J'ai vu passer des commentaires sur le fediverse, et je pense que c'est important de lire le détail (et de ne pas écouter les gens qui se pensent expert mais qui visiblement ne peuvent pas poster un toot sans faire d'erreur grossière ).
Primo, l'EDPS, c'est l'équivalent de la CNIL pour la commission européenne (et d'autres institutions), à ne pas confondre avec l'EDPB, qui elle supervise et rassemble les DPA comme la CNIL. Il n'y a pas de hiérarchie à plusieurs niveaux, il y a juste les DPAs, indépendant par construction (article 52) et l'EDPS est aussi indépendante comme la CNIL. En pratique, ça veut dire que le budget est donné de façon inconditionnel pour éviter tout mesure de rétribution, qu'il y a des conditions détaillés dans le RGPD (tout le chapitre 6 du RGPD, etc).
Secondo, le texte qui s'applique n'est pas le RGPD, une directive de 2016 (d’où son identifiant "2016/679"), mais un texte similaire adapté pour les institutions de l'UE, l'EUDPR, une directive de 2018 (d’où l'identifiant 2018/1725). Il y a des différences, certains subtiles, certaines moins, certaines importantes, certaines moins mais si quelqu'un parle du RGPD, c'est quelqu'un qui n'a pas tout compris au sujet, parce que c'est pas les mêmes obligations ni le même texte.
Tertio, les violations semblent être sur le contrat entre Microsoft et la Commission plus que sur Office 365. Si on lit le communiqué de presse, on voit que le souci, c'est que la Commission (ou plutôt ses juristes et son département informatique) aurait du demander plus de détails avant de signer.
Autant dire que ça ne veut pas dire qu'Office 365 est interdit en Europe, ni dire grand chose. Je suppose que vu la mention de l'arrêt Schrems II, il y a sans doute aussi des questions de timing vis à vis de la décision d’adéquation mise en place en juillet 2023 (vu que la décision se base sur l'état en mai 2021). Les décisions d'adéquation ne sont qu'un premier mécanisme autorisant les transferts (article 45), les autres étant des clauses spécifiques dans les contrats (article 46 et 47) et ce genre de subtilité. C'est ce qui semble manquer ici en l'absence de l'adéquation entre 2021 et 2023.
Donc ce que va faire l'UE, c'est sans doute demander à Microsoft de ne pas transférer les données dans des DC hors UE (pas un gros souci), et refaire un contrat avec la pression de faire ça en 8 mois ou risquer de bloquer toute la commission (et de faire un audit sans doute bien lourd de toutes les données, si c'est pas déjà fait). Autant dire que Microsoft va sans aucun doute en profiter pour revoir les prix (et pas à la baisse), donc bon, sans doute pour leurs bénéfices.
Pour résumer (et commenter) : les décideurs sont incompétents et corrompus. Ils ficellent mal leurs contrats, qui enfreignent non seulement les principes élémentaires de la probité, mais encore la lettre de règles de droit parfois bien tordues ; et de manière très surprenante tout cela bénéficie toujours plus aux corrupteurs… Rien de nouveau sous le soleil.
Rêvons un peu : un jour la commission découvrira non seulement les logiciels libres, mais encore leur utilisation au quotidien ; et même pourquoi pas l'industrie informatique européenne et ses offres…
Faire un contrat qui détaille tout est relativement long (source, on doit le faire de temps en temps dans mon équipe), c'est pour ça que le RGPD a des tas de mécanismes qui évitent à tout le monde de refaire le taf (les articles 40 à 43, 44 à 46). On ne sait pas si le département informatique de la commission avait fait le contrat avant l’arrêt Schrems II ( C-311/18, ECLI:EU:C:2020:559 pour l'ECLI ), mais si c'est le cas, je pense que je vais définitivement pas leur dire "vous auriez du foutre tout l'UE en l'air du jour au lendemain". Je ne peux pas commenter sur la commission, mais quand j'ai bossé à coté du parlement, c'était déjà relativement du full Microsoft y a plus de 20 ans.
Donc passer de "les juristes n'ont pas pris le temps de re-pinailler pendant 5 ans" ne me parait pas quelque chose qui permet d'arriver à "les dirigeants sont corrompus", sauf dans l'esprit d'un complotiste qui va ignorer à dessein la complexité en faveur d'explications simplistes et fausses.
Ce n'est pas peut être pas de la corruption, mais bien de l'incompétence : confier ses données à une entreprise comme Microsoft sans se blinder et espérer que tout se passe bien en "bonne intelligence" et avec du "bon sens", c'est au mieux être naïf façon Bisounours hippie.
Déjà que même avec un bon contrat et toutes les lois de l'UE, c'est pas gagné…
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# Vu que j'ai vu passer des trucs sur le fediverse
Posté par Misc (site web personnel) . Évalué à 10 (+14/-0).
J'ai vu passer des commentaires sur le fediverse, et je pense que c'est important de lire le détail (et de ne pas écouter les gens qui se pensent expert mais qui visiblement ne peuvent pas poster un toot sans faire d'erreur grossière ).
Primo, l'EDPS, c'est l'équivalent de la CNIL pour la commission européenne (et d'autres institutions), à ne pas confondre avec l'EDPB, qui elle supervise et rassemble les DPA comme la CNIL. Il n'y a pas de hiérarchie à plusieurs niveaux, il y a juste les DPAs, indépendant par construction (article 52) et l'EDPS est aussi indépendante comme la CNIL. En pratique, ça veut dire que le budget est donné de façon inconditionnel pour éviter tout mesure de rétribution, qu'il y a des conditions détaillés dans le RGPD (tout le chapitre 6 du RGPD, etc).
Secondo, le texte qui s'applique n'est pas le RGPD, une directive de 2016 (d’où son identifiant "2016/679"), mais un texte similaire adapté pour les institutions de l'UE, l'EUDPR, une directive de 2018 (d’où l'identifiant 2018/1725). Il y a des différences, certains subtiles, certaines moins, certaines importantes, certaines moins mais si quelqu'un parle du RGPD, c'est quelqu'un qui n'a pas tout compris au sujet, parce que c'est pas les mêmes obligations ni le même texte.
Tertio, les violations semblent être sur le contrat entre Microsoft et la Commission plus que sur Office 365. Si on lit le communiqué de presse, on voit que le souci, c'est que la Commission (ou plutôt ses juristes et son département informatique) aurait du demander plus de détails avant de signer.
Autant dire que ça ne veut pas dire qu'Office 365 est interdit en Europe, ni dire grand chose. Je suppose que vu la mention de l'arrêt Schrems II, il y a sans doute aussi des questions de timing vis à vis de la décision d’adéquation mise en place en juillet 2023 (vu que la décision se base sur l'état en mai 2021). Les décisions d'adéquation ne sont qu'un premier mécanisme autorisant les transferts (article 45), les autres étant des clauses spécifiques dans les contrats (article 46 et 47) et ce genre de subtilité. C'est ce qui semble manquer ici en l'absence de l'adéquation entre 2021 et 2023.
Donc ce que va faire l'UE, c'est sans doute demander à Microsoft de ne pas transférer les données dans des DC hors UE (pas un gros souci), et refaire un contrat avec la pression de faire ça en 8 mois ou risquer de bloquer toute la commission (et de faire un audit sans doute bien lourd de toutes les données, si c'est pas déjà fait). Autant dire que Microsoft va sans aucun doute en profiter pour revoir les prix (et pas à la baisse), donc bon, sans doute pour leurs bénéfices.
[^] # Re: Vu que j'ai vu passer des trucs sur le fediverse
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 1 (+6/-7). Dernière modification le 12 mars 2024 à 15:39.
Pour résumer (et commenter) : les décideurs sont incompétents et corrompus. Ils ficellent mal leurs contrats, qui enfreignent non seulement les principes élémentaires de la probité, mais encore la lettre de règles de droit parfois bien tordues ; et de manière très surprenante tout cela bénéficie toujours plus aux corrupteurs… Rien de nouveau sous le soleil.
Rêvons un peu : un jour la commission découvrira non seulement les logiciels libres, mais encore leur utilisation au quotidien ; et même pourquoi pas l'industrie informatique européenne et ses offres…
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Vu que j'ai vu passer des trucs sur le fediverse
Posté par Misc (site web personnel) . Évalué à 9 (+6/-0).
C'est pas le résumé que je ferait, non.
Faire un contrat qui détaille tout est relativement long (source, on doit le faire de temps en temps dans mon équipe), c'est pour ça que le RGPD a des tas de mécanismes qui évitent à tout le monde de refaire le taf (les articles 40 à 43, 44 à 46). On ne sait pas si le département informatique de la commission avait fait le contrat avant l’arrêt Schrems II ( C-311/18, ECLI:EU:C:2020:559 pour l'ECLI ), mais si c'est le cas, je pense que je vais définitivement pas leur dire "vous auriez du foutre tout l'UE en l'air du jour au lendemain". Je ne peux pas commenter sur la commission, mais quand j'ai bossé à coté du parlement, c'était déjà relativement du full Microsoft y a plus de 20 ans.
Donc passer de "les juristes n'ont pas pris le temps de re-pinailler pendant 5 ans" ne me parait pas quelque chose qui permet d'arriver à "les dirigeants sont corrompus", sauf dans l'esprit d'un complotiste qui va ignorer à dessein la complexité en faveur d'explications simplistes et fausses.
[^] # Re: Vu que j'ai vu passer des trucs sur le fediverse
Posté par devnewton 🍺 (site web personnel) . Évalué à 10 (+10/-1).
Ce n'est pas peut être pas de la corruption, mais bien de l'incompétence : confier ses données à une entreprise comme Microsoft sans se blinder et espérer que tout se passe bien en "bonne intelligence" et avec du "bon sens", c'est au mieux être naïf façon Bisounours hippie.
Déjà que même avec un bon contrat et toutes les lois de l'UE, c'est pas gagné…
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.