Le RGPD est dépassé et devrait être fortement révisé pour prendre en compte le contexte post-pandémique, a déclaré l'eurodéputé Axel Voss au Financial Times, qui le qualifie, à tort, de « l'un des pères du RGPD », alors qu'il fut précisément celui qui déposa le plus d'amendements « négatifs » en matière de protection des données.
Il s'agirait, à l'en croire, de prendre en compte non seulement le passage généralisé au travail à domicile, mais aussi l'émergence d'une multitude de nouvelles technologies.
« Nous devons être conscients que le RGPD n'est pas fait pour la blockchain, la reconnaissance faciale ou vocale, l'exploration de texte et de données [...] l'intelligence artificielle », a déclaré l'eurodéputé allemand.
Son opinion, selon laquelle les règles devraient être révisées « de manière très détaillée », serait partagée par son groupe politique au parlement, le Parti populaire européen (PPE), une coalition qui comprend la chancelière allemande Angela Merkel dans ses rangs.
Sophie in't Veld, eurodéputée néerlandaise qui a participé à la rédaction du RGPD, estime pour sa part que la loi reste adaptée à son objectif : « Nous avons travaillé sur ce projet de loi pendant cinq ans et nous l'avons préparé mieux que toute autre législation. L'idée que nous ayons oublié quelque chose n'est pas plausible. Le RGPD est également une législation très générale qui laisse une grande flexibilité de mise en œuvre. »
Commentaires (50)
#1
Non monsieur le député, le RGPD est tout à fait adapté au contexte post-pandémique et aux technologies dont vous citez. Il est particulièrement adapté car il est protecteur de nos libertés fondamentales et nous rend maître de nos données personnelles et nous protège contre les profilages et possibilités de manipulations subséquentes du fait de ces connaissances intimes basés sur ces profils.
D’ailleurs, le RGPD est si pertinent et si bien élaboré qu’il fait des émules dans de nombreux pays et même les représentants américains se disent qu’il devraient eux aussi se doter d’un RGPD au niveau fédéral. C’est une grande réussite, malgré des applications encore un peu trop timorés.
Nous avons ici un parfait exemple des ravages du lobbyisme sur des élus censé gouverner et défendre/construire l’intérêt général.
#1.1
j’ai du mal à voir pourquoi vous vous enflammez
ce que je comprend moi c’est “il faut le mettre à jour”, pas “on va diminuer sa portée qui nous les brise”
au contraire, j’y vois plutôt une volonté d’ajouter des contraintes visant les éléments cités qui ont trouvé des failles pour ne pas s’y conformer (même si j’ai du mal à comprendre le lien entre rgpd et “blockchain”, mais c’est un autre sujet)
edit : second commentaire d’Equilibrium arrivé entre temps, du coup je complète :
je suppose que le RGPD liste des éléments d’une manière “exhaustive”, mais que de nouveaux sont apparus et du coup qu’il ne s’y applique pas, il me semble “normal” de les ajouter du coup, ou alors de reformuler pour ne pas avoir besoin d’une liste finie d’éléments soumis au RGPD
#1.2
Justement, le RGPD ne liste peu ou pas les domaines d’application, mais cible un sujet, les données personnelles. C’est inquiétant de vouloir rajouter des éléments qui, comme vous l’avez souligné, n’ont pas directement à voir avec la protection des données personnelles, et qui au vu de leur technicité mériteraient d’autres formes de réglementation qui pourraient être revues plus régulièrement et plus facilement qu’un règlement européen.
Comme vous l’avez vous même souligné, une bonne réglementation ne doit pas s’appliquer à une liste fermée d’éléments. Le RGPD a été bien rédigé de ce côté là, c’est d’ailleurs pour cette raison qu’il s’applique également aux systèmes papiers documentaires classiques, qui sont encore bien implantés, tout aussi surprenant que ça puisse être.
#1.3
merci pour ces précisions
merci pour vos retours d’expérience
difficile de juger du coup, les 2 points de vue se défendent
#1.4
Oui enfin reconnaissance faciale / vocale = données perso. Plein de champs d’application de l’IA touchent aux données perso aussi. Et pour qui taffe ds ces secteurs, oui le texte fait déjà très obsolète, c’est un fait.
Du coup t’as les boites européennes qui galèrent avec un texte bcp trop flou et paralysant (meme si faut pas exagérer qd même), et d’autres pays où les seuls freins sont ce qu’ils sont susceptibles d’investir en R&D. Et ça, c’est concret. Bcp plus concret que les résultats du RGPD lui même. Tu te demandes pas pk on a pas déjà des études de l’impact du texte sur les traitements des DCP par les boites? Tu crois vraiment que y a moins de cookies sur les bécanes qu’avant, que les boites se gavent moins, que y a moins de ciblage involontaire? Parce que j’aimerais bien, mais moi je suis à peu près convaincu du contraire.
#2
En tant que professionnel du droit et grand utilisateur de ce texte au quotidien dans mes missions, je ne peux que confirmer les propos du premier commentateur.
Le RGPD est un texte bien rédigé, exigeant notamment envers les plus grands groupes, et suffisamment généraliste pour permettre une interprétation prétorienne exigeante de la part de la cour de justice de l’Union Européenne sur les points de détails qu’il reste à régler. Je suppose qu’il s’agit là d’une tentative à plusieurs tiroirs soit pour en limiter la portée, soit pour limiter de facto le pouvoir de la CJUE, avec laquelle, il me semble, certains élus du PPE sont en bisbille.
Il serait par ailleurs terrible, d’un point de vue de clarté juridique, de commencer à réformer dès maintenant un texte qui vient tout juste de commencer à être appliqué réellement par l’ensemble des autorités de protection des données de l’Union Européenne, et enverrait un contre signal dévastateur à l’ensemble de la population. Alors même que nous commençons enfin à réellement appliquer le texte.
Bref, une excellente fausse bonne idée dans la droite lignée d’une part non négligeable de la doctrine qui ne voit que des “opportunités de réglementation” dans des technologies qui n’ont pas vocation à être réglementées par un texte aussi fondamental, et qui devraient faire l’objet d’une nouvelle directive. D’ailleurs, la refonte de la directive ePrivacy, elle arrive quand ? C’est moins sexy que la blockchain mais c’est un tantinet plus exigeant !
#3
Les réactions précédentes sont une preuve, s’il en fallait, que l’agilité n’est un mode de fonctionnement parfaitement intégré, voire naturel, que pour une minorité, a priori technique, et un mode centré sur des atouts techniques.
Les monde juridique aime les certitudes, les processus bien formés et carrés… sans s’en rendre compte il favorise la bureaucratie et le manque d’agilité, qu’il perçoit logiquement comme une menace.
Le RGPD a eu une longue période de gestation, et c’est un vrai miracle et une bouffée d’air de voir qu’il n’y a pas que des directives liberticides poussées par les intérêts des lobbies économiques qui sont adoptées par l’Europe.
La longue période entre l’écriture originelle et l’application rend de facto le texte à la limite d’être obsolète face à des problématiques qui ont évoluées bien plus rapidement qui lui, par nature figé.
Je pense que c’est précisément l’idée que tente de pousser Axel Voss.
Je comprends cependant que l’idée d’adapter le RGPD aujourd’hui véhicule potentiellement un message destructeur vis-à-vis d’une population qui n’a pas forcément conscience de l’énorme durée que nécessite l’élaboration d’une loi, et qui s’attend à une longue pause avant de modifier un texte existant.
Le paradoxe étant que ce n’est pas parce qu’une suite au RGPD serait étudiée aujourd’hui qu’elle ne serait prête avant des années.
Obsolescence présente… Obsolescence future ?
Il y a certainement du temps à gagner dans l’élaboration de lois/directives :
Cela permettrait de conserver un temps d’élaboration long, nécessaire à la réflexion et aux débats, tout en permettant en sortie une révision régulière du cadre directif, permettant de ne pas trop être en retard sur la réalité du monde et ainsi de raccourcir le délai entre l’apparition de nouveaux usages et leur encadrement.
#3.1
Les textes législatifs ne sont pas comme des révisions de code devant évoluer avec célérité pour corriger des bugs ou ajouter des fonctionnalités.
Un bon texte législatif s’attaque à une problématique de manière générale et systémique en posant des principes de base et des règles d’application assez générales et assez souples pour parvenir à encadrer un domaine conformément aux objectifs de la législation en question. Le texte évolue ensuite grâce à l’interprétation qui en est faite par les juridictions (CJUE) et par les dispositions règlementaires d’application mises en œuvre par les autorités ayant en charge d’appliquer au quotidien cette législation (Les autorités de protection des données, le CEPD).
C’est pour cette raison que le Code civil de Napoléon ainsi que certaines chartes anglaises sont bien qualitativement les meilleurs normes juridiques à ce jour car elles ont permis une continuité tout en s’adaptant à l’évolution des mœurs et de la société.
A l’inverse, les mauvaises législations sont celles qui sont poussés par des lobbies industriels et commerciaux spécifiques, ou par l’action politique médiatique, et dont l’objet est restreint pour n’englober qu’une situation particulière.
Ainsi, toute législation voulant par exemple réguler une technologie spécifique : Blockchain, l’apprentissage machine non-supervisé, la reconnaissance faciale ou que sais-je encore, sera vite obsolète et difficile à appliquer voir inapplicable. Elle créé de la complexité inutile car s’articule mal avec les législations plus généralistes et l’évolution des technologies et des usages.
#3.2
Rien à ajouter à tes 2 commentaires.
Et j’approuve particulièrement le passage sur le Code Civil : des articles souvent courts, clairs et suffisamment bien écrit pour être applicables encore aujourd’hui.
#3.3
Nous sommes entièrement d’accord.
On voit bien que cette prise de position d’Axel Voss n’est qu’un alibi pour rouvrir ce dossier législatif alors même que le temps de l’évaluation de la législation par la Commission n’est pas encore arrivée et que le texte montre petit à petit toute sa pertinence avec le temps.
La position opposée de l’eurodéputée coautrice Sophie In’t Veld qui défend la pertinence du texte montre bien qu’il vient briser un consensus quasi-unanime sur le RGPD.
Je ne peux qu’en déduire qu’une raison ou une autre le pousse à retourner sa veste… et à le médiatiser.
#3.4
Personnellement, je suis d’accord sur le fond, mais moi qui ai une casquette DPO ds une boite qui fait de la data, on voit les limites du RGPD. Et qd on connaît un peu certains écosystèmes, on voit aussi des effets qui ne sont pas tjs positifs : aujourd’hui ce texte est un vrai rayon paralysant, certains traitements font peur et certains voisins de l’EUrope se gavent sans vergogne.
JE suis pas en train de dire qu’il faut ouvrir les vannes, je crois bcp aux principes fondateurs. Mais le texte est bcp trop flou et c’est “a pain in the ass” à appliquer, ou ne serait-ce qu’à comprendre.
Celui qui a déjà rédigé un PIA saura de quoi je parle : j’ai 1000 exemples de trucs balancé ds le texte qui ne sont pas définis, qui veulent tout et rien dire. Et comme y a pas encore assez de jurisprudences, faudrait qu’ils soient 1000 fois plus nombreux à la CNIL.
C’est marrant que tu parles “d’interprétation prétorienne” : tu veux dire quoi par là exactement? Parce que le premier but du RGPD n’est pas la sanction mais promouvoir un écosystème européen, y a une idée un peu protectionniste derrière qq part. Et àa ce niveau là, ben ca marche pas du tout…
Le truc c’est que les gens confondent RGPD avec le sacro saint consentement dans les bannières de cookies. Ce qui est très réducteur sur la portée du texte, et surtout ce qui en pratique s’est avéré contreproductif par rapport au contrôle que les gens ont sur leur donnée… Les gens ont jamais autant cliqué sans se poser de questions sur le “Accepter” pour accéder au contenu souhaité, les intermédiaires et les boites consommatrices de DCP se gavent comme jamais depuis l’application du texte…
Bref en ce qui me concerne, ce texte doit être renforcé, mieux détaillé, et doit fournir des guides pratiques. C’est bien beau d’invalider le privacy shield, de dire qu’il faut héberger en france, mais de donner aucune directive sur l’utilisation de Google ou d’AWS et consorts.
#3.5
Je rajoutterai un petit exemple pratique. J’ai un ami qui travaille pour une compagnie de rééassurance internationale, et il m’expliquait que le RGPD les empêchait simplement de faire leur travail étant donné la nature de ce que sont des données personelles (ils ne peuvent pas communiquer des informations comme la date de naissance ou d’autres infos indispensables dans le cadre d’une assurance par exemple).
Je précise qu’il trouve que l RGPD est une bonne chose, mais qu’il est parfois trop englobant ou flou.
#3.6
J’ai un milliers d’exemples ds le genre… Je travaillais pas mal avec des bahuts avant, aujourd’hui y a des directeurs/principaux/proviseurs qui interdisent de faire des trombinoscopes aux enseignants… Parce que ds le secteur public, ds plein d’administrations, ça serre grave les fesses aussi.
Et ds le domaine de la data, de l’IA, plein de petites boites (mais aussi des grosses en fait) vivent le RGPD comme une sacrée contrainte juridique, pleine d’incertitutde. Mais faut être confronté à cette situation ds certains secteurs et ête face à certaines problématiques pour comprendre que ce texte a bien sûr besoin d’être mieux écrit, mieux détaillé, et laisser justement moins la place à de la pure interprétation.
#3.7
Le texte vous permet de réaliser les traitements nécessaires, vous disposez de plusieurs bases légales dont les principales pour une entreprise sont le consentement, la nécessité pour l’exécution d’un contrat et l’intérêt légitime (plus limité mais utile pour les traitements de base, les aspect backoffice).
Et si vous êtes transparent et que votre activité est légitime et suscite un vrai intérêt, il ne devrait pas y avoir de problème de recevoir le consentement de vos utilisateurs.
Quand on fait beaucoup de traitement de données, on manie des données personnelles de millions de personnes et on a donc une responsabilité particulière. Pour être performant dans ce domaine il faut avoir de bons data analyst, de bons développeurs, de bons DSI/RSSI/Ingénieurs sécurité, mais aussi de bons DPO et juristes pour être en mesure d’assumer les obligations.
Qui ferait confiance à une entreprise n’ayant pas les capacités nécessaires pour rendre le service qu’elle propose ? C’est la base.
On l’a vu encore très récemment vis à vis des données de santé, quand une société vend des solutions à destination des établissements de santé et se fiche complètement du B-A BA de la sécurité et de la conformité des données : Ca donne des résultats catastrophiques.
Ce n’est pas parce que des acteurs sont trop faibles sur leurs propres métiers qu’il faut abaisser les standards, il faut au contraire remonter le niveau de tout le monde.
#3.8
Tu simplifies bcp les choses je trouve. Oui il y a 6 bases légales, et on voit bien que l’utilisation de l’intérêt légitime est souvent questionnable. Et encore une fois, obtenir un consentement n’est jamais compliqué, y a qu’à voir les boites notamment américaines spécialisées dans son recueil notamment en termes de cookies.
MAis ton propos c’est si t’as des bons, tout se passe bien. J’aurais tendance à dire que c’est qd t’as des bons que tu vois mieux justement les insuffisances actuelles d’un texte fourre-tout et très flou.
Parler de traitements à grande échelle mériterait de définir une grande échelle, mais non c’est de l’interprétation. Pareil pour des notions de croisement de données : des tonnes de manières de le faire techniquement, des tonnes de finalités, aucune définition ni ds le texte ni pour la CNIL, c’est du “on verra, attention c’est plus sensible, mais on verra”). Et des exemples comme ça on peut les enfiler comme des perles.
LA CNIL est débordée et choisit ses combats, en l’occurence les cookies (pas que mais c’est vraiment son cheval de . MAis encore une fois, zéro enquête officielle sur l’impact du RGPD là-dessus, alors qu’on sait très bien que c’est le gavage comme jamais, par l’entremise de boites non européennes en plus c’est le ponpon.
#3.9
Il va falloir qu’il change de conseiller sur le RGPD alors. Si les données sont nécessaires à l’activité, il n’y a aucun problème et même pas besoin de demander l’accord (intérêt légitime). Par contre, il faut informer les clients des données traitées et des traitements. Il faut que la compagnie d’assurance fasse ce travail d’information et indique la compagnie de réassurance comme partenaire (peut-être pas utile de la nommer)
#3.10
Peut être, je rapporte ce qu’il a dit. Ca montre en tout cas que ça peut sembler flou.
J’imagine que le fait que la maison mère soit à New-York n’aide pas trop, ceci dit.
#3.11
C’est toujours embêtant de rapporter des trucs entendus sans un peu de recul sur le sujet. Ça pourrait ici faire croire que le RGPD rend impossible de travailler correctement alors que c’est faux.
En fait, c’est aux compagnies d’assurance qu’il réassure de faire l’essentiel du boulot et de vérifier que sa société fait correctement ce qui est dans leur contrat au sujet du traitement des données personnelles. Et les compagnies d’assurance savent très bien écrire et lire des contrats.
#3.12
Sans doute. En attendant, il baigne dedans et c’est son quotidien et il perd un temps bête là dessus. Je trouvais juste intéressant de mentionner que certaines boîtes ont du mal avec ça. Qu’ils aient ou pas de bons conseillers / juristes n’est pas la question en fait, la question, à mon humble avis, est que certains s’y sont mal pris, peut être parce que le texte peut sembler vague ou qu’ils ont sous-évalué son importance.
Le reste, c’est juste donner un avis (logique et plausible, j’en conviens). Ca ne rend pas moins ce que j’ai écrit exact par rapport à cette compagnie particulière. M’est avis que ce n’est pas la seule dans le cas.
#4
Le RGPD est dépassé et devrait être fortement révisé…
“déjà” ?
(mise en œuvre en …2018)
par contre “Le Droit d’Auteur”, qui lui date de..1791—>‘no problème’ !
≠ on.se.fout.du monde
#5
Il ne s’agit pas d’un père du RGPD mais d’un rapporteur fictif EPP (shadow rapporteur au parlement européen) qui a voté contre le texte au final…
Les vrais parents du RGPD sont : Marie-Hélène B. (Unit C3 - DG JUST), Françoise Le Bail (DG JUST), Viviane Reding (Commissaire europénne à la justice), Jan Albrecht (rapporteur) et les membres du Conseil de l’époque.
#5.1
Merci pour la précision, donc c’est une attaque en bonne et due forme certainement soutenu par certaines industries.
#6
Nous avons ici la situation qui serait comique si elle n’était pas symptomatique du mal qui permet à une usine à gaz bureaucratico-politique comme l’UE de prospérer comme une infection sur le corps de l’hôte sociétal : le jeu de dupe infini entre les décideurs qui veulent réformer une législation à peine appliquée et les législateurs trop imbus d’eux-mêmes pour seulement envisager qu’ils auraient pu oublier quelque chose ou se tromper.
#7
c’est, aussi, mon avis !
#7.1
Surtout que c’est à la base un article d’opinion publié dans le Financial Times et que le député se fait passer pour “l’un des pères du texte” alors que c’est faux, comme l’a rappelé Cellular, c’est le shadow rapporteur donc un député opposé au texte lors de son élaboration.
C’est carrément un mensonge éhonté.
Je serai tenté de prévenir L’ombudsman du Parlement européen pour faire sanctionner ce député et tirer ça au clair. Certainement que l’OLAF (office anti fraude de l’UE) pourrait aller déterrer des arrangements douteux concernant cet Axel Voss.
#7.2
purée….“tu m’en diras tant” !
on en apprend des-choses
il mérite d’être sanctionné, ce type
(se faire passer*, pour ce qu’il n’est pas)
un gentil
#8
Le RGPD dans l’idée c’est bien, dans la pratique c’est de la blague.
En terme de concentement, t’as juste un popup qui te donnes le choix entre “tout accepter” ou alors rentrer dans un process chiant de cocher/décocher des trucs… et tout le monde clique sur “tout accepter” parce qu’on n’a pas que ca a faire de configurer ses options de collecte a chaque visite d’un site. Ou alors vous devez créer un compte sur sur le site pour qu’il se souvienne de vos préférences… bref dans les deux cas ils collectent des infos.
La seule avancée c’est les fonctions du genre “cliquer ici pour supprimer définitivement toutes les informations de votre profil” (droit à l’oubli). Mais qui a été vérifié que c’est vraiment supprimé des databases de facebook ou google ? vous ? moi ? … non.
#8.1
Là ce dont vous faite référence est plutôt un mécanisme né de la directive ePrivacy concernant les dépôts de traceur sur votre terminal, et le changement des recommandations des autorités de contrôle lié au RGPD.
Ces mises en oeuvre, ces popup qui vous rendent la vie impossible et ne vous laissent pas vraiment le choix sont des dispositifs illégaux. Ils ne respectent pas le RGPD ni même les recommandations de la CNIL.
#8.2
ce qui est triste, c’est que c’est pourtant ce que pensent 95% des gens (pifomètre hein) qui n’ont pas de rapport avec le RGPD dans leur boulot, en gros “RGPD = popup envahissantes”, ça va fausser l’opinion publique qui va répondre “à mort le RGPD” assez facilement, surtout si qqn se prétendant “père du texte” et dit qu’il faut le revoir :s
ça à tout de suite l’air moins génial cette histoire
#8.3
Les gens ont surtout compris que les données personnelles méritent d’être protégé, que l’absence de sécurité de la part des entreprises exposent tout le monde à des piratages, des fraudes, des vols d’identité et des extorsions de fonds.
Les gens ont aussi compris que le tracking publicitaire est une vraie pollution et utilisent massivement des dispositifs anti-pub. Ce n’est plus réservé aux geeks, toute personne utilisant régulièrement un ordinateur ou un téléphone en utilise. La fautes aux publicitaires du web.
Et également que le modèle données contre service est une vaste fumisterie et n’est plus du tout désirable.
#8.4
hum
j’aimerai bien mais je suis pas aussi certain que “Les gens ont surtout compris que les données personnelles méritent d’être protégé”
le coup des données médicales qui ont fuité ça a peut-être fait une douche froide à certains (et à raison), mais j’ai bien peur que ça ne change pas les habitudes “facebookiennes” de la grande majorité de la population :/
#8.5
Merci pour tes commentaires, c’est tellement agréable d’en lire des structurés et pondérés et par quelqu’un qui connaît bien ce dont il parle.
(tu n’es pas le seul dans ce fil mais je n’avais pas repéré ton pseudo jusqu’à présent)
#8.6
Merci pour votre message. Certains de mes commentaires ont un parti pris politique affirmé, mais il y a des sujets où la précision et la pédagogie sont indispensables et le RGPD en est un. Cela est d’autant plus vrai quand une brève se fait le relai d’une tentative d’attaque en bonne et du forme d’un texte qui a fait ses preuves.
C’est autant la responsabilité d’Axel Voss que du Financial Times qui aurait du ajouter les précisions nécessaires et se désolidariser de cette opinion par neutralité ainsi que de préciser son véritable rôle lors de l’examen du projet législatif.
Il faudrait donc saisir la rédaction du Financial Times et d’envoyer un courrier à la Présidence du parlement européen, puis à l’ombudsman (je crois qu’elle ne peut intervenir que si l’institution concerné n’a pu répondre au problème).
Nous pourrions faire un courrier collectif, public voir une pétition change.org ? MP si vous voulez.
#9
Dans la pratique c’est interdit, mais comme il y a peu de contrôles…
#9.1
C’est sur la mise en pratique et le contrôle qu’il faut maintenant mettre des moyens. Le gouvernement doit renforcer les moyens de la CNIL.
#10
Il y a même des chances que ces entreprises soient incapables de supprimer ces données. A force de mettre tous les fichiers dans des “puits de données” et laisser des programmes tout balayer, cela devient compliqué d’identifier et de modifier chaque fichier impacté.
#11
Le RGPD, règlement EU 2016⁄679, ne mentionne pas la blockchain, car ce n’est pas objet. Et, c’est très bien.
La loi Informatique et Libertés, L 78-17, du 06 janvier 1978, ne mentionnait pas le Minitel, Internet ou d’autres sujets technologiques.
Un règlement, comme une loi, n’est pas “un guide technique pour géotrouve-tout”…. Ni un outil anti one ne sait qui.
C’est un texte qui doit être stable dans le temps.
#12
Vu que d’après Julia Reda et l’EFF , le RGPD serait incompatible avec sa directive droit d’auteur, faut pas chercher plus loin c’est du Axel Voss : pur marionnette des ayants droit…
#13
est-ce vrai que le RGPD interdit d’avoir des fichiers contenant des données personnelles sur OneDrive ou Sharepoint ?
j’ai parfois l’impression que les DPO font des interprétations beaucoup trop restrictives par militantisme ou peur
#13.1
Y a des gens assez fous pour mettre des données personnelles sur OneDrive ou Sharepoint
#14
stockage en Irlande, c’est quoi le risque ? il n’y a pas un peu de parano derrière tout ça ? le DPO n’a jamais pris la peine d’expliquer pourquoi, ce qui ne permet pas l’adhésion.
le système est pratique car il permet de travailler hors ligne ou sans craindre les déconnexions du VPN alors que les répertoires du style “mes docs” sont en réseau
de plus, le versionning et pouvoir accéder à l’historique d’un fichier est très très pratique, tout comme le fait de pouvoir travailler en équipe facilement. Plutôt que d’interdire hypocritement, ne vaut-il mieux pas proposer d’autres solutions aussi efficaces ?
#14.1
Microsoft est une boite américaine, donc sous la juridiction des USA. Théoriquement tout fichier non chiffrée sur les service des GAFAM c’est open bar pour le renseignement américain et ils ne ce gène pas pour le renseignement économique quand ça concerne les grandes boite américaine.
#15
Le cloud n’est pas interdit par le RGPD, il faut juste s’assurer des protections assurées (lieu d’hébergement, sécurité du SI etc…), ce sont des points qui font l’objet de contractualisation, y compris avec Microsoft.
Ça paraîtra peut-être un peu “provoc” à certains, mais j’ai envie de dire “Vive le RGPD !”.
Oui, il fait peur à certains en entreprise, ça complexifie le développement de projets internes, mais c’est plutôt la situation d’avant qui était “anormalement facile” : chacun y allait de son projet, collectait des tas de données personnelles “au cas où, ça pourra toujours servir”, sans se préoccuper de les protéger, de les purger une fois le besoin passé… Sur un grand réseau d’entreprise, on en trouve encore des exemples tous les jours, le ménage sera très très long à faire.
Les données personnelles sont précieuses, on ne peut plus se contenter du “j’m’en foutisme” pré-RGPD. Au moins, 3 ans après l’entrée en vigueur, les employés et les directions commencent à intégrer que si on demande aux clients de nous confier leurs données personnelles, on en devient responsable et on doit tenir compte de leur sécurisation. Au passage, l’entrée en vigueur du RGPD a aussi eu un impact collatéral positif pour les lignes SSI (CISO & co) pour promouvoir les analyses de risques métier.
Les entreprises (et administrations) ont trop longtemps fait n’importe quoi avec les données personnelles. Avec le RGPD, elles ne peuvent plus dire “ah bon ? on ne savait pas”.
Le RGPD énonce des principes généraux, il ne doit pas être remanié pour y intégrer des listes précises de technologies , ce ne serait qu’un moyen de l’affaiblir (pour caricaturer : “vous devez vous assurer de la sécurité des données stockées sur une blockchain, un hébergement cloud…” -> “ah ben mon stockage cloud hybride n’était pas mentionné, du coup j’ai pensé qu’il n’était pas concerné par le RGPD”).
#16
Et c’est bien le problème… ce fameux “principe” qui veut tout et rien dire.
Par exemple, regardons ce que dit la CNIL a propos du consentement:
source: https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
Quand à la charge de la preuve, le “responsable de traitement” (= l’entreprise) se contente d’un simple popup “j’accepte les conditions”.
#16.1
Ce texte est un texte de présentation générale qui n’est pas normatif. Il est de plus ancien (juillet 2018), mis en ligne peu après le début de l’application du RGPD.
Le texte normatif est le RGPD lui-même et il est très clair sur le consentement.
L’article 32 indique comment l’obtenir.
L’article 40 indique que le consentement n’est qu’une des justifications possibles du traitement et qu’il y en a d’autres : “ou reposer sur tout autre fondement légitime prévu par la loi”
Voilà pourquoi il y a “en principe” dans le texte de la CNIL.
#17
et pourtant…
(l’entreprise)
est responsable du respect du paragraphe 1 et est en mesure de démontrer
que celui-ci est respecté (responsabilité)….
dans les faits, c’est pas appliqué par manque de contrôles !
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5
#18
Je ne commente pas souvent, cependant autant de mauvaise foi de la part d’Axel Voss est inacceptable et insupportable.
Je partage l’opinion d’Equilibrium concernant une investigation à mener concernant des conflits d’intérêts potentiels.
Je suis le RGPD depuis son approbation par le Parlement Européen en Avril 2016.
Le texte est dense mais il est bon.
En revanche, il est surinterprété par des personnes soit-disant “bien pensantes”, mais qui souvent me le laissent l’impression d’une certaine paresse intellectuelle quant à la véritable compréhension du texte, de ses intentions et de ses objectifs, ainsi qu’à sa mise en oeuvre en faisant preuve d’un peu de bon sens.
Les dossiers de Nextinpact et de la CNIL sur ce texte fournissent déjà une très bonne base.
Je ne suis pas juriste mais ingénieur et je travaille en environnement réglementé pharmaceutique. Je suis donc en permanence en contact avec des textes réglementaires (pas seulement européens mais également US et autres) parfois contadictoires.
Je confirme que ce n’est pas l’objet d’un texte légal ou réglementaire de fournir des exemples (en particuliers techniques / technologiques) mais de définir le cadre et les objectifs à atteindre : c’est-à-dire le “Quoi” et non pas le “Comment”.
Très sincèrement, la mise en œuvre du RGPD est particulièrement douloureuse pour les organisations qui avaient (délibérément ?) ignoré le texte précédent ; cf. Directive 95/46/CE portant sur la protection des données, dont l’origine fût la loi française “Informatique et Liberté” de 1978 (bientôt 43 ans).
Les problèmes de fuites de données - cf. le problème récent des Laboratoires d’Analyses Biologiques et Médicales ; cf. également les problèmes d’usurpations d’identité suite au manque de protection des données demandées et stockées par les agences immobilières - sont suffisamment graves pour ne pas remettre en cause le seul texte véritablement protecteur.
Par politesse, je n’écrirai pas ce que je pense de Sharepoint, OneDrive, GoogleDrive/Doc, et autres Dropbox.
La contrainte du stockage en Europe - sous la responsabilité directe du RGPD - n’est évidemment pas suffisante puisque, pour les organisations états-uniennes, les PatriotACT et CloudACT s’appliquent ; il en va de même pour des organisations issues d’autres pays pas plus protecteurs (cf. par exemple Inde, Chine, …).
Dernière remarque : je suis toujours choqué lorsque les gens se plaignent d’une réglementation pour laquelle ils ne se donnent pas les moyens de l’appliquer correctement, tandis que la plupart n’oseraient pas remettre en cause la réglementation fiscale en ne l’appliquant pas, voire même en étant prêts à dépenser beaucoup d’énergie pour en chercher les failles.
PS: La légende urbaine de l’impossibilité de faire des trombinoscopes à usage interne ou autres photos de classe à cause du RGPD est totalement infondée.
1/ Depuis des décennies, les parents doivent signer une autorisation de photographier l’enfant au nom du droit à l’image.
2/ Les problèmes liés à la disponibilité non contrôlée de photos sont d’abord à chercher sur les réseaux sociaux avant de mettre en cause le trombinoscope interne de l’entreprise ou de l’école. D’autant que rien n’empêche de mettre un filigrane visible dans la photo publiée dans le trombinoscope.
#18.1
dès le moment où tu mets à disposition des agents les outils Office365, difficile de se plaindre après que les agents les utilise pour travailler le plus efficacement possible
il faut alors proposer des solutions alternatives, sinon c’est un peu facile de se plaindre du comportement des employés et de s’en laver les mains
#19
À ceux qui n’ont pas compris le sens de la remarque ci-dessus, l’interprétation prétorienne signifie que les implications du texte peuvent faire l’objet de discussion dans les prétoires ; c’est-à-dire :
1/ il est toujours possible de faire preuve de bon sens - et d’appeler à ce bon sens - lors de l’interprétation du texte (y compris des sanctions éventuelles), principe de proportionnalité
2/ Il est nécessaire de rester en cohérence avec les évolutions techniques (par exemple sur la base des normes applicables, des publications scientifiques, etc.) et du Droit. Ce que les états-uniens nomment “current practice”.
Cet aspect est particulièrement important lorsqu’il s’agit de textes légaux internationaux, qui plus est, si ceux-ci peuvent faire l’objet d’interprétation par la CJUE.
J’ai particulièrement apprécié la mention du Code Napoléon qui montre combien il est possible d’écrire de bons textes de loi, même avec 200 ans de recul.
“Ce qui se conçoit bien s’énonce clairement, et les mots pour le dire viennent aisément” (Boileau).
#20
Merci pour la précision.
Je ne connaissais cet adjectif que dans le sens classique “garde prétorienne”, qui ne fait pas penser à un prétoire au sens actuel, du coup je suis allé regarder l’origine de l’expression https://fr.wikipedia.org/wiki/Garde_pr%C3%A9torienne et j’en profite pour un petit extrait :
« Ces unités tirent leur origine du petit groupe d’hommes dont s’entouraient les magistrats républicains connus sous le nom de préteurs et leur nom du camp des légions romaines où était dressée la tente du commandant de la légion, le prétoire (latin : prætorium), quand ils partaient en campagne. »
Comme dirait Eolas, “par Portalis !” :-) .
(tu connais sans doute son excellent billet - de mémoire “pourquoi parlons-nous chinois” ou proche - qui explique comment lire et comprendre un extrait de ce fameux code, qui quand on connaît le sens des mots dans le contexte, est parfaitement clair).