Notre direction des ressources humaines nous propose de répondre à une enquête sur notre qualité de vie au travail, sur le Cloud CEGID Wittyfit. Il s'agit donc de données médicales. Ce type de données peuvent-elles être stockées sans précautions spécifiques ? CEGID ayant été racheté par des fonds de pension américains et anglais, les données médicales peuvent-elles être stockées hors UE ?
Journal Données sur la santé mentale des salariées hébergées dans les nuages
13
jan.
2024
# FreePro
Posté par Dafyd . Évalué à 4.
Hello,
Ils sont herbergés en France par FreePro qui est certifié HDS.
Livret de service
Certifications
[^] # Re: FreePro
Posté par potate . Évalué à 2.
Bien vu !
Pour compléter sur la réglementation HDS : https://esante.gouv.fr/produits-services/hds
Pour info les gros acteurs sont certifiés : Google, Amazon, Microsoft.
Je cherchais s'il y avait des contraintes concernant l'emplacement géographique des serveurs pour la certification ; visiblement non : la page d'Amazon indique une liste de régions concernées par la certification HDS chez eux, en bref des serveurs sur tous les continents.
[^] # Re: FreePro
Posté par TuxMips . Évalué à 8. Dernière modification le 13 janvier 2024 à 16:51.
Et le cloud act ?
Sincèrement, je n'ai jamais très bien compris comment il était possible de certifier des entreprises américaines. Ne sont elles pas soumises au Cloud Act ? Et donc peu importe la géolocalisation. Quant à Cegid, c'est visiblement une entreprise américaine. Certes c'est une SAS avec son siège social en France, mais effectivement son actionnariat semble essentiellement US et UK. Et par voie de conséquence, je pense que c'est une entreprise également soumise au Cloud Act.
Il faudrait plus analyser tout cela sur le point juridique de manière approfondie mais je crains que l'hébergement chez FreePro ne soit pas la garantie absolue que la confidentialité des données de santé sera parfaitement préservé.
[^] # Re: FreePro
Posté par Dafyd . Évalué à 4.
C’est FreePro qui est certifié, pas Cegid. Cegid utilise les services de FreePro pour stocker ses données en France selon les normes françaises. De plus, le cloud act ne concerne que les données des citoyens et résidents US. Donc au pire, le gouvernement US peut demander à Cegid de leur fournir les données qu’ils détiennent sur des citoyens ou résidents US, où que soient hébergées ces données. Donc en tant que citoyens français, nos données, même hébergées aux US, ne sont pas soumises au cloud act. De plus, même en cas de saisie massive, je ne pense pas que Cegid s’embête à herberger ses données US en France chez FreePro…
[^] # Re: FreePro
Posté par TuxMips . Évalué à 2. Dernière modification le 13 janvier 2024 à 19:11.
Certes, mais FreePro n'est qu'un sous-traitant.
[^] # Re: FreePro
Posté par Jean-Baptiste Faure . Évalué à 4.
Z'êtes sûrs que le rachat par des fonds d'investissement US et UK a été réalisé ? D'après les documents de 2022 disponibles sur pappers.fr je comprends que la SASU Cegid appartient à la SASU Cegid Group qui appartient à Claudius France qui appartient à Claudius Investco (France) et Claudius Finance (Luxembourg). Peut-être est-ce Claudius Finance qui appartient à ces fonds d'investissement, mais je ne sais pas comment le vérifier.
Je trouve assez léger de la part de Wikipedia de donner à l'appui de cette affirmation un lien vers un article de journal qui relate une annonce de vente, ce qui n'est pas une preuve de réalisation, article de journal qui n'est même plus disponible (erreur 404).
# Et en cas de revente
Posté par RGPT . Évalué à 2.
Et si CEGID est racheté par une autre entreprise, je ne sais pas, par exemple Facebook au hasard, les protections juridiques sur les données deviennent quoi ?
# Est-ce une obligation de répondre ?
Posté par abbe_sayday . Évalué à 4.
Si ce n'est pas obligatoire, peut-être faut-il tout simplement s'abstenir de répondre, ne serait-ce que pour ne pas voir ce genre d'information publiée sur des forums pirates en cas d'attaque.
Nec spe, nec metu
# 3 fonds d'investissement
Posté par RGPT . Évalué à 2.
https://www.cegid.com/fr/presse/kkr-prend-une-participation-dans-cegid-valorisant-la-societe-a-55-milliards-deuros/
# Choisir une offre cloud en fonction de la classification des données
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 5.
"Ce type de données peuvent elles être stockées sans précautions spécifiques ?"
Non, quelles que soient les données, tout "projet" visant à les collecter et à les stocker/traiter doit faire l'objet d'une étude générale par des gens sérieux, en général un ou plusieurs architectes (ou "faisant office de", par exemple dans les "starteupes qui n'ont pas besoin d'architectes", comme "doctolib" ou "sncf connect", je pense que c'est un "senior ninja tenix dev"©™ qui fait l'étude).
La classification des données manipulées est en général confié à des experts métiers aidés par des RSSIs ou autre sachant capable de guider la démarche.
Ils vont regarder différents critères dont la confidentialité (vu de la boite), mais aussi les données personnelles (RGPD), ou d'autres subtilités (bancaire, aéronautique, etc.). Ils vont travailler sur différents scenarios de risques concernant les données, le système de traitement envisagé, les processus mis en place et toutes ces sortes de choses.
A la fin de l'étude, peut être que toutes les données seront qualifié de type "public", aucune données personnelles, aucun problème à l'horizon et le dossier sera balancé à un sous traitant quelconque, mais c'est assez rare. C'est même impossible pour une appli RH contenant des données persos (santé ou pas santé).
Muni de ces études préalables (et des éléments de cadrage, budget, planning), les architectes (ou assimilés) vont proposer des scénarios d'implémentation et un comité théodule ou un grand chef à plumes choisira "la bonne solution" qui pourra être éventuellement du cloud, dans ton cas du cloud certifié pour héberger des données de santé, et effectivement on peut se poser la question de savoir quelle confiance on peut avoir dans un "offreur de service" de cloud tazunien, indien, suisse, chinois ou même français.
Même français, nous l'avons vu tantôt, ce n'est pas parce qu'un cloud est proposé par un français qu'il est "souverain", qu'il est certifié pour les données de santé, ou même tout simplement que sa structure de capital est pérenne ou même que ses datacenters ne sont pas inondables (oui c'est à toi que je pense).
Un certain nombre de français essaient de proposer un offre qui tient la route, qui n'aura évidemment pas la puissance de frappe d'un AWS ou d'un Azure, mais qui sera largement suffisante pour héberger une appli RH. La bonne adéquation entre la classification des données et l'offre applicative (ici CEGID WittyFit) doit être confirmée dans le dossier d'architecture (ou équivalent). Tu peux essayer de demander à voir ces documents. Il est fort possible que l'on te réponde "Ils n'existent pas" (Pense à changer de boite) ou "Tu n'es pas habilité à les consulter" (La plupart des boites laissent ces documents dans des sharepoints ou autres visibles à tout le monde mais j'ai rien dit) ou "Ils sont rangés là mais ils ne sont pas à jour" (moindre mal, la partie intéressante devrait être bonne).
…
La question qui me chagrine, c'est de comprendre pourquoi les décideurs (pressés) décident parfois tout seul dans leur coin. J'ai bien une petite idée, j'ai fait plusieurs tours de manège récemment et je vois bien les inducteurs principaux.
[^] # Re: Choisir une offre cloud en fonction de la classification des données
Posté par BAud (site web personnel) . Évalué à 4.
cela arrive plus souvent que tu ne l'indiques : gestion de la paie, gestion des entretiens annuel, gestion des formations (donc compétences…), peu d'isolation entre médecine du travail / RH et je pourrais citer encore plus de cas qui m'ont fait tiquer dans mon taf' :p sans même parler des fiches de paie qui traînent sur l'imprimante à l'étage des RH /o\ (moui, dans des OIV aussi :/)
[^] # Re: Choisir une offre cloud en fonction de la classification des données
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 4.
"C'est même impossible pour une appli RH contenant des données persos (santé ou pas santé) …" d'être classée en catégorie "Public" (à la sauce ANSSI).
Ceci posé, un certain nombre de gens n'en ont rien à battre et font n'importe quoi, je ne dis pas le contraire. J'ai connu aussi les copies de données personnelles en openbar sur des sharepoints, les feuilles excel ayant servies à vérifier toutes les propositions d'augmentation et de prime oublié dans un webdav poussiéreux et d'autres trucs innommables.
[^] # Re: Choisir une offre cloud en fonction de la classification des données
Posté par RGPT . Évalué à 3. Dernière modification le 14 janvier 2024 à 19:37.
« Pense à changer de boite » : c'est dans une école d'ingénieur (fonction publique), pas dans une entreprise privée.
En fait, dans toute la fonction publique, comme ils réduisent depuis longtemps et tous les ans le budget pour la masse salariale, les services informatique n'utilisent plus que du tout prêt : Office365 et des outils comme ceux de CEGID. Il n'y a quasiment plus de compétences en interne pour installer des solutions libres, à part WordPress et encore.
On le voit dans les offres d'emploi en tapant Linux par exemple dans le site France Travail (quasiment rien) et au Luxembourg (des milliers d'offres en permanence).
[^] # Re: Choisir une offre cloud en fonction de la classification des données
Posté par GG (site web personnel) . Évalué à 2.
Je voudrais bien l'adresse du site officiel pour le Luxembourg, correspondant à France travail.
J'ai toujours trouvé que les offres dans le domaine IT étaient plus sérieuses sur le site de l'APEC que sur le site de Pole-Emploi/France travail.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Choisir une offre cloud en fonction de la classification des données
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 2.
"c'est dans une école d'ingénieur (fonction publique)" … c'est pas rassurant et j'aime les écoles d'ingénieur.
"On le voit dans les offres d'emploi en tapant Linux par exemple dans le site France Travail (quasiment rien) et au Luxembourg (des milliers d'offres en permanence)."
C'est normal, les chargés de recrutement ne sont pas formés au mots compliqués et aux termes techniques. De facto, les annonces en France sont souvent mal foutues, mal rangées, mal catégorisées, etc.
Fais une recherche avec Linux|RHEL|Suse|Ubuntu|Solaris|AIX|FreeBSD|HPUX pour voir.
[^] # Re: Choisir une offre cloud en fonction de la classification des données
Posté par Christophe B. (site web personnel) . Évalué à 2. Dernière modification le 18 janvier 2024 à 15:37.
France Travail, popole emploi est un mauvais exemple
Cet organisme ne sert qu'a gérer la masse de personne au chomage
Si l'on pouvait trouver du travail grace a France Travail cela se saurais
Et LinkedIN Monster.fr Indeed … n'existerai pas
Même le Bon coin est plus efficace que France Travail pour trouver un emploi
[^] # Re: Choisir une offre cloud en fonction de la classification des données
Posté par alkino . Évalué à 2.
gérer => punir / humilier tu voulais dire, sans doute ?
[^] # Re: Choisir une offre cloud en fonction de la classification des données
Posté par Christophe B. (site web personnel) . Évalué à 2.
Honnêtement je ne sais pas, j'ai eu la chance de ne pas avoir besoin de leur services.
Mais en 1999 j'ai pu "tâter" du niveau d'incohérence du bestiau :
Petit rappel :
en 1999 veille de l'an 2000, tout le monde cherchait des informaticiens.
Pourquoi ? la peur du grand cataclysme annoncé a cause du bug de l'an 2000
il fallait certifier chaque applications etc …
Bref même quelqu'un ne sachant que changer le fond d'écran sous Windows pouvait se faire embaucher facilement.
Et en 1998 la boite qui m'employait trouve le moyen de faire faillite, j'ai retrouvé facilement mais la aussi le projet du PDG ne convenait pas et d'un commun accord nous avons rompu le contrat.
Je me suis retrouvé chômeur pour la première fois de ma vie, comme je n'avais pas pu prendre de vacances depuis quelques années, j'ai voulu ne rien faire pendant 2 mois.
Je touchais des restes de salaires+prime de licenciement du par la boite qui avait coulé donc pas de soucis de ce coté
Pour avoir une couverture sociale j'ai du m'inscrire a l'ANPE jusque la pas de problème
Lors de l'entretien, je précisais bien que l'on m'appelait régulièrement pour me proposer du travail et donc pas la peine de perdre du temps avec moi, j'ai juste besoin de cette inscription pour être couvert par la sécu au cas ou.
Et pourtant j'ai du effectuer quelques stages pour :
- savoir rédiger un CV
- réussir un entretien d'embauche (avec jeu de rôle ou il ne fallait pas rire …)
Que j'étais obligé de suivre sous peine d'être viré immédiatement de l'ANPE …
Le pire c'est quand mon conseiller personnalisé, m'a proposé une "initiation à la bureautique" que j'ai éclaté de rire ce qui l'a mis face à son incohérence et à ce moment il a commencé à comprendre le problème
En fait ce qui m'a sauvé c'est la période de juillet/août ou enfin le personnel de l'ANPE prend des vacances et qu'ils m'ont foutu la paix.
Mais bon gaspillage de temps d'argent et de ressources pour rien … et contre mon gré
Et je suis persuadé que cela n'a pas changé ou en pire, car trop souvent j'ai entendu des phrases du style :
" je cherchais un commercial , avec Pole Emploi je n'ai reçu en 1 MOIS que 3 ou 4 dossiers TOUS hors sujet ou pour des personnes résidant à des centaines de km
Avec le bon coin, en 3 jours c'était bouclé …"
Après c'est sur certaines personnes doivent se faire broyer et laminer par ce rouleau compresseur qui coûte trop cher pour le service rendu et refuse d'évoluer …
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.