Bonjour à toute la /e/ community
Il me semble d’importance de soulever quelques points aux regards des dernières nouvelles en matière de législation numérique européenne (voire française).
Cela peut paraître rébarbatif au possible, mais au risque de pratiquer l’hyperbole, je pense sincèrement que le non-respect de ces directives peut entrainer de graves conséquences, à quelque niveau que ce soit de nos infrastructures (sociales, économiques, urbaines, etc.).
Parce que, d’un point de vue éthique, voire déontologique : Comment un organisme, état, région ou métropole (cochez la case désirée), pourrait toucher des subventions de quelque nature que ce soit de la part de l’UE sans respecter ses lois et directives ?
Mais abordons le sujet plus directement.
Il s’agit donc des nouvelles Clauses Contractuelles Type (ou CCT) publiées le 4 juin 2021 par la Commission Européenne :
Celles-ci font suite à l’invalidation du Privacy Shield, invalidé lui, le 12 juillet 2020.
Le sujet est ardu, oui, et je ne prétends nullement être juriste (j’insiste), et c’est pour cela que ce qui suit (maladroitement décortiqué peut-être) est vivement encouragé au débat (avis des professionnels plus que bienvenus !).
Pour commencer, un article traitant des conséquences des nouvelles CCT. Une bonne analyse de la situation, avec en prime une petite historique de la chose. Mais si je peux abonder dans un certain sens avec ladite analyse, pour la conclusion… Euh… Montant du chèque ?
https://www.lemagit.fr/opinion/Nouvelles-CCT-de-la-Commission-europeenne-les-DPO-ny-trouvent-pas-leur-compte
"…Mais les transferts en dehors de l’UE ne sont possibles qu’en application de l’une des méthodes suivantes :
- L’adéquation du pays de destination par la Commission européenne ;
- Le recours à un instrument juridique établi entre autorités politiques ;
- L’utilisation des règles d’entreprise contraignantes (BCR) entre entités d’un même -groupe ;
- L’application d’un code de conduite, une certification ou des clauses contractuelles approuvées par les autorités de contrôle ;"
Et enfin :
" Le recours à des clauses contractuelles types (CCT) définies par la Commission européenne."
Ouf ! Alors rien que pour la mise en place, et considérant le temps imparti (deadline = décembre 2022), on est tous dans les choux, non ( sauf pour ceux qui ont pris les devants, et il y en a je crois )?. Rien que côté administratif/ bureautique, la rédaction de nouvelles conventions d’entreprise, contrats, etc., va augmenter la charge de travail de manière invraisemblable dans le cadre d’un transfert hors-UE.
En considérant déjà la charge de travail (pour tous) impactée par la crise sanitaire + les ransomwares?
Une incohérence, une
Dixit le Parlement Européen :
« Aucun contrat entre entreprises n’est à même d’offrir une protection contre l’accès indiscriminé, par les services de renseignement, au contenu des communications électroniques. »
Voilà une bien belle façon d’enfoncer le clou sur le Cloud Act.
Mais encore:
“Cette évolution était très attendue, … impatients de disposer d’un outil fiable … Et plus particulièrement vers les États-Unis d’où sont issues les multiples solutions technologiques sur lesquelles s’appuient les entreprises, comme les suites collaboratives ou l’hébergement externalisé de données”
Oui, il est bien là le cœur du problème : Encore une fois, cela fait des années qu’on ne conçoit les infrastructures nationales et industrielles qu’avec les GAFAMs. En bref, certains ne savent rien faire d’autres : Toute leur culture numérique est basée dessus.
Si on parle d’incohérences, en voici une deuxième pas piquée des hannetons de la part de l’Education Nationale.
Et à mon sens : Un grave manque de vision pour le futur.
“Les nouvelles CCT passent entièrement sous silence le fond du problème : la surveillance étatique des États-Unis qui a conduit à l’invalidation du Privacy Shield.”
Précisément : Si on considère toujours le Cloud Act et ne serait-ce que le RGPD (hors CCTs diverses), à aucun moment un exportateur de données européen (ex: Une entreprise, un service public/administration, une association, etc.) ne peut mettre en péril les données des utilisateurs de l’Union selon la législation en vigueur de celle-ci.
Et de trois pour les incohérences.
“On ne peut pas être plus clair : c’est aux exportateurs de déterminer si la législation américaine n’est pas contraire au RGPD [alors qu’ils] disposent d’un pouvoir de négociation et de capacités juridiques et financières limités.”
Oui, bien sûr : Les professionnels des systèmes d’information ne sont pas des juristes, et encore moins des magistrats !
Quant à demander des comptes a une juridiction hors-UE, je vous/nous souhaite à tous bonne chance, sincèrement… Bien que, et si on se rappelle le vieil adage : “Nul n’est sensé ignorer la loi” (a fortiori pour des “informaticiens”, ceux-ci étant sensés être “informés”).
Je me fais ici l’avocat du diable à dessein :
Dites-vous que ce pourrait être un argument que certains (décideurs et grands patrons) pourraient vous opposer, juste histoire de se dédouaner à peu de frais. En effet, dans les textes (RGPD et autres), les responsabilités sont clairement établies et un gérant, patron, directeur, etc. est concerné au premier chef… Mais aussi les DPOs, RSIs, RSSIs, et autres acronymes chers au monde de l’IT.
Et ceci, tant sur le plan législatif que pénal !
Un petit conseil : Gardez une trace sécurisée de vos échanges avec vos directions en tout genre (peut paraître alarmiste, mais…).
Maintenant, si j’ai bien compris cette partie des nouvelles CCT (d’autres pourraient être développées plus tard):
Non-content de connaître sur le bout des doigts les lois EU + nationales sur le numérique, les professionnels concernés (levez le doigt) de tous les états membres seront aussi obligés de connaître la législation de tous les pays tiers hors juridiction UE (et hors accords validés par l’UE) vers lequel ils voudront exporter des données.
Je suggère donc derechef de lancer une pétition à envoyer aux ministères idoines des états membre précités, pour reconnaître de facto les informaticiens européens (quels que soient leurs niveaux de compétences/fonctions), comme des juristes : Chevronnés, honoris causa, 1ers de cordée, et autres titres ronflants (dans un futur proche, on ira tous faire de la config en robe noire… Ça va être d’un pratique).
Rien que place Vendôme, ils vont nous donner de l’élan, j’en suis sûr !
Incohérence n°4.
Alors au final, bienvenu en “Absurd-land”?
Je ne crois pas, non.
Essayons, de raisonner quelques secondes :
N’auriez vous pas l’impression que tout, absolument tout, est prévu pour ne pas avoir de solutions, et surtout pas dans le long terme? En effet, qu’est ce qui nous dit que ces nouvelles CCT extrêmement contraignantes (vous en conviendrez), ne seront pas invalidées dans 4/5 ans pour une raison ou une autre?
“De qui se moque t’on?”
Conclue l’article.
Oui on se le demande :
Depuis des lustres, l’UE recommande l’utilisation du logiciel libre. Croyez vous vraiment que ce ne soit qu’un hasard ?
Les rapports Longuet et Latombe sont parfaitement clairs et abondent pleinement dans ce sens. Que les raisons soit sociales, économiques, sécuritaires, etc.
Maintenant, résumons cela à quelques éléments clés de la chronologie des événements ( mais on peut remonter bien plus loin et en ajouter d’autres):
- Invalidation Safe Harbor - novembre 2015 :
Indicateur 1 - Promulgation RGPD - avril 2016 :
Indicateur 2 - Mise en application RGPD - mai 2018 (1 an et un mois pour se préparer donc):
Indicateur 3 - Invalidation du Privacy Shield (et donc des CCT de l’époque) - juillet 2020 :
Indicateur 4 - Le rapport Longuet est publié au Sénat - 1er octobre 2020
Indicateur 5 - Toujours en octobre 2020, les laenders allemands votent a l’unanimité le passage au logiciel libre pour les infrastructures publiques :
Indicateur 6 - La Communauté Européenne publie dans son journal officiel de Nouvelles CCT impossibles ou presque à mettre en oeuvre - 4 juin 2021 :
Indicateur 7 - Le rapport Latombe est publié à l’Assemblée Nationale le 29 juin de la même année :
Indicateur 8 - L’equivalent de notre CNIL en allemagne, plus précisément l’antenne locale de Hambourg, déclare le recours au logiciel “Zoom” (visioconférence) incompatible avec le RGPD le 16 août, toujours de la même année.
Indicateur 9
Etc.
Question concernant l’article de presse :
Certains aurait-il été “lobbyisés”?
Et/ou:
Certains ne se serait ils pas endormis sur leurs lauriers ?
(Pas taper, merci)
… C’était le troll du jeudi.
A suivre ?..
Envoyé depuis e.email via un Samsung S3 (I9300) sous /e/ OS