@benoitb @mmu_man Euh en fait c’est encore pire que juste Facebook. Il a carrément fait interdire tout système 🇺🇸 en 🇪🇺 :
https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue

@aeris @benoitb voui et ce qui l'a remplacé n'est pas mieux…

@mmu_man @benoitb Ça n’a pas été remplacé. Il est toujours complètement interdit d’utiliser des services 🇺🇸 .

@mmu_man @benoitb La seule manière de le faire est de ne pas envoyer du tout de données à caractère personnel là-bas. C’est impossible dans quasiment tous les cas.

@aeris @benoitb on est d'accord.

@mmu_man @aeris

Justement, au bureau malgré l'avis clair de la CNIL sur le sujet donné en début d'été, on continue à utiliser Teams et consorts (et même à déployer de nouveaux services basés dessus).
Le nouveau DPO semblait sensible à ces questions mais il se révèle être une plante verte, il "encourage l'utilisation des outils propres" mais sans plus de mordant.
Il y a quelque chose de faisable ?

@benoitb

@Iutech @mmu_man @benoitb En théorie le DPO a tous les pouvoirs, y compris de notifier la CNIL et de saisir les plus hautes instances de l’entreprise.

@Iutech @mmu_man @benoitb Il est indéboulonnable (salarié protégé) et la direction ne peut pas le contourner

@aeris

OK, donc si c'est une plante verte c'est parce qu'il le veut bien donc. 😥
Dommage, il avait l'air sympa et dynamique.

@mmu_man @benoitb

@Iutech @aeris @benoitb ben oué mais c'est qui qui le nomme ? Ça sert à rien le pouvoir si c'est un pote du PDG…

@mmu_man @Iutech @benoitb Il ne peut pas être le pote du PDG. Il ne doit pas avoir de conflit d’intérêt, doit avoir son propre budget, ne peut pas faire parti de la direction ou de tout poste conduisant à décider de l’usage des données ou des choix techniques.

@mmu_man @Iutech @benoitb Ça ne peut pas être un manager, pas un RSSI, pas un dev, pas le juriste de la boîte. Il ne peut pas représenter les intérêts de l’entreprise. Etc.

@aeris @Iutech @benoitb oué et les députés représentent le peuple.

@mmu_man @Iutech @benoitb https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-cest-quoi-un-conflit-dinterets-pour-un-delegue-la-protection
Et c’est condamnable : https://mon-dpo-externe.com/amende-pour-conflit-dinteret-entre-la-fonction-de-dpo-et-de-directeur-des-risques-conformite-et-audit-interne/

@aeris @Iutech @benoitb faut encore que quelqu'un fasse la procédure, trouve des preuves…

@aeris @mmu_man @Iutech

« Ça ne peut pas » ou « Ça ne devrait pas » ?

Dans les faits, les conditions que tu énonces sont certainement très rarement respectées, non ?

@benoitb @mmu_man @Iutech Ça ne devrait pas oui. En pratique c’est yolo, mais c’est condamnable. Et ça tombe souvent :
https://gdprhub.eu/index.php?search="conflict+of+interest"

@Iutech @mmu_man @aeris

On a +/- la même situation. Défense des zélotes : « oui, mais non. On a un super contrat avec Microsoft, plein de garanties »

@benoitb @Iutech @mmu_man 0. Microsoft ne peut pas aller à l’encontre de la loi 🇺🇸 quelque soit ce qui est indiqué dans le contrat.

@benoitb @Iutech @mmu_man C’est tout le problème de FISA : c’est ancré au niveau constitutionel du pays, aucune entreprise ne peut écrire autre chose dans ses contrats et ne peut corriger le trou législatif qui pose problème dans l’arrêt SchremsII

@benoitb

C'est effectivement plus le problème qu'on a ici, et le fait que le DPO a sans doute peur de devoir mettre la moitié du fonctionnement actuel à l'arrêt sans avoir rien à proposer à la place.
Je ne pense pas qu'il y aie chez nous de réel conflit d'intérêt, juste un manque de courage.

@mmu_man @aeris

@Iutech @benoitb @mmu_man EDPB est clair : la survie de l’entreprise n’est pas une justification à laisser faire.

@Iutech @benoitb @mmu_man Et des solutions il y en a. Oui c’est juste incompatible avec la plupart des business modèles du moment. Et le plan de migration suppose de foutre à l’arrêt la prod pendant plusieurs mois.

@Iutech @benoitb @mmu_man A minima de ne plus avoir d’évolution dessus, full focus sur la mise en conformité. 12-18 mois à prévoir. Minimum.

@Iutech @benoitb @mmu_man Même des boîtes se pensant préparées et ayant investies massivement dessus se sont pris une soufflante lors d’un contrôle CNIL. Avec encore 12 mois de boulot à la clef.

@Iutech @benoitb @mmu_man Au pif https://blog.alan.com/tech-et-produit/controles-par-la-cnil
Voir aussi le taff monstrueux de @OpenPony pour @Mediapart

@aeris

Tu aurais un texte que je peux lui envoyer, vu qu'on avait de bonnes relations ?

@benoitb @mmu_man

@aeris

Chez nous c'est vraiment pas un problème de business model, juste d'inertie (et du coût du stockage si on doit se passer des 10 To par personne offerts par microsoft et google).

@benoitb @mmu_man

@Iutech @benoitb @mmu_man Ça sera aussi un problème de business modèle. Les infras à mettre en place sont souvent BEAUCOUP plus chères que ce qui est fait actuellement.

@Iutech @benoitb @mmu_man Si tu prononces les termes de IAM/SIEM ou pire IDS/IPS devant un RSSI, il fait un coma, et ton expert-comptable commence à avoir les yeux qui brillent.

@aeris

Justement, tu n'aurais pas un document quelque part (si possible à valeur officielle) expliquant qu'il va bien falloir passer par là, c'est pas juste une option pour le jour où on aura magiquement un budget suffisant ?
Pareil, un document pour expliquer que l'interdiction des outils collaboratifs américains n'est pas juste une option, qu'il faut s'y préparer concrètement et rapidement plutôt que de jouer la montre ?

@benoitb @mmu_man

@Iutech @benoitb @mmu_man https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd
https://www.dalloz-actualite.fr/node/schrems-ii-repercussion-francaise

@Iutech @benoitb @mmu_man La subtilité est que la CNIL/EDPB semble laisser une porte de sortie. En pratique elle n’est pas possible.

@Iutech @benoitb @mmu_man  Le morceau intéressant est ici :

```
Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d'éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles
```

@Iutech @benoitb @mmu_man En pratique, sauf à chiffrer en end-to-end complètement les DCP envoyées à un tiers 🇺🇸 , l’existence de FISA fait qu’il est impossible d’avoir les garanties appropriées. Et donc le transfert doit être suspendu immédiatement.

@aeris @benoitb @mmu_man

Dans les faits bien peu s'en préoccupent.
Voir sncf avec le service clients, Airbus, etc.

Ca vaudrait le coup de demander à la SNCF leur niveau de conformité avec Schrems II tiens.
db