Nouvelles CCT: Une analyse biaisée?

Bonjour à toute la /e/ community

Il me semble d’importance de soulever quelques points aux regards des dernières nouvelles en matière de législation numérique européenne (voire française).
Cela peut paraître rébarbatif au possible, mais au risque de pratiquer l’hyperbole, je pense sincèrement que le non-respect de ces directives peut entrainer de graves conséquences, à quelque niveau que ce soit de nos infrastructures (sociales, économiques, urbaines, etc.).
Parce que, d’un point de vue éthique, voire déontologique : Comment un organisme, état, région ou métropole (cochez la case désirée), pourrait toucher des subventions de quelque nature que ce soit de la part de l’UE sans respecter ses lois et directives ?

Mais abordons le sujet plus directement.
Il s’agit donc des nouvelles Clauses Contractuelles Type (ou CCT) publiées le 4 juin 2021 par la Commission Européenne :
Celles-ci font suite à l’invalidation du Privacy Shield, invalidé lui, le 12 juillet 2020.
Le sujet est ardu, oui, et je ne prétends nullement être juriste (j’insiste), et c’est pour cela que ce qui suit (maladroitement décortiqué peut-être) est vivement encouragé au débat (avis des professionnels plus que bienvenus !).

Pour commencer, un article traitant des conséquences des nouvelles CCT. Une bonne analyse de la situation, avec en prime une petite historique de la chose. Mais si je peux abonder dans un certain sens avec ladite analyse, pour la conclusion… Euh… Montant du chèque ?
https://www.lemagit.fr/opinion/Nouvelles-CCT-de-la-Commission-europeenne-les-DPO-ny-trouvent-pas-leur-compte

"…Mais les transferts en dehors de l’UE ne sont possibles qu’en application de l’une des méthodes suivantes :

• L’adéquation du pays de destination par la Commission européenne ;
• Le recours à un instrument juridique établi entre autorités politiques ;
• L’utilisation des règles d’entreprise contraignantes (BCR) entre entités d’un même -groupe ;
• L’application d’un code de conduite, une certification ou des clauses contractuelles approuvées par les autorités de contrôle ;"

Et enfin :

" Le recours à des clauses contractuelles types (CCT) définies par la Commission européenne."

Ouf ! Alors rien que pour la mise en place, et considérant le temps imparti (deadline = décembre 2022), on est tous dans les choux, non ( sauf pour ceux qui ont pris les devants, et il y en a je crois )?. Rien que côté administratif/ bureautique, la rédaction de nouvelles conventions d’entreprise, contrats, etc., va augmenter la charge de travail de manière invraisemblable dans le cadre d’un transfert hors-UE.
En considérant déjà la charge de travail (pour tous) impactée par la crise sanitaire + les ransomwares?
Une incohérence, une

Dixit le Parlement Européen :

« Aucun contrat entre entreprises n’est à même d’offrir une protection contre l’accès indiscriminé, par les services de renseignement, au contenu des communications électroniques. »

Voilà une bien belle façon d’enfoncer le clou sur le Cloud Act.

Mais encore:

“Cette évolution était très attendue, … impatients de disposer d’un outil fiable … Et plus particulièrement vers les États-Unis d’où sont issues les multiples solutions technologiques sur lesquelles s’appuient les entreprises, comme les suites collaboratives ou l’hébergement externalisé de données”

Oui, il est bien là le cœur du problème : Encore une fois, cela fait des années qu’on ne conçoit les infrastructures nationales et industrielles qu’avec les GAFAMs. En bref, certains ne savent rien faire d’autres : Toute leur culture numérique est basée dessus.
Si on parle d’incohérences, en voici une deuxième pas piquée des hannetons de la part de l’Education Nationale.
Et à mon sens : Un grave manque de vision pour le futur.

“Les nouvelles CCT passent entièrement sous silence le fond du problème : la surveillance étatique des États-Unis qui a conduit à l’invalidation du Privacy Shield.”

Précisément : Si on considère toujours le Cloud Act et ne serait-ce que le RGPD (hors CCTs diverses), à aucun moment un exportateur de données européen (ex: Une entreprise, un service public/administration, une association, etc.) ne peut mettre en péril les données des utilisateurs de l’Union selon la législation en vigueur de celle-ci.
Et de trois pour les incohérences.

“On ne peut pas être plus clair : c’est aux exportateurs de déterminer si la législation américaine n’est pas contraire au RGPD [alors qu’ils] disposent d’un pouvoir de négociation et de capacités juridiques et financières limités.”

Oui, bien sûr : Les professionnels des systèmes d’information ne sont pas des juristes, et encore moins des magistrats !
Quant à demander des comptes a une juridiction hors-UE, je vous/nous souhaite à tous bonne chance, sincèrement… Bien que, et si on se rappelle le vieil adage : “Nul n’est sensé ignorer la loi” (a fortiori pour des “informaticiens”, ceux-ci étant sensés être “informés”).
Je me fais ici l’avocat du diable à dessein :
Dites-vous que ce pourrait être un argument que certains (décideurs et grands patrons) pourraient vous opposer, juste histoire de se dédouaner à peu de frais. En effet, dans les textes (RGPD et autres), les responsabilités sont clairement établies et un gérant, patron, directeur, etc. est concerné au premier chef… Mais aussi les DPOs, RSIs, RSSIs, et autres acronymes chers au monde de l’IT.
Et ceci, tant sur le plan législatif que pénal !
Un petit conseil : Gardez une trace sécurisée de vos échanges avec vos directions en tout genre (peut paraître alarmiste, mais…).

Maintenant, si j’ai bien compris cette partie des nouvelles CCT (d’autres pourraient être développées plus tard):
Non-content de connaître sur le bout des doigts les lois EU + nationales sur le numérique, les professionnels concernés (levez le doigt) de tous les états membres seront aussi obligés de connaître la législation de tous les pays tiers hors juridiction UE (et hors accords validés par l’UE) vers lequel ils voudront exporter des données.

Je suggère donc derechef de lancer une pétition à envoyer aux ministères idoines des états membre précités, pour reconnaître de facto les informaticiens européens (quels que soient leurs niveaux de compétences/fonctions), comme des juristes : Chevronnés, honoris causa, 1ers de cordée, et autres titres ronflants (dans un futur proche, on ira tous faire de la config en robe noire… Ça va être d’un pratique).
Rien que place Vendôme, ils vont nous donner de l’élan, j’en suis sûr !
Incohérence n°4.

Alors au final, bienvenu en “Absurd-land”?
Je ne crois pas, non.
Essayons, de raisonner quelques secondes :
N’auriez vous pas l’impression que tout, absolument tout, est prévu pour ne pas avoir de solutions, et surtout pas dans le long terme? En effet, qu’est ce qui nous dit que ces nouvelles CCT extrêmement contraignantes (vous en conviendrez), ne seront pas invalidées dans 4/5 ans pour une raison ou une autre?

“De qui se moque t’on?”

Conclue l’article.
Oui on se le demande :
Depuis des lustres, l’UE recommande l’utilisation du logiciel libre. Croyez vous vraiment que ce ne soit qu’un hasard ?
Les rapports Longuet et Latombe sont parfaitement clairs et abondent pleinement dans ce sens. Que les raisons soit sociales, économiques, sécuritaires, etc.

Maintenant, résumons cela à quelques éléments clés de la chronologie des événements ( mais on peut remonter bien plus loin et en ajouter d’autres):

• Invalidation Safe Harbor - novembre 2015 :
  Indicateur 1
• Promulgation RGPD - avril 2016 :
  Indicateur 2
• Mise en application RGPD - mai 2018 (1 an et un mois pour se préparer donc):
  Indicateur 3
• Invalidation du Privacy Shield (et donc des CCT de l’époque) - juillet 2020 :
  Indicateur 4
• Le rapport Longuet est publié au Sénat - 1er octobre 2020
  Indicateur 5
• Toujours en octobre 2020, les laenders allemands votent a l’unanimité le passage au logiciel libre pour les infrastructures publiques :
  Indicateur 6
• La Communauté Européenne publie dans son journal officiel de Nouvelles CCT impossibles ou presque à mettre en oeuvre - 4 juin 2021 :
  Indicateur 7
• Le rapport Latombe est publié à l’Assemblée Nationale le 29 juin de la même année :
  Indicateur 8
• L’equivalent de notre CNIL en allemagne, plus précisément l’antenne locale de Hambourg, déclare le recours au logiciel “Zoom” (visioconférence) incompatible avec le RGPD le 16 août, toujours de la même année.
  Indicateur 9

Etc.

Question concernant l’article de presse :
Certains aurait-il été “lobbyisés”?
Et/ou:
Certains ne se serait ils pas endormis sur leurs lauriers ?
(Pas taper, merci)

… C’était le troll du jeudi.
A suivre ?..

Envoyé depuis e.email via un Samsung S3 (I9300) sous /e/ OS

Retrouvez votre vie privée ! Adoptez /e/ le système d’exploitation mobile et les services en ligne déGooglisés

DPO : Vers une revalorisation du métier ?

Bonjour à toute la /e/ community

Bon apparemment, je ne me suis pas encore fait lapider dans le post précédent. On va donc tenter de pousser mémé dans les orties et ce sera…
Le troll du samedi :

Je voudrais donc revenir sur le métier de DPO (Data Protection Officier ou Délégué à la protection des données), et voici les textes concernés (art. 37 à 39) depuis le site de la CNIL :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37

J’ai dû faire comme la majorité, j’ai lu en premier lieu l’article 37 d’une traite mais un passage a particulièrement attiré mon attention :

“…
. 6
Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.”

Donc, et si je comprends bien: Tout DPO peut être choisi par, soit l’organisme émetteur de données ( ex: un service public), soit le récepteur (ex: Microsoft, Google, etc.), mais aussi une entreprise ou société de services externe.
Bien, mais quel émetteur ou récepteur ferait confiance à une société externe pour la mission de DPO?

On peut supposer que les DPOs assignés seront :

• Souvent internes aux entités émettrice + réceptrice.
• Et par voie de consequence : Les DPOs externes sont rarement sollicités.

Pourquoi? Bien evidemment parce que les intérêts de part et d’autres des entités citées plus haut, seraient bien trop importants pour les mettre en péril lors d’une brèche dans la protection des données.
Je me risquerai donc a soupçonner que certains DPOs actuels seraient, d’une manière ou d’une autre, “contraints” de se plier aux exigences de leurs directions, tant le lobbying semble important sur le sujet, ne serait-ce qu’a Bruxelles :

https://www.lemonde.fr/economie/article/2021/08/31/les-gafam-rois-du-lobbying-a-bruxelles60928113234.html

D’autres part, et comme on me l’a rappelé récemment, “les patrons sont ceux qui paient”.

Mais on pourrait remarquer un premier garde-fou dans l’article 38 :

“Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions…”

Donc, pas de “suggestions” ou d’“orientation obligatoire” de la part de leurs hiérarchie(s).
Mais encore:

“Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.”

Voilà qui est rassurant, mais:

“Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.”

Puis :

“Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres.”

Ah oui ?
Ces deux derniers points ne rentreraient-ils pas en contradiction avec les précédents ? Peu importe, l’article 34 est la pour remettre les pendules à l’heure.
Les explications de la CNIL :

https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles

Arrêtez moi si je me trompe, mais au final, cela me paraît plutôt clair :
En cas de sinistre, votre réfèrent principal, c’est la Commission. Et tous les professionnels de l’IT ont une obligation légale de signalement envers elle.

Un atout supplémentaire pour ceux qui seraient tentés de suivre cette voie :

https://www.cnil.fr/fr/certification-des-competences-du-dpo-la-cnil-adopte-deux-referentiels

Comme le dit le texte, ce n’est nullement obligatoire, mais voyons un peu le côté prestige et donc une possible revalorisation du métier :
Cela fait tout de suite plus sérieux, non ?
Alors oui, il faudra étudier la question (voir le site) et passer un examen, par exemple (d’autres options sont possibles) : On ne devient DPO certifié par magie.
On pourrait même ajouter que les directions qui ont nommés a la va-vite (ex: “parce que c’étaient ceux qui maîtrisaient les deux aspects du métier le plus”), devront dans un avenir (très) proche revoir leur copie, je le crains.
D’autres part, c’est la CNIL elle-même qui valide, ou non, la certification. Donc du point de vue de l’utilisateur lambda, on peut espérer être tranquille. Et je pense que ÇA, c’est un argument à mettre en valeur lors d’une négociation de salaires, par exemple ( il y en a qui vont me haïr).

Edit: Apparemment, on manquerait de 8000 DPOs, rien qu’en France !

Je vais avoir un problème de compétences pour devenir DPO certifié : Cela fait des années que je n’ai pas mis les mains (et la tête, alouette !) dans une “Fenêtre”: Ça pique, vous savez ?
… Mais heureusement, les CCT nouvelles sont arrivées, et
[mode pied de nez] ceux qui ne sont pas formés à autre chose que les GAFAMs vont souffrir ! [/mode pied de nez]

… C’était le troll du samedi

Une interviwe à écouter:
https://www.thinkerview.com/benjamin-bayart-et-marc-rees-pass-sanitaire-geopolitique-de-la-data-copie-privee/

En résumé, le RGPD n’est pas compatible avec le cloud act, le plus simple est ne pas prendre des ervices soumis aux loi US (19min 50). Les politiques ne sont pas mis en accord avec la décision de la cour de la justice européenne, ils n’ont pas encore de géostratégie numérique pour l’EU (exemple 1h17).

“En résumé, le RGPD n’est pas compatible avec le cloud act, le plus simple est ne pas prendre des (s)ervices soumis aux loi US (19min 50).”

Promis, je n’avais aucune connaissance de l’émission (et merci @espadon pour le tuyau).
Merci de confirmer que je ne suis pas complètement dingue parce que nous semblons tous d’accord !

Question (je ai pas encore écouté l’émission): Pour ceusse qui ont lus mes bêtises… Combien de temps de lecture?
Bon d’accord, trop.

“Les politiques ne sont pas mis en accord avec la décision de la cour de la justice européenne, ils n’ont pas encore de géostratégie numérique pour l’EU (exemple 1h17).”

Là, encore une fois, on est d’accord: Les politiques, sont à la traîne comme d’habitude. Les “lauriers” dont je parle à la fin de mon 1er post leurs sont en partie dédiés (mais pas qu’à eux).

Vous allez me trouver un tantinet pénible d’insister (et me reprocher peut-être l’apparente rudesse) mais le passage au logiciel libre se fera avec/sans je, tu, il, nous, vous, ils, la voisine et son f¥$¢√utu chat ! Toute l’actualité (et pas que IT) nous le dit tous les jours, selon moi.

Bonjour.

Il faudra déjà libérer les instances européennes : avec en moyenne 7 lobbyistes à temps plein par député.e (chiffre parfaitement officiel), comment s’étonner de l’orientation très “business friendly” des décisions prises ?..

@ trefix: Il y a bien plus de transparence des lobbying au niveau qu’au niveau de l’AN et du sénat en France voir pire au niveau instances départementales, régionales ou des grandes aglomérations. Les intervennants disent que sur le RGPD il y a eu un énome lobbying des GAFAMS et cela n’a pas empêché la sortie de cette directive.

@wookies65 : Je 'invite à écouter l’émission en podcast, Benjamin BAYART est très didactique.

Tout d’abord merci à tous deux d’intervenir. Je suis partisan de dire qu’à plusieurs, on est plus fort qu’à un seul. Et au risque de paraitre grandiloquent, c’est de là que se dégagent, d’après moi, les solutions les meilleures et les plus pérennes.
Chers membres, vous êtes donc bons pour le “troll du…” sur le lobbying numérique

…“avec en moyenne 7 lobbyistes à temps plein par député.e (chiffre parfaitement officiel), comment s’étonner de l’orientation très “business friendly” des décisions prises ?..”

Énorme !
Oui, comment s’en étonner en effet ?
Les députés en question doivent se faire harceler 24/24, 7/7 et finissent par dire “oui” pour avoir la paix héhé.

“…Il y a eu un énorme lobbying de la part des GAFAMs, et cela a pas empêché les directives de sortir.”

Très juste.

“… voir(e) pire au niveau instances départementales, régionales ou des grandes ag(g)lomérations.”

Je le constate effectivement tous les jours.
Rien que dans ma métropole, les infrastructures sont complètement obsolètes. Quant aux textes et à leur application : Pour le privé, cela tourne encore à peu près et les personnels divers sont en grande majorité formés au RGPD (il y a des exceptions bien sûr). Mais la branche publique, c’est une pure catastrophe et rien que de prononcer “RGPD” semble perçu comme une vulgarité !
Quand aux infrastructures logicielles libres, vous n’en trouverez pas la moindre dans le coin (ou alors, elles sont anecdotiques). Pourquoi ?
Ma ville est jumelée avec deux cités US. La seconde étant célèbre pour de multiples raisons (et pas que pour son carnaval). On se doute donc, que certains intérêts économiques seront protégés à tout prix.
Par exemple : À l’époque de l’invalidation du Privacy Shield, une voiture Google avec caméras (360°=HDRI?) se balladait encore dans les petites rues de ma ville.
Quel contrat les gens de Google avaient-ils passés avec les élus de ma commune pour avoir l’autorisation de filmer tout, et tout le monde ? Et surtout de quel droit ?
Qu’on ne me dise pas que ce n’est pas vrai : J’ai vu de mes yeux le véhicule en question.

On va frôler le hors-sujet mais la plupart des structures physiques conçues et développées dans ladite commune (mais je suis bien certain que ce n’est pas une exception) sont certes, modernes, belles et toutes plus proprettes les unes que les autres, mais ce n’est rien que du tappe-à-l’oeil conçu pour les mêmes raisons fallacieuses, et celles-ci sont comme toujours, électorales.
Si vous observez le réel contenu des structures il n’y a rien, à part une hiérarchie que je qualifierais de dynastique (le neveu, fils/fille de - ajouter des options si nécessaire) mais de vrais formateurs (par exemple) qui maîtrisent leurs sujets ? Ils sont extrêmement rares, malheureusement. Bref, nous avons des bocaux vides sur une étagère ou des contenants sans contenus.
Je ne ferai que citer ma rencontre épique avec un directeur de centre d’aide à la création d’entreprise (connu)… Et j’ai eu malheureusement la preuve que l’argent public européen était clairement gâché.
Le type (vous allez voir le modèle de compét’) :

• Renouvelle le contrat avec Office 365, alors que l’invalidité du Privacy Shield vient d’être prononcée.
• Impose le logiciel de visioconférence Zoom.
• Confond les articles 24 à 26 et 32 à 34 du RGPD (après être tombé dans un piège grossier - je sais, c’est pas bien).
• Prétends que la structure dont il a la charge est parfaitement dans les clous.
• Incrimine en premier lieu une “société de service” et ne me permet pas de remettre en cause le professionnalisme de celle-ci (je sais, c’est pas bien non plus), alors que j’avais juste proposé mon aide par mail.
• Incrimine pour finir, directement la présidence de région.
  Édit : Les points 3,4,5 et 6 se déroulant à la même date, quelques semaines avant les Régionales

Bref : “C’est pas moi, c’est l’autre” - Lieu : Cours de récré, âge mental : 10 ans !

… C’était le Troll du dimanche

@espadon

“@wookies65 : Je t’invite à écouter l’émission en podcast, Benjamin BAYART est très didactique.”

Oui, je n’en doutes pas une seconde, rassures toi :). Je me réservais juste la séance pour ce soir, histoire d’y réfléchir a tête reposée

This topic was automatically closed after 8 days. New replies are no longer allowed.