Quand je disais que les gargarismes des politiques et entreprises en 🇫🇷 et en 🇪🇺 n’était qu’une façade pour détourner les regards de ce qu’on faisait ici vers les 🇺🇸 …
https://edps.europa.eu/system/files/2022-01/22-01-10-edps-decision-europol_en.pdf
Europol chopée les doigts dans le pot de confiture avec 4PB de données collectées illégalement. Du même tonneau que le comportement de la NSA & cie.
Quand je vois dis qu’un jour on va se prendre un #SchremII dans la face et que l’écosystème 🇫🇷 et 🇪🇺 va être TRÈS mal…
Un coup de Duckduckgo ou StartPage sur « Schremll » ne me donne rien de probant.
Tu aurais un indice pour mieux comprendre ?
@benoitb @mmu_man Euh en fait c’est encore pire que juste Facebook. Il a carrément fait interdire tout système 🇺🇸 en 🇪🇺 :
https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue
@mmu_man @Iutech @benoitb https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-cest-quoi-un-conflit-dinterets-pour-un-delegue-la-protection
Et c’est condamnable : https://mon-dpo-externe.com/amende-pour-conflit-dinteret-entre-la-fonction-de-dpo-et-de-directeur-des-risques-conformite-et-audit-interne/
@benoitb @mmu_man @Iutech Ça ne devrait pas oui. En pratique c’est yolo, mais c’est condamnable. Et ça tombe souvent :
https://gdprhub.eu/index.php?search="conflict+of+interest"
C'est effectivement plus le problème qu'on a ici, et le fait que le DPO a sans doute peur de devoir mettre la moitié du fonctionnement actuel à l'arrêt sans avoir rien à proposer à la place.
Je ne pense pas qu'il y aie chez nous de réel conflit d'intérêt, juste un manque de courage.
@Iutech @benoitb @mmu_man Au pif https://blog.alan.com/tech-et-produit/controles-par-la-cnil
Voir aussi le taff monstrueux de @OpenPony pour @Mediapart
Justement, tu n'aurais pas un document quelque part (si possible à valeur officielle) expliquant qu'il va bien falloir passer par là, c'est pas juste une option pour le jour où on aura magiquement un budget suffisant ?
Pareil, un document pour expliquer que l'interdiction des outils collaboratifs américains n'est pas juste une option, qu'il faut s'y préparer concrètement et rapidement plutôt que de jouer la montre ?
@Iutech @benoitb @mmu_man Le morceau intéressant est ici :
```
Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d'éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles
```
Et y'a rien en droit/jurisprudence française qui le dit clairement ?
Parce que les documents que tu mets en lien sont intéressants, mais comme tu le fais remarquer les trucs vraiment contraignants sont suffisamment subtils pour que "làlàlàlà j'entends rien" puisse continuer à leur être objecté.
(bon, le coup du Parlement est plus clair, j'avoue)
Notamment une explication de pourquoi la "porte de sortie" dont tu parles est concrètement invalide ?
Parce que moi je te crois, hein, mais si je dois expliquer au DPO pourquoi on doit arrêter Teams et OneDrive demain alors que la CNIL parle "d'accompagner la transition" je vais pas savoir comment l'expliquer de façon convaincante.
Surtout que tout le reste de l'administration est "business as usual" et joue la montre.
@Iutech @benoitb @mmu_man La réflexion derrière est celle-là.
Le transfert de données vers un état tiers ne peut se faire que, dans l’ordre de priorité :
- vers un pays ayant été déclaré par l’UE comme compatible avec le droit EU (liste ici https://cnpd.public.lu/fr/dossiers-thematiques/transferts-internationaux-donnees-personnelles/Reglement-general-sur-la-protection-des-donnees.html)
- vers un pays couvert par des CCT génériques ad-hoc rédigés par l’UE et étant compatible droit EU
- vers une entreprise rédigeant des BCR ad-hoc compatible avec le droit EU
- avec des moyens de protection sinon
@Iutech @benoitb @mmu_man Les 🇺🇸 avaient précédemment le point 1 et 2 de valide. SchremII a conclu que à cause de FISA, ce n’est pas possible, que 1 & 2 étaient illégaux et que by design 3 n’est pas possible (droit 🇺🇸 primant sur les contrats commerciaux)
Il ne reste donc que 4, qui implique de ne pas transmettre de DCP du tout aux 🇺🇸 vu FISA.
@mmu_man @aeris
Justement, au bureau malgré l'avis clair de la CNIL sur le sujet donné en début d'été, on continue à utiliser Teams et consorts (et même à déployer de nouveaux services basés dessus).
Le nouveau DPO semblait sensible à ces questions mais il se révèle être une plante verte, il "encourage l'utilisation des outils propres" mais sans plus de mordant.
Il y a quelque chose de faisable ?
@benoitb