Bonjour chers amis journaleux,
Certains d’entre nous, ici en Belgique, sont très enthousiastes à l’idée de voir les logiciels libres et surtout les services pouvant être proposés aux écoles, basés sur des logiciels libres, avoir le vent en poupe suite aux actuelles conséquences des la directive européennes concernant la protection des données personnelles (RGPD).
RGPD vs GAFAMs
Fin 2020, suite à la décision de la Cour de Justice, l’autorité irlandaise aurait ordonné à Facebook d’arrêter d’envoyer des données de résidents européens vers les USA…
Comment cela serait-il possible ?
La Cour de Justice aurait en effet rendu importante une décision concernant les transferts de données entre l’Europe et les États-Unis d’Amérique du nord. Cette décision aurait surpris à la fois par ses conséquences et par l’absence de « période de grâce » pour que les entreprises et les écoles puissent s’adapter. Une chose dénommé “Privacy Shield” aurait été annulée et il ne serait donc plus possible de transférer légalement des données personnelles vers des sociétés américaines.
L’accès aux données par le gouvernement américain rendrait inapplicable l’utilisation d’éventuelles clauses proposées par la Commission Européenne pour les autres pays tiers. En effet, contrairement à ce que prétendraient les GAFAMs, les conditions pour qu’elles soient appliquées ne seraient, de fait, pas présentes aux USA.
Demander aux utilisateurs de consentir au traitement des données par les GAFAMs* ne serait pas possible dans la mesure où il serait "difficile" d’expliquer aux utilisateurs qu’ils consentent à ce que leurs données soient examinées par les autorités américaines pour garantir la sécurité nationale des États-Unis d’Amérique du nord.
* « Les GAFAMs », pourquoi oublie-t-on si souvent le M de Microsoft ? Quoi qu’il en soit, il s’agirait ici de toute entreprise établie au État-Unis d’Amérique du nord donc…
Ainsi, les sociétés américaines ne pouvant pas s’engager à respecter le RGPD même si elles le voulaient, les GAFAMs ne pourraient donc plus être des sous-traitants au sens du RGPD.
Qu’en savez-vous ?
Qu’en dites-vous ?
Ensuite les logiciels libres…
De là a considérer qu’il y aurait une opportunité pour mettre en avant les logiciels libres et les services qui peuvent être proposé aux écoles…, n’y aurait-il qu’un pas ? un tout petit pas, un grand pas ou de très nombreux pas encore ? ou encore un mauvais pas ?
Cf. https://wiki.educode.be/doku.php/vie_privee/accueil
Qu’en savez-vous ?
Qu’en dites-vous ?
# SchremsII
Posté par Benjamin Henrion (site web personnel) . Évalué à 8.
C'est quand même malheureux de ne pas citer l'arrêt SchremsII:
http://www.zoobab.com/use-of-azure-aws-and-gcp-illegal-under-eu-law
On peut s'attendre à ce que les GAFAMs utilisent toutes les ficelles possibles et imaginables pour continuer à vendre leur came.
# Des sources ?
Posté par Dring . Évalué à 5.
Quelqu'un à la source sur l'interdiction faite à Facebook par les autorités Irlandaises ? Tout ce que j'ai trouvé, c'est un article du 2 décembre, mais aucun jugement n'avait été rendu alors : https://www.cnbc.com/2020/12/02/irelands-privacy-watchdog-on-data-transfer-dispute-with-facebook.html.
C'était encore à l'étape "c'est moi qui ai raison / non c'est moi / non c'est celui qui dit qui y est".
Ce genre de débat ayant tendance à durer des siècles, tout le monde va attendre que quelqu'un se paye une grosse amende ou quitte effectivement un pays pour prendre la menace au sérieux.
[^] # Re: Des sources ?
Posté par Space_e_man (site web personnel) . Évalué à 2.
Personnellement j’ai pris la précaution d’utiliser le conditionnel à partir de la page web renseignée sur educode.be
Protection des données personnelles : vers une disparition de Facebook et des GAFA en Europe ? )
→ https://www.lalibre.be/debats/opinions/protection-des-donnees-personnelles-vers-une-disparition-de-facebook-et-des-gafa-en-europe-5f758663d8ad586219d12163
À présent, si je fait une recherche avec Ireland facebook European private data je trouve de nombreux résultats et apparemment rien n’est définitivement claire…
Facebook to stop moving data from EU to US: 5 things you need to know
→ https://www.politico.eu/article/facebook-data-ireland-privacy/
Data transfers will continue, but for how long?
Ireland’s privacy watchdog hopes data transfer dispute with Facebook will conclude by early 2021
→ https://www.cnbc.com/2020/12/02/irelands-privacy-watchdog-on-data-transfer-dispute-with-facebook.html
“While we do talk about the fact that the majority of big tech platforms are headquartered in Ireland, they’re not the only ones. The likes of Amazon, Spotify, Netflix, PayPal; they are elsewhere.”
[^] # Re: Des sources ?
Posté par Dring . Évalué à 3.
Merci !
Ca me rassure, on tombe sur les mêmes. L'article sur Politico date de septembre 2020, celui sur CNBC, c'est celui que j'avais aussi indiqué, et celui sur lalibre.be, c'est un blog, et sans référence récente.
C'est con, j'aurai voulu partager l'info dans ma boîte, mais là je ne vais avoir que la décision de Juillet 2020, et rien de plus. Venir avec "Facebook s'est effectivement fait éjecter d'Irlande", c'est quand même plus percutant, et tu as plus de chance d'obtenir une décision du management.
Pour l'instant, on se retrouve juste avec une incohérence légale confirmée par l'UE, mais sans conséquence juridique pour les sociétés qui s'en contrecognent.
# Et la localisation physique des données, on est d'accord que ça change rien ?
Posté par Dring . Évalué à 3.
Et oui, avec le Cloud Act, je suis un peu perdu.
Concrètement, si on envoie les données à une société US, mais que les données sont stockées physiquement dans un datacenter qui lui est dans l'UE, l'état Américain se réserve encore le droit d'aller regarder ce qui s'y passe (avec un bémol : en théorie ce n'est possible que si il y a un accord bilatéral trouvé avec ledit pays. Dans la réalité, la NSA se fout probablement de ça).
Du coup, cas d'école. J'ai créé un super site web, que j'héberge sur AWS. J'ai choisi un datacenter situé dans l'EU. Je stocke la date de naissance de mes utilisateurs. Je suis hors-la-loi ? Pas encore ? Pas complètement ?
Vous avez 2 heures.
[^] # Re: Et la localisation physique des données, on est d'accord que ça change rien ?
Posté par Space_e_man (site web personnel) . Évalué à 5.
Peut-être une piste → Extraterritorialité du droit américain
Interview de Frédéric Pierucci. Alstom : la France vendue à la découpe ?
→ https://www.thinkerview.com/frederic-pierucci-alstom-la-france-vendue-a-la-decoupe/
[^] # Re: Et la localisation physique des données, on est d'accord que ça change rien ?
Posté par fortytwo . Évalué à 1.
Le RGPD aussi est extraterritorial à l'UE, il s'applique à tous ceux qui stockent des données personnelles de résidents UE.
Mais en cas de conflit entre Cloud Act et RGPD, les sociétés US vont certainement donner la préférence aux lois US.
[^] # Re: Et la localisation physique des données, on est d'accord que ça change rien ?
Posté par Jean-Baptiste Faure . Évalué à 4.
La bonne question est plutôt "Est-ce que je protège les données personnelles de mes utilisateurs ?"
À mon avis la réponse est non.
[^] # Re: Et la localisation physique des données, on est d'accord que ça change rien ?
Posté par Psychofox (Mastodon) . Évalué à 6.
Je crois que la NSA s'en fout même si c'est hébergé en europe par une société n'ayant pas pied sur le sol américain.
Pas vu, pas pris. C'est le principe de l'espionnage.
[^] # Re: Et la localisation physique des données, on est d'accord que ça change rien ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 9.
Avec le cloud act, la justice US peut aller chercher des données de boites ayant une représentation aux USA partout dans le monde, en ne respectant pas la souveraineté du pays ou se trouvent les machines.
D'ailleurs, google cloud (gcp) se propose sur des machines OVH surement pour contourner cette obligation US. Mais le "plan de contrôle" doit être géré par Google, donc, j'ai du mal à croire que la justice US ne peut pas intervenir.
Le "privacy shield" disait que les USA étaient safe par défaut. J'imagine que maintenant, ils doivent le démontrer.
Concernant AWS, il y a des articles qui disent que Amazon se réserve le droit d'utiliser les données de ses clients pour faire tourner ses modèles d'IA. Vu l'absence de consentement, cela ne doit pas être très compatible RGPD.
J'ai l'impression que c'est une grosse bombe, mais tout le monde s'en fout (tellement elle est grosse).
"La première sécurité est la liberté"
[^] # Re: Et la localisation physique des données, on est d'accord que ça change rien ?
Posté par fortytwo . Évalué à 1.
Ça ne m'étonnerait pas mais j'apprécierais des sources.
[^] # Re: Et la localisation physique des données, on est d'accord que ça change rien ?
Posté par GG (site web personnel) . Évalué à 2.
Ça m'étonnerait qu'il y ait absence de consentement.
Est ce que tu as vu que ça manquait dans les CGU et CGV que tu as "signées" ?
Par contre, quand tu surf sur Internet, oui, c'est différent, tu n'as rien signé, mais tes données personnelles et statistiques sont bien envoyées à AWS via ceux qui veulent pas gérer leur propres serveurs sans passer par un truc sur le cloud (ou pour d'autres raisons, parce que c'est pratique?).
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.