des excuses inacceptables. Il faut faire son travail, se former, et savoir se faire conseiller correctement.


C’est si facile à dire….
ce n’est pas une question de formation : depuis 3 ans, des milliers de Français ont suivi une formation de DPO. Et dans l’absolu, il suffit de lire quelques articles pendant une heure pour avoir compris les enjeux ( ou suivre une de tes conférences ^^).
Le problème, c’est qu’il faut arbitrer entre se conformer à la lettre à une réglementation floue et changeante (exemple de l.annulation du Privacy Shield) ou abandonner des éléments essentiels de son SI sans vraies alternatives, et revoir toute son urbanisation ( soit des millions d’euros et des années de travail).

votre avatar

Dans ma boite de type ETI, dirigée par des financiers (comme je pense beaucoup d’entreprise aujourd’hui), le calcul est simple : combien ça coûte d’être en règle VS quel est le coût du risque (amende ou piratage) pondéré par la probabilité que cela arrive.
Ajouter à cela des dirigeant qui ne sont là que quelques années (donc le problème ce sera à leur successeur de gérer) et vous obtenez un budget pour les problématiques juridiques et sécuritaires proche de zéro ou le strict minimum pour être “gris” au lieu de “noire”.



Concernant le choix des outils, de ce que je constate où je travail : Google/Office 365/Dropbox/Skype/Slack/AWS…, tous ont été amenés par les utilisateurs car les outils internes étaient trop compliqués/pas adaptés (souvent car le besoin n’a jamais été exprimé à la DSI donc forcément, les outils internes n’ont pas évolués en conséquences).
Et l’utilisateur se fiche de la loi, des contraintes de sécu généralement (ou n’y pense pas, c’est pas son boulot). Il veut l’outil à la mode tout de suite maintenant. Du coup, ce n’est plus la DSI qui définie les outils avec les utilisateurs mais les utilisateurs qui les impose à la DSI pendant qu’elle essaye de limiter la casse et les débordements tant bien que mal, genre de trancher entre les équipes utilisant Teams et celles utilisant Slack…

votre avatar

Tout à fait !
Tu le dis mieux que moi mais c’est ce que je voulais dire. Il y a un calcul rationnel qui ne plaide guère pour la mise en conformité. Et comme je le disais dans mon premier message, la conformité RGPD est loin d’être le premier critère de choix d’une application. Bien avant il y a les fonctionnalités, l’interopérabilité avec l’existant, les préférences des utilisateurs, le coût. Et face à tout ces paramètres, bon courage au DSI qui voudra imposer son choix au nom du RGPD! Il ne fera pas long feu, et ce sera mérité car pour moi il fait mal son boulot.

votre avatar

Critère de choix (le rgpd) ou pas la zone grise restera d’actualité vu le peu de réponses sur beaucoup de sujets par les DSI.
Le cas décrit c’est plutot celui des DPO : scribouille scribouille mais ne change rien.



Le problème d’application est pourtant pas si difficile. Si on sait déployer rapidement des chimères, on sait aussi rapidement déployer leur Bellerophon.

votre avatar

À tout ceux qui expliquent que le RGPD est trop compliqué, trop coûteux, pas pris en compte par les décideurs de l’entreprise, etc.
Réalisez-vous ce que vous êtes en train d’écrire ???



En fait, vous expliquez que, peu importe la loi et ses exigences, on préfère faire comme on veut.
Si je transpose :




  • Pourquoi payer les factures, c’est beaucoup moins cher de ne rien payer ?

  • Pourquoi faire les déclarations fiscales et sociales, c’est une telle économie de ne pas payer impôts et cotisations ?

  • Pourquoi suivre les règles de la construction, construire un immeuble n’importe comment est tellement moins cher ?

  • Pourquoi effectuer le contrôle technique des bus, des camions, des avions, c’est tellement coûteux pour un risque d’accident tellement “minime” ?



Ce n’est pas parce qu’il s’agit de numérique et de données, que les risques sont moins critiques, que les exigences légales sont seulement “optionnelles”.



Je suis profondément et sincèrement choqué par certains commentaires arguant que c’est la faute de l’Europe, de l’État, … des autres, si le respect de RGPD est si “contraignant”.



Dans mon rappel “historique” (cf. https://www.nextinpact.com/article/43893/invalidation-privacy-shield-organisations-professionnelles-reclament-mesures-contre-linsecurite-juridique#comment/1826897), j’ai oublié de rappeler deux textes importants (qui ne datent pas d’hier) :




  • 1978 : Loi Informatique et Liberté (France)

  • 1995 : Directive Européenne 95/46/CE “relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données



Il ne s’agit donc pas d’un problème récent (2018, 2020), mais d’exigences vieilles de 42 ans (France) et 25 ans (EU).
Si personne ne prend en compte les exigences légales et réglementaires applicables avant de prendre des décisions, il ne faut pas ensuite se plaindre.
Il faut simplement arrêter de se voiler la face.



Avant de prendre une décision, il faut prendre en considération :
1/ Les besoins métiers (business needs)
2/ Les contraintes et exigences légales et réglementaires applicables
3/ Les besoins et les risques opérationnels - fiabilité, disponibilité, … - y compris les exigences applicables à la rétention des données sur l’ensemble de leur cycle de vie
4/ Les solutions techniques possibles (en conformité avec les points #1, #2 et #3)
5/ Les coûts “réels” : projet, déploiement, long terme.



Il est bien entendu que la décision finale DOIT RESPECTER les éléments du point #2.



Ce n’est ni irréaliste, ni utopique, cela s’appelle simplement “respecter la loi”.
Évidemment, cela s’applique également à l’État (cf. e-Health Data Hub, Éducation Nationale, Défense, …).



Pour ceux que cela intéressent, une longue et très instructive discussion concernant la souveraineté numérique sur Thinkerview :
https://www.thinkerview.com/tariq-krim-et-bernard-benhamou-souverainete-numerique-la-douche-froide/

votre avatar

Tiebor a dit:


Tout à fait ! Tu le dis mieux que moi mais c’est ce que je voulais dire. Il y a un calcul rationnel qui ne plaide guère pour la mise en conformité. Et comme je le disais dans mon premier message, la conformité RGPD est loin d’être le premier critère de choix d’une application. Bien avant il y a les fonctionnalités, l’interopérabilité avec l’existant, les préférences des utilisateurs, le coût. Et face à tout ces paramètres, bon courage au DSI qui voudra imposer son choix au nom du RGPD! Il ne fera pas long feu, et ce sera mérité car pour moi il fait mal son boulot.


À 20 millions d’Euros ou 4% du chiffre d’affaire annuel mondial (le montant le plus élevé étant retenu) en cas de récidive, les non-conformités avec RGPD ne me semblent pas si bon marché que cela.



Je n’ose pas commenter le reste du message, pour ne pas être désobligeant ni me répéter.

votre avatar

Erwannys a dit:


Ce n’est ni irréaliste, ni utopique, cela s’appelle simplement “respecter la loi”.


Tu ne comprends pas. Personne ici n’a dit qu’il ne faut pas respecter la loi. Ni l’article ni les commentaires n’amènent à un débat “pour ou contre le RGPD”. Je pensais que ce point était acquis.
Le sujet, en l’occurence, c’est l’insécurité juridique : ambiguité sur l’articulation entre loi UE et loi EU, annulation du Privacy Shield.
Contrairement à ce que tu écrivais (en gras), il n’est pas illégal en soi d’exporter des données aux Etats-Unis. Pour faire court:




  • avant: c’était couvert par le Privacy Shield => la législation US était réputée équivalente au RGPD

  • maintenant: toute la responsabilité revient au responsable de traitement (= le client). Les données peuvent être exportées aux EU mais le responsable de traitement doit s’assurer que le niveau de protection des données est suffisant (ce qui est en pratique impossible).



Si l’export des données aux EU était purement et simplement interdit, ce serait beaucoup plus simple!!
Le fait que l’export reste possible si le responsable de traitement en assume la responsabilité est une brèche et une source d’insécurité. Le rapport de force est déséquilibré. Si cette brèche n’existait pas, les géants américains seraient réellement incités à revoir leur fonctionnement et la localisation de leurs serveurs (localisation qui, je le rappelle, est neutre du point de vue du Cloud Act).



Au final: Facebook et Google dorment sur leurs 2 oreilles, mais les 34 des responsables privés et publics risquent théoriquement la prison.

votre avatar

Erwannys a dit:


À 20 millions d’Euros ou 4% du chiffre d’affaire annuel mondial (le montant le plus élevé étant retenu) en cas de récidive, les non-conformités avec RGPD ne me semblent pas si bon marché que cela.


Il faut pondérer le montant de l’amende avec sa probabilité.
Par ailleurs, tu as une idée des coûts de mise en conformité RPGD? chez moi, à la louche, je dirais bien entre 5 et 8 M€. Ce n’est pas un choix de ne pas faire: on n’a pas le 1er euro pour ça. Et impossible d’emprunter.



Puisque tu aimes bien les analogies: ça me fait penser typiquement à la réglementation incendie. Des milliers d’établissement recevant du public (ERP) ont un avis défavorale de la commission incendie. Parmi ces ERP, il y a de tout, y compris des hôpitaux. Je te laisse imaginer ce qu’est le risque incendie dans un hôpital… !!
En cas d’avis défavorable, si l’ERP reste ouvert, toute la responsabilité repose sur le maire (il risque personnellement la prison). C’est un cas archi courant.
Je ne suis pas pour ne pas respecter la loi, mais je trouve cette situation absurde, désolante et totalement inefficace.
Il y a une dizaine d’année, j’ai connu un tout petit hôpital (15M€ de budget annuel, avec un gros déficit). L’avis de la commission incendie était défavorable depuis longtemps. Le minimum des travaux nécessaires (sans tout reconstruire) était évalué à 5 ou 7M€. L’hôpital n’avait pas un sou, et personne ne voulait les lui donner. Résultat: chaque année, le préfet ouvrait son parapluie et écrivait un courrier au maire pour lui dire que c’est sa responsabilité. Le maire écrivait au directeur de l’hôpital pour lui demander ce qu’il comptait faire. Le directeur lui disait que des études étaient en cours et que l’année suivante on pourrait commencer à planifier les travaux (parallèlement, il payait quelques dizaines de milliers d’euros en étude pour faire semblant). Et le maire s’appuyait sur la réponse du directeur pour répondre au préfet que la gravité de la situation était prise en compte et que, partant de là, il assumait la responsabilité de garder l’hôpital ouvert. Un vrai jeu d’acteur, complètement ridicule (les courriers du préfet, du maire et du directeur étaient quasiment des copié-collés d’une année sur l’autre).
La réglementation incendie (comme le RGPD) est évidemment nécessaire, ce n’est pas le sujet. Et il faut évidemment la respecter! Mais qui doit être responsable?



Bienvenu dans la vraie vie. Ta vision est malheureusement hors-sol.

votre avatar

Tiebor a dit:


Tu ne comprends pas. Personne ici n’a dit qu’il ne faut pas respecter la loi. Ni l’article ni les commentaires n’amènent à un débat “pour ou contre le RGPD”. Je pensais que ce point était acquis.


Désolé, même après relecture, certains commentaires ne me semblent pas être aussi favorables que cela au RGPD.




Tiebor a dit:


Par ailleurs, tu as une idée des coûts de mise en conformité RPGD? chez moi, à la louche, je dirais bien entre 5 et 8 M€. Ce n’est pas un choix de ne pas faire: on n’a pas le 1er euro pour ça. Et impossible d’emprunter.


Je ne sais pas à quel type de structure ou d’entreprise tu penses, mais les chiffres de mise en conformité que tu avances ne me semblent pas être véritablement en cohérence avec le premier Euro manquant.



Je ne conteste aucunement le fait de que de trop nombreux mauvais choix aient été faits par le passé : ignorant (délibérément ?) la gouvernance des données et les contraintes réglementaires associées. Cependant, de nombreuses entreprises pourraient trouver les budgets avec un peu d’effort et une véritable et sincère remise en question.
Il est possible de mettre en place de nombreuses solutions (de très nombreux outils sont disponibles et souvent même open source).
Sans doute, le package final ne sera-t-il peut-être pas aussi “rutilant” (d’un point de vue marketing) que des solutions AWS ou Azure. En revanche, les fonctionnalités et la protection des données peuvent être au rendez-vous avec une configuration et un déploiement adéquats ; c’est-à-dire sur la base d’un hébergement Franco-Européen.

votre avatar

Je ne peux pas m’empêcher d’en remettre une couche :
https://www.solutions-numeriques.com/channel/le-piege-du-cloud-se-referme-sur-ses-utilisateurs-selon-le-cigref-qui-denonce-de-mauvaises-pratiques-commerciales/



On ne peut être plus clair.
Je suis de plus en plus convaincu que des solutions respectueuses de la vie privée et des données personnelles et garantissant l’indépendance des entreprises et des organisations sur le long terme sont moins coûteuses que les visions et décisions court-termistes actuelles et de ces dernières années.



Je n’ai aucun don de voyance. Néanmoins, sur la base d’un peu de logique et de réflexion critique, tout cela était prévisible !



Que de temps et d’argent perdus !

Invalidation du Privacy Shield : les organisations professionnelles réclament des mesures contre l’insécurité juridique

Fermer