Forum général.général Invalidation du privacy shield

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes : aucune
4
28
juil.
2020

Une question toute bête : est ce que l’invalidation du privacyShield rend invalide les contrats d’institutions françaises transférant des données personnelles de leurs employés à l’un des Gafam ?
Exemple concret, une école d’ingénieur qui s’apprête à transférer tous le courrier électronique de ses personnels de Zimbra au cloud de Microsoft est elle dans l’illégalité ? Une des victimes de cette fuite aurait-elle le droit de s’opposer à ce transfert ?

Autre question corollaire : est-il bien compatible avec le Le dispositif de protection du potentiel scientifique et technique de la nation, et le statut de zone à régime restrictif — que d'aucuns renomment zone de recherche restreinte — de transférer un très vaste ensemble de données allant de l'ensemble des noms des personnels, à leurs courriels, en passant par nombre de documents vers le cloud d'un Gafam, en l’occurrence le fameux microsot365 pour ne pas le nommer ?

Quand on sait que nombre d'institutions chargées simplement de la protection de la vie privée déconseillent fortement ne serait-ce que l'usage de windows10, est-ce que ça ne relève pas de la schizophrénie que de confier des données que l'on prétend confidentiel aux nuages du même prestataire ?

Je suis donc à la recherche d'avis un peu fondée en droit sur le sujet. Après tout, il paraît bien que ce serait l'action d'un simple étudiant qui aurait renversé le privacyshield et de son prédécesseur. Alors qui sait… peut-être existe-t-il encore des contre pouvoir à microsot ?

  • # Absolument pas

    Posté par  . Évalué à 2. Dernière modification le 28 juillet 2020 à 09:51.

    Salut,

    Une question toute bête : est ce que l’invalidation du privacyShield rend invalide les contrats d’institutions françaises transférant des données personnelles de leurs employés à l’un des Gafam ?

    La plus part des GAFAM ont des data-centers dans divers coins (pan). Par exemple sur AWS (désolé je connais pas les autres), tu peux choisir à quel endroit tu stocke tes données, où tu déploie tes traitements : US, Irlande, etc…

    La Russie me semble plus difficile, mais pas impossible

    Matricule 23415

    • [^] # Re: Absolument pas

      Posté par  (site web personnel) . Évalué à 3.

      Mais où que soient ces serveurs, ils restent soumis au droit transnational des USA, non ? C'est ce qui a provoqué l'invalidation du privacy shield si je ne m'abuse ?

      « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

      • [^] # Re: Absolument pas

        Posté par  . Évalué à 2. Dernière modification le 28 juillet 2020 à 10:13.

        Salut,

        Je crois que la situation est plus complexe que ça. Mais je ne suis pas juriste. Donc c'est à prendre avec des pincettes.

        Il me semble (je peux me tromper) que tout ce qui est en train de se mettre en place concerne les données que j’appellerais inertes. Ce qui est données américaines, il faut le stocker aux US. Ce qui est européen, faut le stocker en EU. Ce qui est Russe… probablement pas en Ukraine, sinon tu vas avoir des problèmes ;p

        Ça c'est pour le stockage.

        Par contre, si c'est technique, tu peux rapatrier tout ça temporairement où tu veux, faire ton calcul et en sortir tes chiffres.

        Il vaut mieux ne pas oublier le rm à la fin, c'est tout.

        Matricule 23415

  • # Pas du tout, en effet.

    Posté par  . Évalué à 1.

    [disclaimer : je ne suis pas juriste, merci à ceux qui apporteront des précisions ou me corrigeront]

    Plusieurs thématiques dans ce post :

    • celle du RGPD, règlement européen de 2016, qui traite du transfert de données personnelles de résidents UE vers d'autres pays explicitement dans ses articles 44-49. En bref, le transfert n'est possible que vers les pays respectant le RGPD (pour faire court, les données ne sont traitées que pour la seule finalité de départ, pas de transfert à un tiers, commercial ou étatique, sans consentement de l'usager). Beaucoup de pays intègrent la liste (via accord d'adéquation, le privacy shield en fait partie). https://www.cnil.fr/fr/transferts-de-donnees-hors-ue-ce-qui-change-avec-le-reglement-general-sur-la-protection-des-donnees

    Le Cloud Act (loi fédérale US) permettant le transfert de données vers les autorités, un accord international (le Privacy Shield) a été mis en place pour encadrer juridiquement les transferts de données personnelles EU-US.

    Les grosses sociétés proposant du Saas (Microsoft…) ont réagi rapidement à cette décision, indiquant que l'imbroglio juridique est en cours, mais que les clients peuvent être rassurés, bien sûr.

    • le consentement de l'étudiant : difficile pour l'étudiant de s'opposer au traitement de ses données personnelles, ces traitements sont nécessaires (intérêt légitime, ou nécessité, dans le cadre administratif, pour l'école de répondre à ses obligations légales), ils ont donc une base juridique établie. La Cnil est claire là-dessus.
      L'étudiant peut par contre demander la copie de ses données (les rectifier, etc) et liste des traitements associés en contactant le délégué de protection de données désigné par l'école.

    • enfin, le point de vue de l'école :
      Entre deux risques :

      • le risque que l'administration US accède aux données personnelles des élèves.
      • le risque que les données fuitent dans la nature parce qu'elles ont été hébergées en interne, ou chez un hébergeur sous-traitant qui ne respecte pas le RGS de l'Ansii, puis piratées.

    Il convient de choisir le moindre risque. Le bon sens consiste évidemment à choisir un hébergeur français certifié, pour obtenir le niveau de protection adéquat et le respect complet du rgpd, mais l'école n'est pas dans l'illégalité en choisissant un sous-traitant international. L'articulation US-UE reste une zone d'ombre juridique.

    • [^] # Re: Pas du tout, en effet.

      Posté par  (site web personnel) . Évalué à 2.

      Si je comprends bien et en résumé on doit se couvrir des belles promesses — connues pour fallacieuses — des gros opérateurs de Saas, car ne pas leur offrir nos données pourrait présenter Un risque qu’elles ne fuitent pas. Entre la certitude de la fuite vers ces opérateurs et les risques de faille de sécurité dans ses systèmes, l’élite française aurait donc choisi de baisser définitivement les bras ? Mieux vaux vivre asservi et ne pas porter de responsabilité en cas de pépin, que de tenter de développer ses compétences. Beau raisonnement.

      « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

      • [^] # Re: Pas du tout, en effet.

        Posté par  (site web personnel) . Évalué à 2.

        PS : j'écris ça, mais en ayant bien compris que ce que vous écrivez représente très probablement et très effectivement le consensus de l'élite française, et que jusqu'à ce qu'un nouveau Snowden, ou un nouveau De Gaule se dresse pour secouer ce joug, il faudra bien se résoudre à la servitude volontaire.

        « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

        • [^] # Re: Pas du tout, en effet.

          Posté par  . Évalué à 1.

          je n'encourage pas du tout les gros opérateurs type Gafam, un opérateur français qui met en oeuvre des mesures de sécurité adéquate (et vérifiables, c'est important, le contrôle est à la charge du responsable de traitements) serait préférable. Il en existe qui sont certifiés pour prendre en charge l'hébergement des données de santé, il y a peut être adéquation, à vérifier, avec le statut de zone à régime restrictif que vous évoquez.

          Effectivement, abandonner de l'open source pour aller sur des solutions propriétaires, c'est un peu dommage. On se met une paire de menottes numériques, et on enferme en quelque sorte ses données dedans. Il y a des coûts cachés de migration (liés à la résistance au changement, adoption utilisateur, etc), ce sera difficile de revenir en arrière. On ampute en quelque sorte l'avenir, la possibilité de choisir l'outil qui correspond vraiment à son besoin si celui-ci évolue.

          Concernant la problématique de l'externalisation, je ne crois pas que la sécurité puisse se résumer à un simple développement de compétences personnelles (nécessaire pour les outils opensource comme pour les outils commerciaux).
          La sécurité englobe la sauvegarde, la supervision et l'administration, la continuité de service, la formation, etc. Tout ceci demande des moyens (financiers, humains) qui manquent cruellement dans le secteur public. Il ne s'agit pas simplement de dégager sa responsabilité, mais de faire correctement.
          On voit encore trop souvent des infrastructures qui ne tiennent que par la bonne volonté d'un gourou qui lance des incantations sur des machines hors d'âge.
          Je crois que l'hébergement interne demande des ressources, financières, humaines, se raisonne et se conçoit sur le long terme. Bref, il faut une stratégie, et les moyens de l'appliquer.

          quelques sites, pour une piqure de rappel sur le sujet :
          * Zataz,site de Damien Bancal, sur l'actualité des piratages et ransomwares.
          * Les mises en demeure de la Cnil à lire régulièrement, démontre qu'il vaut mieux investir (en dégageant des moyens humains et financiers en interne, ou externaliser avec des prestataires sérieux) que payer une amende à la cnil.
          * le rapport d'activité de la cnil 2019 qui indique avoir reçu, pour l'année 2018, 1170 notifications de violations de données personnelles (ces violations ont elles toutes été détectées, puis signalées ? j'ai un doute).

    • [^] # Re: Pas du tout, en effet.

      Posté par  . Évalué à 3.

      Entre deux risques :
      le risque que l'administration US accède aux données personnelles des élèves.
      le risque que les données fuitent dans la nature parce qu'elles ont été hébergées en interne, ou chez un hébergeur sous-traitant qui ne respecte pas le RGS de l'Ansii, puis piratées.

      Il y a 2 hypothèses implicites dans cette alternative qui sont très critiquables :
      1/ supposer que ces « 2 risques » sont différents. Pour moi le 2e recouvre le premier : si l'administration US accède aux données personnelles des élèves, alors ces données sont dans la nature et elles ont été piratées. Croire qu'elles ne seront pas revendues par un service étatique est de l'aveuglement volontaire.

      2/ supposer que les gros hébergeurs US comme Amazon, Google ou Microsoft sont automatiquement fiables, qu'ils ne laisseront pas fuiter des données et qu'ils ne seront pas piratés.

      En fait le problème c'est qu'on n'a jamais viré quelqu'un pour avoir acheté du Microsoft, et donc le décideur prend moins de risque pour lui-même en sous-traitant à Microsoft qu'en mettant en place un service interne.

  • # la suite du feuilleton de l'été

    Posté par  . Évalué à 3.

    suite à l'arrêt obtenu de la cour de justice de l'union européenne (CJUE), constatant que les entreprises n'informent pas correctement leurs clients de cette modification (en expliquant de manière claire la contrainte de la règlementation américaine), Max Schrems et son équipe attaquent de grandes entreprises qui continuent de procéder à des transferts UE->US de données personnelles.
    le topo complet ici :
    https://noyb.eu/fr/101-plaintes-deposees-sur-les-transferts-ue-usa

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.