Le 18/06/2022 à 16h 15

Le 27 Août 2019, le Süddeutsche Zeitung a publié un article concernant la Croix Rouge Bavaroise qui avait utilisé ce même service Pixel de Facebook associé au … questionnaire de qualification des donneurs de sang !!!

Le problème des données de santé “fuyant” vers FB n’est donc pas nouveau (au moins 3 ans).
Ce qui me surprend, c’est que de telles fuites de données surprennent en 2022.
Le problème est connu.

Une simple recherche sur Internet permet de se faire une idée des soucis.

Rédigeant régulièrement des spécifications utilisateur (URS) entre autres pour des applications web gérant des données de santé, je mentionne explicitement la nécessité d’audité (revue de code) les frameworks d’application utilisés pour s’assurer de l’absence de fuite de données vers des services tiers.
En outre - autant que possible - des mesures de blocages sont requises. Malheureusement si de telles mesures peuvent être aisément mises en place au niveau des serveurs, ces mesures ne peuvent pas être mises en place au niveau des clients (côté utilisateur).

La cyber(sécurité) et la protection des données personnelles requièrent de s’informer (pro)activement !

Le 10/05/2022 à 13h 02

Merci pour la précision, je suis seulement fatigué (covid) et je n’y avais pas pensé car je travaille rarement en français.

Pour info, je suis en train d’animer une formation à distance sur la “valorisation de l’effort du fournisseur” dans le cadre de projets pharma.
Les tests unitaires, les tests d’intégration et les tests de non régression sont au programme : à vérifier dans le cadre d’audit fournisseur.

Le 10/05/2022 à 12h 42

TNR? …

Le 10/05/2022 à 11h 51

Le problème est que les organisations - en particulier le management et les achats - ont mis tous leurs œufs dans le même panier.

Je considère comme très dangereux de rendre tous les processus de l’entreprise dépendant d’une seule plateforme. En cas de mise-à-jour “majeure” (voire même certaines mises-à-jour mineures), le travail de vérification des processus après la mise-à-jour est énorme.
Personnellement, travaillant dans le secteur réglementé pharmaceutique, je suis bien placé pour savoir que de telles vérifications ne sont pas optionnelles mais obligatoires pour tous les processus impactant la santé du patient, la qualité du produit et l’intégrité des données.

Un exemple des conséquences de vérifications inadéquates a été donné en 2015 par Stallergène qui a été temporairement suspendu (pendant plusieurs mois) suite à des dysfonctionnements non corrigés de SAP (en partie dus à une mauvaise configuration).

Le 10/05/2022 à 11h 42

En outre SAP, comme de très nombreux autres éditeurs, pousse de plus en plus “énergiquement” les utilisateurs à migrer dans le cloud.
De tels changements dans la manière de gérer des applications peuvent représenter des risques non-maîtrisables pour les organisations utilisatrices.
Ainsi certains clients refusent de se laisser dicter leur choix et veulent rester sur une solution “sur-site”.

Le 10/05/2022 à 11h 23

SAP est l’un des plus grands (voire le plus grand) progiciel de gestion dans l’industrie et dans les administrations, les hôpitaux, …
De mémoire, SAP vient de fêter ses 50 ans d’existence.
SAP est très modulaire et, grâce à un marketing très efficace, est devenu tentaculaire dans les entreprises:

• Gestion financières


• Gestion des salaires


• Ressources humaines


• Réparation et maintenance


• Gestion documentaire


• Contrôle qualité


• Gestion des stocks


• Business intelligence


• Reporting


• …

Les griefs des associations d’utilisateur à l’encontre de SAP sont principalement relatifs à la gestion des licences.
En effet, SAP a unilatéralement décidé que lorsque des applications tierces (principalement reporting et business intelligence) accèdent aux données stockées dans SAP, il faut que l’entreprise utilisatrice paie des coûts de licences pour tous les utilisateurs de ces applications tierces (en l’occurrence 50% d’une licence d’utilisation SAP) ; omettant de prendre en considération que la plupart des utilisateurs de ces applications tierces (quand ce n’est pas la totalité des utilisateurs) sont déjà des utilisateurs SAP.

Le problème de solutions du type SAP est le verrouillage (lock) des entreprises utilisatrices. Après plusieurs années d’utilisation et plusieurs extensions fonctionnelles (au fur et à mesure de l’ajout de modules), les entreprises ne sont plus en mesure de changer d’outil. Une migration vers une autre plateforme est beaucoup trop coûteuse et contraignante tant au niveau fonctionnel (processus supportés) qu’au niveau des données.

Inutile de dire que SAP profite très largement de la situation.
À côté, MS est encore au niveau école primaire.

Le 26/05/2021 à 09h 30

Merci guiest63 pour l’info.
J’ai essayé d’installer TousAntiCovid après ma première injection et, à part scanner moi-même l’attestation papier reçue pour la stocker en PDF sur mon téléphone, je ne peux rien faire.

J’aviserai dès que j’aurai eu ma seconde injection.
J’espère que la solution EU sera meilleure et plus portable car, en temps normal, je voyage beaucoup pour le travail et pour l’instant je reste bloqué derrière mon écran faute de pouvoir facilement passer les frontières (cf. les conditions paranoïaques imposées par l’Allemagne depuis plus de 5 mois, et les interdictions d’aller en Scandinavie).

Le 26/05/2021 à 09h 13

J’ai un souci avec TousAntiCovid qui a failli briquer mon téléphone. C’est la première fois que l’installation d’une application cause le blocage complet de mon téléphone. Par chance, j’ai réussi à désinstaller l’application dès le redémarrage avec qu’elle ne fasse plus de dégâts.
Je ne comprends pas cette dépendance à cette application. En Suisse, le vacciné reçois un lien vers son attestation de vaccination (PDF) qui contient un QR Code qui peut-être lu et vérifié. Il n’y a pas besoin d’une application et le fonctionnement est semblable (et aussi simple) qu’une approche “papier”.
Le pire de TousAntiCovid est de disqualifier des vaccinés qui n’ont pas l’application.

PS: Mon téléphone est un Xperia XA2 sous SailfishOS 4.0.1.48 avec le container Android qui fonctionne tout à fait correctement avec les autres applications Android.

Le 27/04/2021 à 09h 11

Nanarovic a dit:

J’ai exactement le point de vue inverse

S’il n’y a aucune norme, les informaticiens de toute la France sont obligés de faire des plans de sauvegarde au doigt mouillé, avec des rétentions plus ou moins longues et chaque entreprise fonctionne différemment. De même que si aucune sauvegarde n’est réalisée, l’entreprise n’est pas hors la loi.

S’il y avait une norme ou un arrêté préfectorale sur la durée des rétentions en fonction de la donnée (mail, fichier, logs, etc), ça permettrai de mettre tout le monde au diapason.

Concernant mon mémoire, je n’ai pas envie d’écrire n’importe quoi et j’aimerais trouver le maximum de normes, règles, papiers officiels de corps intermédiaires. Pour l’instant je n’ai presque rien

Nul n’est censé ignorer la loi. Si une entreprise ne fait pas de sauvegarde des données - en particulier fiscales, comptables, garantie du produit et responsabilité civile, … - elle est hors la loi.

L’élaboration d’une stratégie pertinente et conforme de gestion des données est un vrai travail et cela se fait sur la base de la gestion du risque :

• Risques comptables


• Risques légaux, y compris protection de la propriété intellectuelle, protection des données personnelles, …


• Risques réglementaires


• Risques opérationnels


• Risques contractuels (cf. les agences web qui proposent à leurs clients de l’hébergement non sécurisé)

La gestion du risque est tout sauf du “doigt mouillé” !!!

Outre les publications de l’ANSSI, du BSI (Allemagne), de l’ENISA, il y a également des documents très intéressants publiés par le NIST. Contrairement à l’ISO, tous ces documents sont en accès libre.

Le 27/04/2021 à 08h 58

Nanarovic a dit:

Je fais mon mémoire d’ingénieur sur la sauvegarde en entreprise, mais je ne trouve presque aucunes normes ou obligations légales. Plus j’avance, plus j’ai l’impression que c’est au pifomètre, que chacun fais à sa sauce.

A part le concept marketing de 3-2-1 et la norme 27002 qui suggère une distance de 50km entre le datacenter et l’entrepôt de sauvegarde, où sont les règles en matières de sauvegarde ?

please help

Je suis disposé à vous aider sur ce sujet que je connais relativement bien, en particulier en environnement réglementé pharmaceutique.

De manière générale, les obligations légales sont multiples et peuvent fortement varier d’un pays à l’autre. Dès qu’un produit est exporté dans un autre pays, il est possible que des obligations légales “locales” s’appliquent également aux données en lien avec le produit (développement, fabrication, vérification, etc.).

“one size fits all” n’est en aucun cas possible ni pertinent pour la gestion des données.

D’autre part, il ne faut surtout pas confondre la sauvegarde des données qui est une mesure de protection à court terme avec l’archivage des données qui est, par définition, une mesure à long terme de préservation de la disponibilité des données.

Je sais qu’il y a encore des entreprises qui considèrent que mettre annuellement de côté une sauvegarde pour les 10 prochaines années équivaut à archivage ; c’est malheureusement totalement erroné et c’est la PIRE des décisions concernant la préservation des données, surtout si une telle préservation des données est requise par la réglementation ou par la loi.

Pour les données de santé, la période de conservation en Europe (d’autres pays peuvent avoir des exigences plus longues, par exemple le Japon) est généralement de 30 ans.
Les données en lien avec les produits sanguins et les tissus cellulaires doivent être également conservées 30 ans.
Le problème pour les produits sanguins est que l’historique du donneur fait partie des données du produit. Donc si un donneur commence à donner à 20 ans et qu’il fait son dernier don à 70 ans (ce qui est possible dans certains pays européens), l’intégralité de l’historique doit être conservé 30 ans après le dernier don, c’est-à-dire 80 ans après le premier don !

Selon les contextes, le compte-à-rebours de la conservation des données ne commence pas à la génération des données mais (beaucoup) plus tard. Par exemple pour des données de production d’un lot pharmaceutique, la période de conservation des données commence à la libération du lot par le pharmacien responsable, tandis que certaines données peuvent avoir été créées plusieurs mois ou années avant la libération du lot.
De même les données en lien avec le cycle de vie des équipements doivent être conservées aussi longtemps que les données du dernier lot produit par l’équipement. Les équipements industriels pouvant être utilisés de manière opérationnelle pendant plusieurs décennies, les données en lien avec la conception et la qualification de l’équipement peuvent devoir être conservées pendant 30 ans, 40 ans, voire plus.

N’hésitez pas à me laisser un moyen de contact si vous avez d’autres questions.

Le 22/03/2021 à 18h 58

th3squal a dit:

C’est des tech qui gèrent la boite et ca se sent, on a surtout l ‘aspect technique… pour le commercial, on vois après !

Je préfère de loin des techniciens réalistes et compétents à des “marketeux” qui sont prêts à tout - y compris à vendre père, mère et grands parents - pour faire un deal qui ne sera jamais réalisé car impossible à honorer.
J’ai horreur des vendeurs qui ne se soucient jamais de la faisabilité de ce qu’ils vendent.

La communication de crise par Octave est très certainement beaucoup plus crédible que des experts en communication qui ne savent même pas de quoi est constitué un data centre.

Très franchement, je pense qu’OVH gère au mieux une situation réellement difficile.

PS: Je n’ai aucun intérêt chez OVH, si ce n’est que je suis un de leurs clients.

Le 13/03/2021 à 11h 37

fofo9012 a dit:

Comment une chose pareille peut arriver alors que les salles serveurs sont censées avoir un système d’extinction incendie gaz non destructif ?! Y’a une erreur quelque part là…

Oui j’avoue me poser cette question et ne pas comprendre non plus.

À tout ceux qui s’interrogent : comment cela est-il possible ?

Si le feu a véritablement pris au niveau d’un ou plusieurs onduleurs, il faut que vous réfléchissiez à la puissance des batteries qui sont installées derrière l’onduleur.
Si chacun réalise aisément que l’essence est inflammable, la plupart ignore la puissance d’un feu électrique.
Si les pompiers râlent contre les véhicules électriques, ce n’est pas pour rien. Timo (le Hollandais Volant) a plusieurs fois évoqué dans ses blogs la densité d’énergie que représentent des batteries haute-performance. Il est plus facile de mettre de la mousse carbonique sur un feu de pétrole que de stopper un feu électrique, en particulier si une forte puissance est disponible.

Les analyses de risque sont évidemment vitales. Néanmoins, aucune analyse de risque n’est parfaite et on apprend toujours des erreurs d’appréciation passées. Sur ce point, je suis sûr qu’OVH va fortement progresser mais également les autres (s’ils sont intelligents).
C’est exactement ce qui est fait dans l’aéronautique : les rapports sont publics et de nombreuses personnes et entreprises les lisent pour apprendre.
Personnellement, je lis régulièrement les rapports d’accident d’avion alors que mon secteur industriel est l’industrie pharmaceutique. Certaines erreurs - souvent causées par des biais cognitifs - sont aisément transposables dans différents contextes industriels.

Je trouve désolant le grand nombre de critique à l’encontre d’OVH alors que ce prestataire est toujours très transparent lorsqu’il y a des problèmes.
À ceux qui pensent qu’OVH ne fait que du bricolage, je leur rappelle que lorsqu’il y a eu une très violente attaque DDOS (Mirai), OVH a très honorablement résisté (même si les performances de l’infrastructure ont souffert) contrairement à d’autres prestataires - en particulier US - qui se sont littéralement écroulés.

OVH a tenté des innovations dans la conception des data centres. L’histoire nous montre avec le recul certaines faiblesses qui d’ailleurs avaient sans doute déjà été identifiées puisque l’architecture de SBG2 n’est plus mise en œuvre par OVH depuis plusieurs années.
La conception d’un data centre est toujours le résultat d’un compromis entre sécurité, fonctionnalité, maintenabilité, écologie et espace disponible. La solution parfaite n’existe pas.

En tout état de cause, rien ne justifie, côté client, de ne pas faire de sauvegarde des données quelque soit les contrats souscrits, à plus forte raison lorsque le contrat n’inclut pas les sauvegardes.

Lorsque l’ouragan Sandy (Sandy storm) a ravagé la côte Est des USA (Automne 2012), de nombreux data centres ont été inondés et détruits, y compris dans le cas d’infrastructures redondantes et hautement disponibles. J’avais étudié ces cas avec un collègue US et nous avions supposé - avec optimisme - que l’industrie avait une bonne occasion d’apprendre de ses erreurs. Visiblement nous étions trop optimistes sur ce point.

PS: Je n’ai aucun intérêt chez OVH hors le fait que je suis client d’OVH.

Le 11/03/2021 à 00h 19

fdorin a dit:

C’est le principe de l’analyse des risques. Une analyse est et reste théorique jusqu’à ce qu’un véritable incident survienne. Et s’il y a des manquements, il faut en tirer des enseignements. C’est tellement facile sortir un “yakafokon” une fois les problèmes survenus. On a beau imaginer tous les scénarios inimaginables, il y en aura toujours auxquels on ne sera pas préparés.

Je suis très loin du “yakafokon”. Je suis dans l’industrie depuis 32 ans et je fais des analyses de risques depuis le premier jour : d’abord en sécurité des procédés (y compris les aspects automation), ensuite en qualité et conformité réglementaire pharmaceutique.
Ce qui me désespère, c’est le manque d’honnêteté intellectuelle lors de choix techniques et organisationnels.
Tout comme la pandémie, les attaques informatiques et les incidents informatiques même conséquents sont prévisibles. On ne sait pas “quand cela se passera”, mais on peut être sûr que cela arrivera. Il faut donc se préparer en conséquence.
J’anime des formations depuis plus de 20 ans. Dans de nombreuses formations, j’alerte les participants sur la nécessité de planifier correctement (y compris vérification et exercices réguliers) la continuité opérationnelle et les activités de reprise d’activité. Je passe - trop souvent à mon goût - pour un “fondamentaliste” de la sécurité : “les risques sont seulement théoriques, cela n’arrivera jamais ! … Ce n’est pas possible que cela puisse un jour se produire …”.
De même, j’ai alerté dès la fin des années 2000 sur les risques associés à l’utilisation insuffisamment maîtrisée des solutions cloud, tant en ce qui concerne la disponibilité (y compris sur le long terme) des applications, que par rapport à la protection des données. La seule réponse régulièrement entendue est : “tu ne peux pas aller contre les évolutions technologiques”.
Cependant la principale question n’est pas d’aller contre les évolutions technologiques, mais de maîtriser pour le meilleur les moyens technologiques disponibles.
Tout cela se raisonne, se prépare, et se vérifie régulièrement.

Le 10/03/2021 à 18h 47

Habu a dit:

Et je suis d’accord avec toi, ce n’est pas normal d’apprendre l’information par des tiers. Ils ont nos mails pour nous contacter, Ca sert à ça.

Si vos serveurs sont si critiques, pourquoi n’avez vous pas mis en place du monitoring ?

@All: les PRA doivent être formalisés, testés et vérifiés.
Les personnels concernés doivent être formés, et des exercices réguliers doivent être réalisés.

Les PRA se définissent sur la base des besoins métiers (business) et sur la base de véritables - et sincères - analyses de risque.

Tout ce que je lis ici me donne l’impression qu’il n’y a pas grand monde qui a fait “ses devoirs à la maison” avant l’incident; cf. les serveurs ftp de backup non accessibles.

Si tu veux la paix, prépare la guerre !!!
L’informatique au quotidien - y compris les aspects liés à la cybersécurité - c’est la guerre !!!

J’anime une conférence sur la cybersécurité demain - 2021-03-11 - et voici au moins les deux messages que je vais passer aux participants :

• If you think good architecture is expensive, try bad architecture.
  (Brian Foote & Joseph Yoder)





• Plan for the worst, hope the best!

Le 10/03/2021 à 18h 27

(quote:1859571:bidou.bidou)
Les offres d’OVH s’adressent aussi à des particuliers/autoentrepreneurs… Qui pour la plupart n’ont ni les connaissances ni les moyens de mettre en œuvre un PRA.

Quand on commande un VPS sur ovh, il propose une offre snaphsot et une offre sauvegarde automatisée, et c’est à peu près tout. Si jamais ces sauvegardes sont dans le même datacenter que les machines, est-ce vraiment la faute de l’acheteur ?

Oui, si c’est une boîte de 500 personnes spécialisées dans l’IT qui a fait ça, je ne dirais pas la même chose.

Je ne suis pas d’accord : il faut arrêter de laisser croire que n’importe qui peut s’improviser “informaticien”.
Ce n’est pas parce que j’ai fait une cabane en bois dans le jardin pour les chats que je suis entrepreneur de BTP.
Ce n’est pas parce que l’on a mis une guirlande électrique sur le sapin de Noël que l’on est électricien.

L’énorme mensonge des “nouvelles technologies” (terme que j’exècre) est de faire croire depuis près de 30 ans que n’importe qui peut faire n’importe quoi.
Les informaticiens doivent faire des efforts de professionnalisme : moins de bidouille, plus de résilience sur le long terme, et il faut arrêter de courir après les pseudo-innovations et autres buzz marketing.
Les vrais autodidactes motivés et rigoureux sont toujours les bienvenus.
Tous les autres sont priés de reprendre leurs seaux et leur pelles pour retourner jouer dans leur bac à sable.

À force de faire n’importe quoi au niveau informatique, on met en danger de nombreuses entreprises ainsi que les données qui vont avec.
Ne pas savoir que faire des sauvegardes est juste vital, ignorer l’importance des tests réguliers des procédures de restauration des données, ne pas faire régulièrement des exercices de PRA, prouvent seulement que de nombreux responsables (informatique, management, PDG) sont totalement incultes et, en conséquence, qu’ils ne méritent pas leur job.

Une informatique raisonnée peut réellement améliorer significativement les performances d’une organisation.
Néanmoins, il faut également accepter qu’une informatique performante a un coût !!!

Le 10/03/2021 à 17h 22

Equilibrium a dit:

Il y a plusieurs fondements sur lesquels la société pourra avoir des comptes à rendre :

• RGPD : Les obligations de sécurité physique n’ont pas été respecté, des traitements de données ont été réalisé par les responsables de traitements sur des moyens techniques loués à OVH qui devient sous-traitant. Là pas besoin de préjudice, le non-respect s’il est démontré suffit à la condamnation. Ensuite il est possible d’intenter une action au civil pour condamner sur la base du non-respect du RGPD et du préjudice causé.

@Equilibrium: même en étant un ardent défenseur du RGPD, je pense qu’en l’espèce RGPD est totalement hors sujet.
Dans le cas d’une cyberattaque avec perte de données, RGPD serait effectivement au cœur de la cible.

Dans le cas de l’incendie chez OVH, il s’agit avant tout de pertes (destructions) possibles de données (quelle que soit les dites données).

Le point a déjà été abordé dans plusieurs commentaires : hors les obligations contractuelles d’OVH, la responsabilité première quant aux données est du côté du client - qui est le détenteur des données - et qui est en charge - directement ou indirectement - de la gestion des systèmes hébergés chez OVH dans le cas de serveurs dédiés.
Je surpris de lire que des sites gouvernementaux ou institutionnels hébergés chez OVH ne fassent pas l’objet d’une géo-redondance sur deux sites distincts (pas dans deux data centres situés sur le même site).
En tout état de cause, ne pas dupliquer les sauvegardes (backup) sur un autre site est une faute professionnelle grave pour un responsable informatique (interne ou prestataire externe), quelque soit la taille de l’entreprise !!!

Plusieurs commentaires évoquent des Sprinkler comme système d’extinction automatique. Ne connaissant pas totalement la réglementation française, je ne peux pas juger ; néanmoins en Allemagne ou en Suisse, ce sont des systèmes à gaz rare qui sont utilisés, avec de nombreuses conditions associées afin de ne pas asphyxier le personnel pouvant être présent dans les locaux concernés lors du déclenchement du dispositif.

Il est mentionné dans les médias que les pompiers ne pouvaient pas couper l’alimentation électrique. Je pense qu’il s’agit d’un raccourci journalistique. L’alimentation du site a très certainement pu être coupée rapidement, en revanche les onduleurs n’étaient peut-être pas accessibles du fait de l’incendie.

Je suis client d’OVH et je leur souhaite beaucoup de courage pour redémarrer et reconstruire.

Le 06/03/2021 à 16h 23

Dans un “état de droit”, il y a également des devoirs auxquels l’état doit satisfaire.

Le vers est rentré dans le fruit avec les premières lois et contraintes imposées sous couvert de la protection des ayants-droits (cf. les lois ayant conduit à la mise en place de l’HADOPI).

La suite était malheureusement évidente et prévisible : lutte contre la pédocriminalité, lutte contre le terrorisme, lutte contre l’évasion fiscale, lutte contre la fraude aux déclarations sociales, (curieusement ce n’est jamais utilisé contre la lutte aux prestations sociales indues), etc.

Cette remarque est de plus en plus “surexploitée” mais 1984 l’avait annoncé et nous sommes déjà en plein dedans.

Il est totalement inacceptable que l’état français refuse de respecter les textes législatifs européens, alors même que c’est la France qui a introduit au niveau Européen - en partenariat avec l’Allemagne - le principe de subsidiarité.

Le 06/03/2021 à 16h 08

(quote:1858283:T.AM)
Le RGPD est un texte bien rédigé, exigeant notamment envers les plus grands groupes, et suffisamment généraliste pour permettre une interprétation prétorienne exigeante de la part de la cour de justice de l’Union Européenne sur les points de détails qu’il reste à régler.

À ceux qui n’ont pas compris le sens de la remarque ci-dessus, l’interprétation prétorienne signifie que les implications du texte peuvent faire l’objet de discussion dans les prétoires ; c’est-à-dire :
1/ il est toujours possible de faire preuve de bon sens - et d’appeler à ce bon sens - lors de l’interprétation du texte (y compris des sanctions éventuelles), principe de proportionnalité
2/ Il est nécessaire de rester en cohérence avec les évolutions techniques (par exemple sur la base des normes applicables, des publications scientifiques, etc.) et du Droit. Ce que les états-uniens nomment “current practice”.

Cet aspect est particulièrement important lorsqu’il s’agit de textes légaux internationaux, qui plus est, si ceux-ci peuvent faire l’objet d’interprétation par la CJUE.

J’ai particulièrement apprécié la mention du Code Napoléon qui montre combien il est possible d’écrire de bons textes de loi, même avec 200 ans de recul.

“Ce qui se conçoit bien s’énonce clairement, et les mots pour le dire viennent aisément” (Boileau).

Le 06/03/2021 à 15h 52

Je ne commente pas souvent, cependant autant de mauvaise foi de la part d’Axel Voss est inacceptable et insupportable.
Je partage l’opinion d’Equilibrium concernant une investigation à mener concernant des conflits d’intérêts potentiels.
Je suis le RGPD depuis son approbation par le Parlement Européen en Avril 2016.
Le texte est dense mais il est bon.
En revanche, il est surinterprété par des personnes soit-disant “bien pensantes”, mais qui souvent me le laissent l’impression d’une certaine paresse intellectuelle quant à la véritable compréhension du texte, de ses intentions et de ses objectifs, ainsi qu’à sa mise en oeuvre en faisant preuve d’un peu de bon sens.
Les dossiers de Nextinpact et de la CNIL sur ce texte fournissent déjà une très bonne base.

Je ne suis pas juriste mais ingénieur et je travaille en environnement réglementé pharmaceutique. Je suis donc en permanence en contact avec des textes réglementaires (pas seulement européens mais également US et autres) parfois contadictoires.
Je confirme que ce n’est pas l’objet d’un texte légal ou réglementaire de fournir des exemples (en particuliers techniques / technologiques) mais de définir le cadre et les objectifs à atteindre : c’est-à-dire le “Quoi” et non pas le “Comment”.
Très sincèrement, la mise en œuvre du RGPD est particulièrement douloureuse pour les organisations qui avaient (délibérément ?) ignoré le texte précédent ; cf. Directive 95/46/CE portant sur la protection des données, dont l’origine fût la loi française “Informatique et Liberté” de 1978 (bientôt 43 ans).

Les problèmes de fuites de données - cf. le problème récent des Laboratoires d’Analyses Biologiques et Médicales ; cf. également les problèmes d’usurpations d’identité suite au manque de protection des données demandées et stockées par les agences immobilières - sont suffisamment graves pour ne pas remettre en cause le seul texte véritablement protecteur.

Par politesse, je n’écrirai pas ce que je pense de Sharepoint, OneDrive, GoogleDrive/Doc, et autres Dropbox.
La contrainte du stockage en Europe - sous la responsabilité directe du RGPD - n’est évidemment pas suffisante puisque, pour les organisations états-uniennes, les PatriotACT et CloudACT s’appliquent ; il en va de même pour des organisations issues d’autres pays pas plus protecteurs (cf. par exemple Inde, Chine, …).

Dernière remarque : je suis toujours choqué lorsque les gens se plaignent d’une réglementation pour laquelle ils ne se donnent pas les moyens de l’appliquer correctement, tandis que la plupart n’oseraient pas remettre en cause la réglementation fiscale en ne l’appliquant pas, voire même en étant prêts à dépenser beaucoup d’énergie pour en chercher les failles.

PS: La légende urbaine de l’impossibilité de faire des trombinoscopes à usage interne ou autres photos de classe à cause du RGPD est totalement infondée.
1/ Depuis des décennies, les parents doivent signer une autorisation de photographier l’enfant au nom du droit à l’image.
2/ Les problèmes liés à la disponibilité non contrôlée de photos sont d’abord à chercher sur les réseaux sociaux avant de mettre en cause le trombinoscope interne de l’entreprise ou de l’école. D’autant que rien n’empêche de mettre un filigrane visible dans la photo publiée dans le trombinoscope.

Le 24/02/2021 à 22h 31

C’est un comble que ces hôpitaux n’étaient pas OIV quand même … jusqu’ici. <<

Les CHU sont considérés comme étant des “OIV”. Jusqu’à présent, les hôpitaux plus locaux ne l’étaient pas : ni OIV ni OIE.

La Directive 2008/114/CE a été rédigée entre les deux premières pandémies potentielles: H5N1 et H1N1.

La plupart des agences de cybersécurité des états membres de l’Union Européenne ont un département dédié aux services de santé : hôpitaux, entreprises pharmaceutiques “vitales”, etc.
Néanmoins, je crains fort que la plupart des hôpitaux - y compris les CHU - ne soient pas particulièrement robustes et résilient du point de vue de la cybersécurité ; cf. CHU de Rouen, mais également le CHU de Düsseldorf en Septembre 2020.

Le 24/02/2021 à 22h 23

J’ai un doute : est-ce que les logiciels de gestion des résultats d’analyses biologiques et médicales ne seraient pas considérés comme étant des dispositifs médicaux (cf. règle 11 du MDR, Chapitre III, §6.3) ?
Si tel était le cas, alors les contraintes du MDR sont à prendre en compte - revue par un organisme notifié - et, le cas échéant, les autorités réglementaires peuvent sévir.
Si de tels logiciels ne rentrent pas dans le périmètre du MDR, alors, il serait temps d’en élargir son domaine d’application (j’ai bien conscience que je vais me faire des ennemis).

Aux USA, un tel logiciel rentre dans le périmètre réglementaire de 21 CFR 820 - Quality System Regulation (for medical devices) et requière une clearance de la part de la FDA.

Les automates d’analyse utilisés dans les LABM sont des équipements de diagnostic et donc, en temps que tel, des dispositifs médicaux.

MDR: Medical Device Regulation au sens du Règlement Européen ²⁰¹⁷⁄₇₄₅.

Règle 11 :
*Les logiciels destinés à fournir des informations utilisées pour prendre des décisions à des fins thérapeutiques ou diagnostiques relèvent de la classe IIa, sauf si ces décisions ont une incidence susceptible de causer:
— la mort ou une détérioration irréversible de l’état de santé d’une personne, auxquels cas ils relèvent de la classe III, ou
— une grave détérioration de l’état de santé d’une personne ou une intervention chirurgicale, auxquels cas ils relèvent de la classe IIb.

Les logiciels destinés à contrôler des processus physiologiques relèvent de la classe IIa, sauf s’ils sont destinés à contrôler des paramètres physiologiques vitaux, lorsque des variations de certains de ces paramètres peuvent présenter un danger immédiat pour la vie du patient, auxquels cas ils relèvent de la classe IIb. Tous les autres logiciels relèvent de la classe I.*

Le 04/10/2020 à 16h 58

Je ne peux pas m’empêcher d’en remettre une couche :
https://www.solutions-numeriques.com/channel/le-piege-du-cloud-se-referme-sur-ses-utilisateurs-selon-le-cigref-qui-denonce-de-mauvaises-pratiques-commerciales/

On ne peut être plus clair.
Je suis de plus en plus convaincu que des solutions respectueuses de la vie privée et des données personnelles et garantissant l’indépendance des entreprises et des organisations sur le long terme sont moins coûteuses que les visions et décisions court-termistes actuelles et de ces dernières années.

Je n’ai aucun don de voyance. Néanmoins, sur la base d’un peu de logique et de réflexion critique, tout cela était prévisible !

Que de temps et d’argent perdus !

Le 04/10/2020 à 16h 28

Tiebor a dit:

Tu ne comprends pas. Personne ici n’a dit qu’il ne faut pas respecter la loi. Ni l’article ni les commentaires n’amènent à un débat “pour ou contre le RGPD”. Je pensais que ce point était acquis.

Désolé, même après relecture, certains commentaires ne me semblent pas être aussi favorables que cela au RGPD.

Tiebor a dit:

Par ailleurs, tu as une idée des coûts de mise en conformité RPGD? chez moi, à la louche, je dirais bien entre 5 et 8 M€. Ce n’est pas un choix de ne pas faire: on n’a pas le 1er euro pour ça. Et impossible d’emprunter.

Je ne sais pas à quel type de structure ou d’entreprise tu penses, mais les chiffres de mise en conformité que tu avances ne me semblent pas être véritablement en cohérence avec le premier Euro manquant.

Je ne conteste aucunement le fait de que de trop nombreux mauvais choix aient été faits par le passé : ignorant (délibérément ?) la gouvernance des données et les contraintes réglementaires associées. Cependant, de nombreuses entreprises pourraient trouver les budgets avec un peu d’effort et une véritable et sincère remise en question.
Il est possible de mettre en place de nombreuses solutions (de très nombreux outils sont disponibles et souvent même open source).
Sans doute, le package final ne sera-t-il peut-être pas aussi “rutilant” (d’un point de vue marketing) que des solutions AWS ou Azure. En revanche, les fonctionnalités et la protection des données peuvent être au rendez-vous avec une configuration et un déploiement adéquats ; c’est-à-dire sur la base d’un hébergement Franco-Européen.

Le 30/09/2020 à 12h 20

Tiebor a dit:

Tout à fait ! Tu le dis mieux que moi mais c’est ce que je voulais dire. Il y a un calcul rationnel qui ne plaide guère pour la mise en conformité. Et comme je le disais dans mon premier message, la conformité RGPD est loin d’être le premier critère de choix d’une application. Bien avant il y a les fonctionnalités, l’interopérabilité avec l’existant, les préférences des utilisateurs, le coût. Et face à tout ces paramètres, bon courage au DSI qui voudra imposer son choix au nom du RGPD! Il ne fera pas long feu, et ce sera mérité car pour moi il fait mal son boulot.

À 20 millions d’Euros ou 4% du chiffre d’affaire annuel mondial (le montant le plus élevé étant retenu) en cas de récidive, les non-conformités avec RGPD ne me semblent pas si bon marché que cela.

Je n’ose pas commenter le reste du message, pour ne pas être désobligeant ni me répéter.

Le 30/09/2020 à 10h 33

À tout ceux qui expliquent que le RGPD est trop compliqué, trop coûteux, pas pris en compte par les décideurs de l’entreprise, etc.
Réalisez-vous ce que vous êtes en train d’écrire ???

En fait, vous expliquez que, peu importe la loi et ses exigences, on préfère faire comme on veut.
Si je transpose :

• Pourquoi payer les factures, c’est beaucoup moins cher de ne rien payer ?


• Pourquoi faire les déclarations fiscales et sociales, c’est une telle économie de ne pas payer impôts et cotisations ?


• Pourquoi suivre les règles de la construction, construire un immeuble n’importe comment est tellement moins cher ?


• Pourquoi effectuer le contrôle technique des bus, des camions, des avions, c’est tellement coûteux pour un risque d’accident tellement “minime” ?

Ce n’est pas parce qu’il s’agit de numérique et de données, que les risques sont moins critiques, que les exigences légales sont seulement “optionnelles”.

Je suis profondément et sincèrement choqué par certains commentaires arguant que c’est la faute de l’Europe, de l’État, … des autres, si le respect de RGPD est si “contraignant”.

Dans mon rappel “historique” (cf. https://www.nextinpact.com/article/43893/invalidation-privacy-shield-organisations-professionnelles-reclament-mesures-contre-linsecurite-juridique#comment/1826897), j’ai oublié de rappeler deux textes importants (qui ne datent pas d’hier) :

• 1978 : Loi Informatique et Liberté (France)


• 1995 : Directive Européenne 95/46/CE “relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données”

Il ne s’agit donc pas d’un problème récent (2018, 2020), mais d’exigences vieilles de 42 ans (France) et 25 ans (EU).
Si personne ne prend en compte les exigences légales et réglementaires applicables avant de prendre des décisions, il ne faut pas ensuite se plaindre.
Il faut simplement arrêter de se voiler la face.

Avant de prendre une décision, il faut prendre en considération :
1/ Les besoins métiers (business needs)
2/ Les contraintes et exigences légales et réglementaires applicables
3/ Les besoins et les risques opérationnels - fiabilité, disponibilité, … - y compris les exigences applicables à la rétention des données sur l’ensemble de leur cycle de vie
4/ Les solutions techniques possibles (en conformité avec les points #1, #2 et #3)
5/ Les coûts “réels” : projet, déploiement, long terme.

Il est bien entendu que la décision finale DOIT RESPECTER les éléments du point #2.

Ce n’est ni irréaliste, ni utopique, cela s’appelle simplement “respecter la loi”.
Évidemment, cela s’applique également à l’État (cf. e-Health Data Hub, Éducation Nationale, Défense, …).

Pour ceux que cela intéressent, une longue et très instructive discussion concernant la souveraineté numérique sur Thinkerview :
https://www.thinkerview.com/tariq-krim-et-bernard-benhamou-souverainete-numerique-la-douche-froide/

Le 28/09/2020 à 16h 54

Coeur2canard a dit:

Bcp de ptites boites traitent de la donnée perso, et n’ont pas un grand DSI manitou qui gère à proprement parlé ces questions (peut-être que ceux qui ont bossé ds la ptite startup verront de quoi je parle). Du coup oui, l’invalidation du PS pose question et crée de l’incertitude. Combien de boites traitent de la donnée perso sur du google drive (et pareil pr office 365, AWS et compagnie)… et n’ont pas le début de commencement dune réponse sur ce qui doit ou doit pas être fait.

En transposant : je fais de nombreuses erreurs dans ma déclaration d’impôts, de TVA ou d’URSSAF, mais je suis une petite structure et je ne sais pas faire, donc ce n’est pas de ma faute s’il y a des problèmes.

De même que l’argument n’est pas recevable d’un point de vue fiscal, il ne peut pas l’être du point de vue de la protection des données.
Il faut arrêter de faire n’importe quoi et de toujours chercher des excuses inacceptables.
Il faut faire son travail, se former, et savoir se faire conseiller correctement.

Les prospectus marketing ne représentent pas une source fiable d’information.

Quant au pop-corn, j’en ai également fait provision

Pendant l’été, il y avait un témoignage très instructif concernant quelqu’un qui a été victime d’une usurpation d’identité, la fuite des données était une agence immobilière contactée quelques années plus tôt dans le cadre d’une recherche de logement.
Pour ceux qui auraient encore des doutes sur la pertinence du RGPD :
https://linuxfr.org/users/malizor/journaux/j-ai-teste-pour-vous-se-faire-usurper-son-identite

Le 28/09/2020 à 16h 39

Tiebor a dit:

Merci pour ce rappel des fondamentaux.
Ce qui me gène, c’est que dans l’immédiat, ce n’est pas tant les géants américains qui sont inquiets, mais surtout leurs clients européens, souvent captifs (peine possible : 5 ans de prison et 300k€ d’amende!!).

De rien :-)

Je suis désolé mais c’est au client de prendre des décisions et de faire des choix en accord avec la législation applicable.
Si je mets illégalement de l’argent dans un paradis fiscal douteux, c’est d’abord mon problème. Je peux peut-être essayer d’expliquer que la banque m’a encouragé à faire quelque chose d’illégale, néanmoins, cela reste mon choix.

Ce sont les entreprises Européennes qui se sont mise en position de dépendance.
J’ai mentionné cet aspect depuis 2012 dans différentes conférences et dans plusieurs articles … et je me suis fait traité de “ringard opposé au progrès technologique”.
Ce n’était et ce n’est absolument pas le cas ; je me contente simplement de lire la Loi et la Réglementation en vigueur et d’en déduire logiquement les implications.

Le 28/09/2020 à 16h 30

Tiebor a dit:

1. L’annulation du Privacy Shield n’empêche pas de stocker des données aux Etats-Unis, dès lors que l’hébergeur fait signer au responsable de traitement (= son client) les fameuses clauses contractuelles types (CCT).

En Droit, il n’est pas possible de définir dans le cadre d’un contrat des clauses qui ne sont pas soutenues et reconnues par la législation applicable en vigueur (en l’espèce : code fédéral US).
Le problème ne se pose pas seulement pour la protection des données personnelles mais également pour la protection de la propriété intellectuelle (cf. par exemple les problèmes avec l’Inde).

Au plus tard depuis l’invalidation du Privacy Shield, les transferts (pour traitement et/ou stockage) de données rentrant dans le périmètre du RGPD vers les USA ou vers des infrastructures gérées par des entreprises à capitaux US ne sont pas légaux !!!

NB: Quid des listes dans Excel 365 contenant des données personnelles ?

Sans compter que ce n’est véritablement pas une riche idée de stocker des secrets de fabrication ou des résultats de recherche dans le cloud, en particulier Office365 ! ….

Le 28/09/2020 à 16h 17

erw_da a dit:

Ce qu’elles laissent implicite c’est qu’elles n’envisagent absolument pas de ne pas transférer les données. On a des entreprises avec un business illégal qui réclament d’être protégées par la loi.

Malheureusement, c’est tout à fait ça.
Je suis sidéré de constater combien les exigences légales en informatique - et en particulier en ce qui concerne la protection des données - sont délibérément ignorées par les entreprises et même par les administrations (cf. e-Health Data Hub) ; pourtant :

• Le Patriot Act date de 2001.


• E. Snowden a confirmé ensuite les pires craintes que l’on pouvait avoir en ce qui concerne la protection des données personnelles


• L’invalidation du Safe Harbor ne s’est pas produit en catimini, M. Schrems ayant dû lutter pendant plusieurs années pour avoir gain de cause.


• L’Executive Order de POTUS au lendemain de son arrivée à la Maison Blanche (2017-01-25) était pourtant très clair.


• Le CLOUD Act date de Mars 2018 ; seulement 2 mois avant l’entrée en vigueur en Europe du RGPD.

La décision du 17 Juillet 2020 par la CJUE était plus que prévisible (pour moi, le Privacy Shield était déjà en état de mort clinique depuis le 2017-01-25).

Il n’y a donc AUCUNE excuse pour ne pas avoir anticipé.

Il faut enfin arrêter de prendre des décisions exclusivement court-termistes sans réfléchir !!!

Pour info :
Executive order, 2017-01-25, Enhancing Public Safety in the Interior of the United States, Sec. 14

“Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.”

Les agences doivent, dans la mesure où cela est compatible avec le droit applicable, veiller à ce que leurs politiques de protection de la vie privée excluent les personnes qui ne sont pas des citoyens américains ou des résidents permanents légaux des protections de la loi sur la protection de la vie privée concernant les informations personnelles identifiables.

NB:
Le “droit applicable” ne concerne pas les législations hors des USA mais les seules lois états-uniennes.
En d’autres termes: “RGPD ? Connais pas !”

Les “informations personnelles identifiables” sont définies dans le cadre de l’HIPAA (Health Insurance Portability & Accountability Act) : il s’agit de 18 identifiants.

Le 28/09/2020 à 17h 10

Merci à la Document Foundation pour LibreOffice

Le 28/09/2020 à 15h 52

Ma traduction de “Bare Metal Cloud” : Serveur physique dédié

“Cloud” c’est pour le marketing, puisque tout le monde explique aux “décideurs” qu’il faut être dans le cloud sinon on meurt.

Le 28/09/2020 à 15h 46

Je ne vais pas en rajouter une couche après plusieurs commentaires concernant un article de vendredi (²⁵⁄₀₉) sur le lobbying auprès du Parlement Européen : cf. https://www.nextinpact.com/article/43867/europe-interdire-parlement-lobbyistes-geants-net-si-leur-ceo-refuse-audition#comment/1826579 et suivants.

En résumé :

• Oui, le lobbying est nécessaire, au moins pour éviter les trafics d’influence


• Oui, il est nécessaire d’encadrer les activités (et surtout les budgets) de lobbying


• Il n’est pas acceptable que certains lobbys utilisent des “sous-marins” (think tanks et autres “associations”) pour prendre les parlementaires en tenaille.

Le 28/09/2020 à 15h 33

Patch a dit:

Parce que quand on leur demande, leur réponse est “oui notre idéologie est un libéralisme maximal, et c’est la meilleure.”

1/ Où cela est-il écrit ?
2/ Si les directives ne sont pas ou plus adaptées, elles peuvent être révisées, il suffit que les gouvernements le demandent ; cf. par exemple les règles de concurrence et anti-monopole qui ont déjà plusieurs fois posé problème lors de tentatives de fusion entre entreprises européennes.

La Commission / les Commissaires ne font qu’appliquer la législation Européenne en vigueur qui a été préalablement votée par les gouvernements des pays membres et le Parlement.

Le 26/09/2020 à 13h 04

Patch a dit:

L’UE est une Europe marchande (si ce n’était pas le cas, on n’aurait pas une Commission Européenne qui a plus de pouvoirs que le Parlement, tout en étant composée uniquement de non-élus). Ca t’étonne, du coup?

Avant d’écrire n’importe quoi, il faudrait d’abord se renseigner sur le fonctionnement des institutions Européennes.
En résumé :
1/ La Commission est proposée par le conseil des chefs de gouvernement européens.
2/ Chaque candidat commissaire est auditionné par le Parlement Européen (directement élu par les citoyens européens) et le cas échéant peut être refusé (la France en sait quelque chose après la mésaventure de 2019)
3/ La Commission est mandatée par le conseil des chefs de gouvernement et travaille sous l’autorité des conseils des ministres européens concernés (économie, commerce, industrie, culture)
4/ La commission propose, les gouvernement approuvent … ou pas
5/ Les textes doivent être approuvés par le Parlement Européen (directement élu par les citoyens européens)

À moins de considérer que les gouvernements de chaque état membre ne sont pas démocratiques et que les élections du Parlement Européen ne sont pas non plus démocratiques, je ne vois pas où se situe le déficit (voire le déni) de démocratie que représente l’Union Européenne.

Qui plus est, le Parlement Européen est élu à la proportionnelle.

Le 26/09/2020 à 12h 53

Patch a dit:

Faut dire que ce sont les mêmes de chaque côté, à qques nuances prêt (au niveau national - au moins en France - il y a une tendance népotique, alors qu’au niveau UE c’est idéologie débile ultra-libéraliste, dont ils sont particulièrement fiers d’ailleurs)…

Au plus tard depuis le départ des britanniques, je ne crois pas que “l’idéologie” de l’UE soit “ultra-libérale”.
Avant de crier “haro sur le baudet”, il faudrait procéder à une véritable revue sincère des textes européens et de leurs apports au quotidien.
Les apports positifs sont très nombreux. Évidemment, c’est comme la rubrique des faits divers dans les journaux, on ne parle pas des trains qui arrivent à l’heure mais plutôt des chiens écrasés.
Très franchement, les textes Européens ont beaucoup plus souvent été à l’avantage du citoyen et du consommateur que de nombreux textes législatifs français.

Une économie de marché “ouverte” (je n’aime pas le terme “ultra-libéral” qui est faux dans ce contexte) favorise la transparence au détriment du copinage.
Il n’y a qu’à voir ce qui s’est passé avec l’attribution de l’hébergement du e-Health Datahub français qui s’est passé hors de tout contrôle législatif et hors de tout appel d’offre ouvert.

Non seulement les règles françaises des marchés publics ont été bafouées mais également les règles européennes. J’attends avec impatience les évolutions de ce dossier.

Le 26/09/2020 à 12h 43

Argonaute a dit:

C’est surtout une porte ouverte à la corruption, car le pouvoir que donne la masse financière dont disposent les plus grosses sociétés leur permettent :

1- d’être présent en tant que lobbyiste auprès des plus grandes instances Européenne, ce que ne peuvent pas se permettre bon nombre de société plus petites mais certainement plus innovantes,

2- de leur permettre d’être généreux envers les représentants qui les relaient à travers leurs différents pieds à terre dans les diverses paradis fiscaux mondiaux…
-
Désolé, mais tu mélanges différents sujets :
1/ Le lobbying n’est pas équivalent à la corruption (ce qu’évoque implicitement ton point #2)
2/ Il n’y a pas que des “grandes” entreprises. Ceux que tu appelles les petits (PME, artisans, etc.) peuvent très bien être actifs en se fédérant au sein d’associations professionnelles ou d’intérêt partagé. Un très grand nombre d’organisations “lobbyistes” auprès de l’UE sont d’ailleurs des associations.
a/ La Quadrature du Net est stricto sensu une organisation de lobbying.
b/ Les associations de malades/patients sont des organisations de lobbying.
c/ Les organisations de défense du consommateur sont des organisation de lobbying,

Il faut un peu sortir de l’idéologie binaire et plutôt essayer de comprendre qui fait quoi et comment cela fonctionne.
Je suis convaincu que ceux-là même qui sont contre les lobbys sont les mêmes qui se plaignent que leur point de vu n’est pas écouté ni défendu.
Il n’y a pas “deux poids, deux mesures”, il faut une approche unique et raisonnée, sans hésiter à l’améliorer si cela semble nécessaire.

Le 26/09/2020 à 12h 30

TabDambrine a dit:

Plus simple, il suffit d’interdire toute forme de lobbying.
Ce serait une énorme erreur car ce serait un déni de la liberté d’expression.
Je n’aime pas le terme de lobbying mais un droit à la communication et à l’expression est nécessaire, c’est même fondamental.
Si le législateur - qui par essence ne peut pas tout savoir ni être un expert sur tous les sujets - ne peut pas demander un avis ou un éclairage à des spécialistes du sujet, le pouvoir fonctionnera de manière totalement “hors-sol”.
En revanche, je suis assez d’accord avec le fait que les personnes convoquées à une audition par le parlement ne devraient pas pouvoir refuser de se présenter aux élus.
Lorsque le Congrès ou le Sénat US “invitent” quelqu’un pour une audition, c’est implicitement contraignant, même si certains cherchent de mauvaises excuses pour se défiler (quelle surprise, ce sont les mêmes … MZ par exemple).

En tout état de cause, je ne comprends pas cette approche idéologique qui consiste à dire que si un expert d’un sujet est écouté, alors il y aurait conflit d’intérêt.
C’est toute la perversité des discussions autour des organismes réglementaires sur les questions de santé (ansm, anses, EMA, OMS, …).
1/ Il n’est pas possible d’être “expert” sur un sujet, si l’on n’a pas travaillé dessus.
2/ Généralement les scientifiques ne travaillent pas bénévolement (ils ont une famille à nourrir), donc ils sont payés.
3/ Ce n’est pas parce qu’ils ont un jour travaillé pour un labo qu’ils ont perdu leur indépendance et leur liberté de jugement.
Il en va de même pour tous les corps de métiers et pour toutes les disciplines scientifiques et techniques. Il est nécessaire que le législateur puisse s’informer et poser des questions avant de prendre une décision qui impactera la société et l’économie pour plusieurs années voire plusieurs décennies.
L’Union Européenne impose de s’inscrire au “Transparency Register” et les informations contenues dans ce registre sont maintenues à-jour.

Les règles existent, elles sont appliquées (UE) et elles peuvent naturellement être améliorées.

Remarque
La pluralité des avis est cruciale !
Parfois l’avis “raisonnable” n’est pas entendu car il peut paraître “ennuyeux”.
En revanche, c’est souvent lorsque l’on entend les avis “moins raisonnables” que l’on prend conscience de la pertinence de l’avis “raisonnable”.

Le 28/09/2020 à 15h 23

dapoussin a dit:

La vente de médicaments en France, c’est du grand n’importe quoi. L’Etat fait tout pour protéger le monopole des pharmacies, au détriment du consommateur. Il faut d’urgence libéraliser ce marché, au moins pour les médicaments sans prescription. J’ai hâte de voir l’arrêté de la CJUE :)

La Loi et la Réglementation doivent d’abord protéger le patient (client).
Les Bonnes Pratiques de Distribution existent et s’appliquent afin de préserver l’intégrité du médicament quel qu’il soit (OTC ou sur ordonnance) :

• Lutte contre la contrefaçon


• Conditions de transport et de stockage conformes au dossier d’enregistrement (AMM)

Personnellement - sans être pharmacien - je ne suis absolument pas favorable aux pharmacies en ligne qui peuvent être la cause de très nombreux soucis de santé publique.
Les Français consomment déjà beaucoup trop de médicaments, ce n’est pas nécessaire de faciliter (voire d’encourager) cette consommation.

Le 06/06/2020 à 16h 29

De ce que je sais (mais je ne sais pas tout), Rosace déploie la fibre dans certains villages qui ne font pas partie de la M2A (Mulhouse agglomération).
La M2A ne collabore pas avec Rosace.
Mon village fait partie de la M2A et malheureusement nous sommes souvent servis les derniers &nbsp; :-(
J’ai été très surpris hier lorsque j’ai vu la plaque de fonte avec le logo Free, car je pensais qu’Orange était en charge de l’infrastructure.
Peut-être y-a-t-il eu un deal entre les deux opérateurs et un partage d’infrastructure ?
En tout cas, c’est bien Free (respectivement son prestataire) qui a procédé au raccordement depuis le point de connexion (regard dans la rue) jusqu’à ma maison.
D’autre part, j’ai appris à ne pas me fier au site de l’Arcep qui m’a trop souvent déçu par des informations inexactes.
J’ai aussi découvert que le NRO du village était situé à un endroit totalement différent du NRA. J’en déduis donc qu’une partie de l’infrastructure est totalement nouvelle, y compris les fourreaux et autres gaines techniques.
La réunion d’information fibre dans le village devait avoir lieu le 9 Mars 2020 et a été annulée à cause de l’épidémie.
Notre maire a juste fait l’économie d’un courrier que j’avais prévu d’envoyer après les élections pour faire part de ma lassitude et de mon mécontentement suite aux 10 jours de panne ADSL en Avril ce qui a très fortement perturbé mon travail et les cours à distance (université) pour ma fille.
Comme précédemment mentionné, cela fait au moins 5 années que les promesses n’étaient pas tenues.
Mes voisins de l’autre côté de la rue (côté impair) ne sont pas encore raccordables et ils ont eux aussi une très mauvaise connexion ADSL. Il semblerait que les gaines ne soient pas encore posées de l’autre côté de la rue.
S’ils doivent attendre encore longtemps, je vais leur mettre un hot-spot à disposition (d’ailleurs ils sont également chez Free) ; maintenant j’ai suffisamment de bande-passante.

Le 06/06/2020 à 12h 43

fofo9012 a écrit :

Free ne déploie aucune infra ils ne couvrent que les 10 plus grandes villes, pour le reste il utilise le réseau installé par Orange / SFR (⁸⁰⁄₂₀%) :
https://www.google.com/maps/d/viewer?mid=1O0Oh10IuDbRwZlrf7u81dnknwLc&ll=47….

Losange réseau normal, gouttes réseau installé par Free.


Désolé, mais les plaques de fonte sur les points de connexion ont le logo de Free (pas un autocollant, mais marquage lors de la fonte).
C’est donc bien Free qui a mis en place ces points de connexion.

Le 06/06/2020 à 08h 58

Petit retour d’expérience, habitant dans un village dans la “pampa sud mulhousienne”.
Après 17 ans et 1 mois d’ADSL (j’étais un des premiers clients de mon village) avec un débit max de 5 Mb/s (quand le vent était favorable " />)
J’ai eu la surprise d’être raccordé hier à la fibre " />
Je désespérais depuis plusieurs années car depuis au moins 5 ans, on nous promettait d’être raccordé d’ici à la fin de l’année suivante.
J’ai la chance que Free (dont je suis un client fidèle depuis 1999 : cf. LibertySurf, Tiscali, Alice, Free) déploie sa propre infrastructure ce qui me permet de rester chez eux, sans aucune complication pour le même prix.

• Avant : 5 Mb/s (down) / 1 Mb/s (up)
  


• Maintenant : 1 Gb/s (down) / 600 Mb/s (up)
  
  Bon courage à ceux qui attendent.
  —
  PS: Cela compense en partie des 10 jours de panne ADSL d’Avril 2020.

Le 30/04/2020 à 15h 18

Triton a écrit :

Un des points critiques pour le support de SailfishOS est la disponibilité d’AOSP par le fabricant, ce qui est le cas de SONY.
Donc autant je refuse d’acheter du SONY parce que je n’aime pas cette boîte, autant je comprends ce choix.

M’en fous, mon Jolla 1 de 2013 tient toujours 6 jours avec une seule charge.&nbsp;" />


Tout dépend de l’usage que l’on fait de son téléphone ;-)
—
Pour info : depuis mon premier téléphone fin 1999, j’ai toujours été fidèle à Nokia (sauf durant la période Lumia/MS). L’Xperia XA2+ sous SFOS va remplacer à terme mon N9 (pour l’instant j’utilise les deux téléphones en parallèle). Si la mise-à-jour 3.3.0 est convaincante, la carte SIM du N9 va migrer dans l’Xperia SFOS.

Le 30/04/2020 à 14h 24

En lisant les commentaires concernant les téléphones Sony supportés par Sailfish OS, j’ai l’impression que ceux qui critiquent n’ont pas utilisé eux-mêmes ces équipements.

Je suis passé à Sailfish OS en Août 2019 sur un Xperia XA2+.

• Je n’ai aucun souci de consommation (recharge en moyenne tous les 4+ jours).
  


• Les photos sont de bonne qualité.
  
  Les seuls soucis que j’ai eus étaient causés par des bugs de Sailfish (problèmes de routage audio pour les appels Whatsapp ; corrigés depuis la mise-à-jour de Décembre 2019).
  
  Personnellement, je n’investis pas 300+ EUR pour un téléphone portable. Le choix des équipements proposés par Sony est donc très pertinent.
  En outre, il est très facile de rooter un téléphone car très bien supporté par Sony (ce qui n’est pas toujours le cas chez d’autres fabricants).
  
  Pour 49 EUR (licence), Sailfish OS est un bon choix, même si l’implémentation des fonctionnalités manquantes est toujours trop lent d’un point de vue utilisateur.
  Je vais donc faire une mise-à-jour de mon téléphone vers cette nouvelle version au cours des prochaines semaines.
  
  La série des Xperia X est également soutenu par Sailfish OS.
  
  Ne pas hésitez à aller surhttp://jollafr.org/ pour avoir un peu d’aide, si nécessaire.

Le 21/04/2020 à 12h 51

skankhunt42 a écrit :

J’aurais tendance à penser que non seulement ça sert à rien mais en plus ça permet de creuser plus vite notre propre tombe. Mais si vous me prouvez le contraire j’installe ce truc sur ma machine !


Cf. la deuxième partie de mon commentaire https://www.nextinpact.com/brief/l-application-folding-home-permet-de-prioriser-… où je tente d’expliquer sommairement le principe et l’utilité de tels projets de recherche.

Ensuite, libre à chacun de décider ce qu’il trouve bien !
—
Voir également :
https://www.worldcommunitygrid.org/research/viewAllProjects.do

Le 21/04/2020 à 12h 42

BlackKrystal a écrit :

J’ai déjà BOINC (World Community Grid) sur 4 machines, mais je ne vois rien passer côté Covid, c’est normal ? Ou Folding@Home est encore un autre projet ?

&nbsp;
Cf. mon (long) commentaire :https://www.nextinpact.com/brief/l-application-folding-home-permet-de-prioriser-…

La phase de beta test a démarré la nuit dernière (²⁰⁄₂₁-04-2020). La phase opérationnelle du projet Open Pandemics devrait sans doute démarrer au cours des 2 prochaines semaines.
Pour plus d’information :https://www.worldcommunitygrid.org/forums/wcg/viewthread_thread,42232

Le 21/04/2020 à 12h 31

Concernant les projets “life science” et de protection de l’environnement, il n’y a pas que Folding@Home.

Personnellement, depuis Janvier 2007,&nbsp; je contribue aux projets de World Community Grid : WCG https://www.worldcommunitygrid.org).
J’ai rejoint cette plateforme de Grid computing à l’occasion du projet Décrypthon concernant la dystrophie musculaire (projet initié par l’AFM).
J’ai ensuite continué de participer activement aux 30 projets qui ont été ou sont encore actifs.

WCG est en train de lancé un projet de recherche concernant l’identification de traitements potentiels contre le SARS-COV-2 (Covid-19) : Open Pandemic.

WCG est sponsorisé par le département mécénat d’IBM. L’entreprise fournissant les ressources matérielles et opérationnelles.
Les projets de recherche sont développés par des laboratoires de recherche (universités, hôpitaux, ONG, …) à but non lucratif et sont évalués et sélectionnés par un comité scientifique et éthique.
Les résultats des recherches doivent être publiés en tant que “Public Domain” (les dépôts de brevet et de copyright ne sont pas autorisés si les données de recherche utilisées ont été générées via WCG).

L’outil utilisé pour l’ordonnancement des calculs est Boinc (https://boinc.berkeley.edu).
WCG met à disposition une version auditée de Boinc pour les machines tournant sous Windows et MacOS. Les machines Linux utilisent la version de Boinc directement disponible dans les dépôts des distribution Linux concernées.
WCG/IBM réalise également des audits de sécurités des applications projets qui vont tourner via Boinc sur les machines des contributeurs.
—
Les projets de recherche “life science” permettent de faire de la recherche “in silico”. C’est-à-dire de présélectionner des candidats potentiels pour une thérapie particulière avant de passer à la phase “in vitro” (expérimentation en laboratoire) et ensuite “in vivo” (expérimentation sur des modèles animaux) et, si tout va bien, pour passer en phase clinique (expérimentation sur les humains).
—
Quelque soit l’urgence actuelle représentée par Covid-19, il est absolument nécessaire pour l’avenir de pouvoir identifier des traitements SÛRS.
Cela n’est possible que si la phase “in vitro” peut être limitée au moyen d’une présélection efficace de candidats potentiels.
&nbsp;
À toutes fins utiles, il faut savoir qu’un nouveau médicament (c’est-à-dire : un nouveau principe actif) est en général le résultat d’un processus de sélection d’environ 10 à 20 candidats potentiels sur un ensemble de 100’000 candidats.
Se reposer sur la seule expérimentation “in vitro” n’est tout simplement pas possible, ni en terme de temps, ni en terme financier.

Les avancées de la recherche “in silico” sont le résultat du développement depuis environ 25 à 30 ans d’une nouvelle branche de l’informatique : la bio-informatique. La montée en puissance des ordinateurs personnels a été le déclencheur pour passer d’une approche “super computer” à une approche “calcul distribué” (grid computing).
—
N’hésitez pas à rejoindre World Community Grid https://www.worldcommunitygrid.org) en fonction de vos ressources : capacité de calcul de vos ordinateurs et de vos moyens financiers (facture d’électricité).
—
PS: L’équipe Décrypthon https://www.worldcommunitygrid.org/team/viewTeamMemberDetail.do?sort=points&… est toujours active !

• 
  Déclaration d’intérêt
  Je ne travaille ni pour IBM, ni pour un laboratoire pharmaceutique.
  Néanmoins, dans le cadre de mon activité professionnelle, je m’occupe des questions liées à la validation des systèmes automatisés et informatisés ainsi qu’à leur conformité réglementaire en environnement réglementé pharmaceutique, y compris toutes les questions en lien avec l’intégrité des données.&nbsp;

Le 09/04/2020 à 18h 57

&nbsp;

deathscythe0666 a écrit :

Je viens de vérifier, c’est en dollars PPA (pondérés au coût de la vie)


Merci pour la précision, car dans ce cas les chiffres sont cohérents.
&nbsp;—
Concernant le “pas cher”, je suis d’accord avec toi.
Pour éviter de telles distorsions de concurrence, il faudrait mettre en place une taxe compensatoire à l’entrée des marchandises en Europe.
Pour éviter les cris d’orfraies,&nbsp; on pourrait considérer que le montant de ces taxes compensatoires abonde les fonds d’aide au développement des pays qui bénéficient de toute façon de telles aides de la part de la France ou de l’Europe. L’avantage serait que ces montants d’aide ne serait plus pris en charge par les impôts / budget de l’état mais essentiellement par ce fond de compensation. Ainsi ce prélèvement “fléché” permettrait en conséquence d’alléger le budget de l’état.

Néanmoins, il est malgré tout nécessaire en parallèle que l’organisation systémique de la France soit profondément remise à plat, car il n’est pas possible que nous continuions à dépenser autant par rapport à notre PIB pour un résultat aussi faible.

Je pense qu’en combinant les deux approches une amélioration est possible sans que le coût de la vie augmente considérablement. Le confinement va de toute façon coûter beaucoup plus cher au pays et à ses habitants que toutes les mesures qui auraient dû être mise en œuvre pour éviter une telle tragédie.
&nbsp;
Moins de délocalisations &gt; plus de travail en France/Europe &gt; plus de charges sociales qui rentrent dans les caisses &gt; moins de prestations sociales (chômage) à verser &gt; montant des prélèvements plus faibles.

C’est en gros le modèle helvétique.

Le 09/04/2020 à 14h 49

Est-ce que ce sont des Dollars “absolus” ou bien pondérés au coût de la vie local ?
Si les chiffres ne sont pas pondérés, alors, au regard du coût de la vie en Suisse, il faudrait au moins diviser les 4’860 par 2 voire par 3 pour avoir une équivalence avec la France et l’Allemagne.

Le 09/04/2020 à 14h 43

Habitant à quelques km de Mulhouse, je souhaite apporter quelques remarques à l’article et aux différents commentaires :
&nbsp;

• Effectivement l’inflation des faire-parts de décès dans la presse locale est impressionnante : la surface des faire-parts (particularité locale) et les répétitions (plusieurs faire-parts pour la même personne) n’explique pas tout. Je pense même que cela masque quelque peu cette inflation, car il y a particulièrement peu de “grands” faire-parts ces dernières semaines. Mon impression est que les pages sports (souvent riches car relatant de manière détaillée les évènements sportifs locaux) ont été remplacées par les avis de décès.
  
  &nbsp;- J’apprécie la sincérité du témoignage de la réalité des EHPAD et de leur prise en charge des résidents contaminés. Il y a sans doute des exceptions, mais je pense que la grande majorité des EHPAD et de leur personnel font le maximum et qu’ils n’abandonnent pas leurs résidents.
  
  


• Concernant les chiffres, je ne pense pas qu’il y ait mensonge au niveau du gouvernement. En revanche, tous les décès dans les EHPAD ne sont pas dus au Covid-19. Le confinement, le manque de communication et de visite, l’éloignement des proches, et une situation quelque peu anxiogène conduisent certaines personnes âgées à baisser les bras et, résignées, elles se laissent mourir. Ce phénomène est difficilement quantifiable, mais il n’est assurément pas anecdotique.
  
  &nbsp;- Je profite de ce commentaire pour répéter combien les fermetures de frontières intra-européennes sont totalement inutiles. Cela ne sert qu’à satisfaire les fantasmes de personnes qui n’ont aucune idée de ce que vivre en région frontalière signifie.
  
  &nbsp;- De même, il faut arrêter de propager de fausses idées. La Commission Européenne n’a pas demandé aux pays membres de supprimer des lits d’hôpitaux. En revanche, il est correct de dire que la Commission appelle régulièrement les pays membres à être efficaces afin de mieux gérer et maîtriser leur budget. Je me permets de rappeler que la France a un des taux de dépense publique le plus élevé en Europe avec le manque d’efficacité que nous constatons aujourd’hui. La question de fond est d’abord une question de dépenser l’argent efficacement.
  
  &nbsp;- Les délocalisations ne sont pas le résultat du traité de Maastricht mais bien d’une gestion à très courte vue (court-termiste) des entreprises et des états. Depuis 25 ans, la grande majorité des managers dans l’industrie et des décideurs dans les administrations ont fait un MBA (sinon pas de promotion possible) et appliquent tous, sans réflexion critique, les mêmes schémas de prise de décision. Ce sont eux qui ont délocalisé en masse. Cela a commencé par le textile (ce qui n’a ému que les régions qui en vivaient, cf. Alsace, Vosges, Nord, … et laisser tous les autres indifférents), cela a été suivi par d’autres biens de grande consommation et finalement par les médicaments et de nombreux dispositifs médicaux. Personnellement, j’ai toujours été contre les génériques car je considère que c’est une mauvaise réponse à un vrai problème. Malheureusement, cette pandémie - en plus des ruptures de stock récurrentes et des problèmes de qualité des produits de santé - ne fait que confirmer mon opinion.
  
  


• Il y a eu un vrai manque d’anticipation et une très mauvaise évaluation des scénarios nécessitant la mise en œuvre de mesures de continuité. Les médias ont joué un rôle certain dans cet aveuglement collectif (cf. par exemple, la curée médiatique à l’encontre de R. Bachelot : stocks de masque, vaccin et tamiflu) . Une prudence raisonnable et raisonnée devrait représenter le fondement de toute prise de décision. Au lieu de ce bon sens, les scénarios de gestion du risque ont été bâclés et ont été construits sur des évaluations à tout le moins erronées sinon totalement irréalistes. Les pays occidentaux s’étaient mieux “préparé” au passage à l’an 2000 qu’à la survenue d’une pandémie!
  —
  Désolé d’avoir été aussi long.

Le 30/01/2020 à 13h 26

Personnellement, je ne mélange jamais les fabricants de disque ou les types de disques au sein d’une grappe RAID. À mon humble avis, cela a revient à chercher les coups.
Bien au contraire, il est plus que pertinent de s’assurer que les firmwares des disques sont identiques et à jour en fonction du firmware de l’unité de stockage (NAS/SAN).
Concernant le niveau de RAID, sur le matériel professionnel, IBM interdit l’usage de RAID 5 à partir d’une certaine taille de disque (de mémoire &gt; 2 TB) et force RAID 6 pour des grappes constituées de “gros” disques. En outre, ces unités de stockage sont de toute façon mirrorées (RAID 6 + 1).

Pour info, la reconstruction d’une grappe RAID 5 avec des disques de 4 TB peut prendre plus de 24 heures sur du matériel professionnel (SAN).
Ayant déjà fait l’expérience de perdre plusieurs disques en l’espace de quelques jours voire quelques heures, sur des NAS, je fais systématiquement des réplications du NAS de backup sur un deuxième/troisième NAS de backup (backup du backup), ce qui me permet, par la même occasion d’avoir un jeu de données “off-site”.
&nbsp;
Il faut toujours garder à l’esprit la règle 3-2-1 et être très parano en ce qui concerne la gestion des données.
Il faut également toujours optimiser les stratégies sur la base des restaurations et non pas sur la base des sauvegardes.
Il faut toujours vérifier les procédures de restauration et s’exercer régulièrement !!!