Aujourd'hui les Eurodéputés de LIBE ont élu Mr Bruno Gencarelli comme candidat président de l'European Data Protection Supervisor (EDPS).
Mr Gencarelli est l'architecte à la Commission Européeenne du transfer des données personnelles des citoyens européens vers les USA (Privacy Shield), ce qui permet aux GAFAMs (AWS, GoogleCloud, Microsoft Azure) de continuer à traiter des données personnelles de citoyens européens, et ce sur une interprétation très douteuse de la décision de la CJEU Schrems2.
J'ai recu un commentaire sur Twitter: "sa nomination ouvrirait la voie à une inapplication systématique du GDPR".
Le vote est secret, mais la droite et l'extrême droite n'aiment pas le GDPR et veulent élire quelqu'un qui envoie les plaintes à la poubelle.
Le loup serait-il en charge de la bergerie?
# Comprends pas trop
Posté par pasBill pasGates . Évalué à -10 (+1/-12).
Quel est le rapport avec les services de cloud ?
Ces clouds ne transferent pas tes données hors de la région ou tu les stocke et typiquement ne vont jamais regarder tes données ou les utiliser. Si tu les stockes dans une région européenne, ils restent là.
Ils ne sont absolument pas dans le même modèle que Facebook ou l'utilisateur est le produit
[^] # Re: Comprends pas trop
Posté par Benjamin Henrion (site web personnel) . Évalué à 10 (+21/-0).
"Ces clouds ne transferent pas tes données hors de la région"
Les entreprises américaines sont soumises au Cloud Act américain, et sont obligées de donner les données même si leurs filiales opèrent en Europe. C'est de l'extra-territorialité.
[^] # Re: Comprends pas trop
Posté par pasBill pasGates . Évalué à -2 (+2/-5).
Il faut arrêter de tout melanger.
Les considérations en ce qui concerne les demandes de la justice US sont très légitimes mais n'ont rien à faire avec le Privacy Shield qui régule le transfert de données européennes aux USA pour raisons commerciales
Hors les clouds US ont comme règle de ne simplement pas toucher aux données de leurs utilisateurs et ils gardent typiquement les régions séparées les urnes des autres pour des questions de stabilité.
Leur business est très différent de Facebook. Ils font du fric en ayant des clients qui paient pour leur service, pas en vendant les données de leurs clients
[^] # Re: Comprends pas trop
Posté par Benjamin Henrion (site web personnel) . Évalué à 6 (+6/-1).
"les demandes de la justice américaine sont très légitimes"
Le problème c'est quec les américains font de l'espionnage de masse SANS aucune demande d'un juge, via le FISA702:
https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu
"In 2013 Edward Snowden disclosed that the US government used "big tech" companies and programs like "PRISM" or "Upstream" under FISA 702 and EO 12.333 to spy on the rest of the world without the need for probable cause or judicial approval."
Le FISA702 a été reconduit pour 2 ans en avril 2024.
[^] # Re: Comprends pas trop
Posté par pasBill pasGates . Évalué à 4 (+4/-1).
Bon faut quand même me quoter proprement hein, je n'ai jamais dit que les demandes de la justice américaine étaient légitimes
[^] # Re: Comprends pas trop
Posté par Astaoth . Évalué à 10 (+16/-0).
C'est pas ce qu'avait répondu Microsoft la dernière fois qu'on leur avait posé la question : https://www.computerweekly.com/news/366589152/Microsoft-admits-no-guarantee-of-sovereignty-for-UK-policing-data
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Comprends pas trop
Posté par pasBill pasGates . Évalué à 1 (+0/-0).
Faudrait voir de quoi ils parlent exactement dans cet article.
Si ils parlent du fait que le gouvernement US peut demander accès, ce n'est pas surprenant et pas le sujet dont on parle ici (accès pour raisons commerciales).
Ils parlent de support aussi qui serait hors UK, ce qui ne me surprend pas trop, mais est de nouveau sans rapport avec le sujet.
[^] # Re: Comprends pas trop
Posté par Astaoth . Évalué à 3 (+1/-0). Dernière modification le 23 janvier 2025 à 04:25.
Tiens, si tu veux qq chose de plus récent sur le problème de territorialité des données (j'avoue, j'ai pas cherché trop loin :p) : https://linuxfr.org/users/zoobab/journaux/gdpr-et-microsoft-365-la-commission-europeenne-poursuit-l-edps
Non, non, dans l'article sus-cité, ca parle de la localisation géographique des données.
Mais même dans l'éventualité d'une demande d'une administration USA, ca reste exactement le même problème : la souveraineté des données. Que la boite en question puisse transférer les données dans un autre pays pour X raisons indépendantes de la volonté de l'organisme responsable des données en question et sans la prévenir, peut importe les raisons, c'est globalement le même problème.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Comprends pas trop
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2 (+0/-0).
Parfois (ou souvent) avec le numérique, pas besoin de transférer : suffit d’utiliser les moyens de consultation à distance quand c’est possible.
Mais pour en revenir au cœur du problème, le parallèle subtile introduit par cette loi américaine est que les machines (et peut-être les locaux) des entreprises tech ayant leur nationalité sont comme leurs ambassades…
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Comprends pas trop
Posté par pasBill pasGates . Évalué à 1 (+0/-0).
Non le problème est très diffèrent.
Dans un cas (gouv US), le cloud provider ne peut rien faire contre et doit s'y plier.
Dans l'autre (commercial), le cloud provider peut très bien avoir une décision de ne pas toucher aux données de ses clients et de ne pas les migrer d'une zone à l'autre
Quand tu utilises un cloud provider, qu'ils soit Francais, Italien, Americain ou Chinois, il y a 2 questions à se poser:
Ce sont 2 questions séparées
[^] # Re: Comprends pas trop
Posté par Astaoth . Évalué à 3 (+1/-0).
Dans le cas de MS, ils ont démontré que leurs termes ne sont pas de confiances.
Je fais confiance dans les administrations US pour utiliser la législation en vigueur vis-à-vis des entreprises basées dans leur pays.
Les 2 cas impliquent le même résultat : un problème légal au regard du droit européen.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Comprends pas trop
Posté par pasBill pasGates . Évalué à 2 (+1/-0).
Le succès d'Azure démontre que bon nombre d'Européens leur font confiance au niveau commercial du moins, ont-ils des standards diffèrents des tiens ? Ou une compréhension des termes de MS qui est diffèrente.
Perso, j'ai du mal à voir quels termes ne sont pas de confiance en ce qui concerne leur cloud, mais peut-être que j'ai raté un truc.
[^] # Re: Comprends pas trop
Posté par Astaoth . Évalué à 3 (+1/-0).
Le succès est relatif face aux principaux concurrents. Et ce succès relatif ne démontre rien du tout car tu ne connais pas les cas d'usages de leurs clients. Dans la majorité des cas il n'y a pas de traitements de données personnelles ou confidentielles, ce qui fait que les problèmes géographiques et d'extra-territorialités sont très secondaires.
Dans les cas de traitements de données personnelles ou confidentielles, ca démontre surtout une volonté d'ignorer les législations européennes et les ToS. Quand la majorité des clients non techniques de toutes tailles demandent à avoir de l'AWS, GCP ou Azure, la stratégie actuelles des ESN, au lieu de conseiller au mieux leurs clients par rapport à leurs besoins, consistent à leur vendre ce qu'ils demandent et en laissant les questions juridiques aux dits clients.
C'est d'ailleurs assez exaspérant lorsque je me retrouve à devoir traiter les demandes d'intégrations de nouveaux produits dans une infra et que je me retrouve à faire le travail du DPO pour souligner ces petits problèmes juridiques.
En bref, ce n'est pas parce que tout le monde saute joyeusement de la falaise que c'est forcément la meilleure idée.
Quant à mes standards comme tu dis, ce ne sont que ceux imposés par la législation européenne, que MS cherche à ignorer. Mais je comprends ta phrase, essayer de dénigrer les arguments d'une personne est plus simple que de les réfuter proprement.
Suffit de lire le reste du thread, t'as quelques liens pour te donner des pistes de réflexions. Mais si tu ne veux pas les voir, je n'ai pas spécialement envie de me fatiguer à te faire une thèse.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Comprends pas trop
Posté par pasBill pasGates . Évalué à 2 (+1/-0).
Je bosse pour leur principal concurrent… Leur succès n'est pas relatif, ils sont 2ème et ils ne sont pas si loin. GCP est loin derrière eux.
Je connais nombre de leurs clients, et si, pas mal de ces clients font absolument du traitement de données personnelles et confidentielles.
Petit exemple ici : https://www.frenchweb.fr/microsoft-sallie-a-axa-pour-creer-une-plateforme-de-sante/420028
Un assureur, genre données sensibles, ils en ont… et AXA, les lois et les règles ils connaissent.
Nan, pas grand chose justement, c'est pour cela que je demande. En face il y a :
https://www.usine-digitale.fr/article/microsoft-promet-de-garder-les-donnees-de-ses-clients-europeens-au-sein-de-l-union-europeenne.N1090614 , le fait que je bosse depuis 10 ans dans un cloud provider concurrent après avoir passé 13 ans chez MS et que je sais comment ils fonctionnent en détail. Tout ce que j'ai vu ici c'est du FUD, exactement comme à l'époque (allez, disons 10-15 ans) il y avait du FUD sur Windows.
Le problème c'est que tu n'as rien pour montrer que MS ne respecte pas les règles. Azure offre très clairement la possibilité que les données restent dans l'UE et cela depuis un moment.
[^] # Re: Comprends pas trop
Posté par TuxMips . Évalué à 3 (+1/-0). Dernière modification le 19 janvier 2025 à 22:05.
https://www.cnil.fr/fr/revoir-le-webinaire-transferts-de-donnees-hors-ue-quelles-regles
A partir de la minute 3 de la vidéo.
Cela me semble très clair. Pas besoin que les données personnelles ou la base de données contenant ces données personnelles soient localisée sur un serveur dans un pays étranger. Tout cela peut rester en France ou en Europe. Mais si pour maintenir ton serveur/base de données tu fais appel à un sous-traitant étranger, qu'il a accès ou peut avoir accès à la base de données ou aux données personnelles, alors le responsable de traitement sera "exportateur de données".
Certes, juridiquement ce n'est pas interdit mais tu dois prendre moult précautions contractuelles avec notamment des contrats-types: https://www.cnil.fr/fr/definition/clauses-contractuelles-types
Voir aussi : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
[^] # Re: Comprends pas trop
Posté par pasBill pasGates . Évalué à 1 (+0/-0).
Bon le site de la CNIL est en maintenance, donc dur de connaitre les détails, mais j'imagine que ce genre de chose est contourné par la création de societés locales, qui répondent à la maison mère.
Ces clouds connaissent les lois européennes et veulent ces marchés, cf. https://press.aboutamazon.com/2023/10/amazon-web-services-to-launch-aws-european-sovereign-cloud par exemple.
# Schrems3
Posté par Benjamin Henrion (site web personnel) . Évalué à 6 (+5/-0). Dernière modification le 17 janvier 2025 à 10:43.
Un lien vers l'article de NYOB concernant ce "Privacy Shield":
https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu
"EU Commission shows little care for rule of law and citizens' privacy."
NYOB: New Trans-Atlantic Data Privacy Framework largely a copy of "Privacy Shield", noyb will challenge the decision
# N'importe quoi
Posté par Misc (site web personnel) . Évalué à 10 (+10/-0).
C'est n'importe quoi à tout les niveaux.
C'est aussi n'importe quoi. Primo, je rajouterais "citation needed" sur le début, parce que le RGPD a été adopté avec 621 voix pour, et 10 contre, 32 absentions. Si on compte les absentions et les contre ensemble, on obtient à peine la taille d'un des deux groupes d’extrême droite de l'époque , à savoir soit ENL, soit EFDD. Donc parler de "la droite et l’extrême droite" est une information incorrect et trompeuse, et c'est en supposant que les 10 contre sont effectivement de droite (chose qui peut se vérifier via les votes, si quelqu'un trouve ça sur le site du parlement).
Ensuite, le reste est également hors sol.
L'EDPS (à ne pas confondre avec l'EDBP) a le même rôle que la CNIL pour l'administration européenne, ç'est une DPA mais uniquement pour l'Europe en tant qu'institution. En effet, vu que les institutions européennes sont des institutions extra territorial, elles ne tombent pas sous la juridiction d'un des pays membres.
L'EDPS a donc comme rôle celui d'investiguer les plaintes des fonctionnaires européens dans le cadre de leur travail, et des citoyens pour ce qui concerne ses interactions avec l'administration elle même, et pas beaucoup plus. Si un fonctionnaire francais vivant en France a un souci de RGPD avec sa mairie, c'est la CNIL, pas l'EDPS. Si un fonctionnaire a un souci avec le service de paie, c'est l'EDPS.
L'EDPS a aussi un rôle consultatif vis à vis de l'administration, tout comme la CNIL pour le gouvernement français, mais uniquement sur ce qui concerne l'UE en tant qu'administration et pas sur toute l'Union et ses lois (encore une fois, il faut séparer l'administration et le reste).
Et c'est loin d'être la seule source à ce niveau. Il y a l'EDPB (anciennement "groupe de travail 29") qui joue un rôle bien plus important et qui vise à rassembler tout les DPAs d'Europe (via des conférences, des réunions, etc, etc). L'EDPB publie aussi des clarifications sur le RGPD, mais sur un domaine plus générique que l'EDPS, vu que ça regroupe tout les DPAs d'Europe a des fins d'harmonisations.
Il y a des juristes qui écrivent des livres, des articles dans des journaux académiques, qui plaident.
Il y a la CJUE qui clarifie les interprétations de droit, mais aussi l'ECtHR (via l'article 8 de l'ECHR), l'ONU (via l'article 12 de l'UDHR),
etc, etc.
L'immense majorité des plaintes ne vont pas tomber devant l'EDPS, et si l'EDPS ne fait vraiment rien du tout, il y a des recours devant l'équivalent du tribunal administratif pour l'UE (je pense que c'est la CJUE, mais je suis pas sur).
Donc croire qu'il suffit de nommer une personne pour faire dérailler tout ça est absurde, il y a tout une bureaucratie qui est la pour séparer les pouvoirs depuis le début justement dans le but d'éviter l'arbitraire.
C'est du crypto complotisme de libriste que de croire le contraire et de le répéter.
[^] # Re: N'importe quoi
Posté par Voltairine . Évalué à 1 (+1/-1).
Un seul mot :merci !
Et cela me troue le cul de voir un tel score pour ce type de journal.
[^] # Re: N'importe quoi
Posté par devnewton 🍺 (site web personnel) . Évalué à 3 (+0/-0). Dernière modification le 19 janvier 2025 à 08:31.
Ça peut permettre de belles dérives quand même non ?
Par exemple :
https://www.observatoiredeleurope.com/qui-sont-les-quatre-pretendants-au-poste-de-prochain-chef-de-la-protection-de-la-vie-privee-de-lue_a56867.html
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: N'importe quoi
Posté par Misc (site web personnel) . Évalué à 6 (+3/-0). Dernière modification le 19 janvier 2025 à 11:15.
Alors primo, observatoire de l'europe, je renvoie à ce fil sur Wikipedia:
https://fr.wikipedia.org/wiki/Discussion_Wikip%C3%A9dia:Observatoire_des_sources#observatoiredeleurope.com
TLDR, c'est un site qui vole les articles d'autres (en général Euronews, mais j'ai pas eu accès à l’enquête mentionné dans le fil), anciennement (et sans doute toujours) tenu par un sympatisant/pote à de Villiers. Au mieux, c'est une arnaque, au pire, c'est de la préparation pour des manipulations ou des fakenews une fois que le trafic est assez haut.
Par acquis de conscience, j'ai quand même cherché l'original et il est la: https://www.euronews.com/next/2025/01/15/who-are-the-four-contenders-to-be-the-next-eu-privacy-chief et il n'a pas l'air d'avoir été trafiqué.
Ensuite, et au risque de me répéter, l'EDPS n'a pas une marge de manœuvre énorme, et reste soumis aux lois, comme tout le reste de l'administration.
Si il y a un probléme manifeste, il doit agir (dans la mesure des moyens, car il y a aussi des questions de priorités et de journée de seulement 24h). Par exemple, l'EDPS a déjà pointé que le contrat entre la commission et Microsoft doit avoir des clauses en plus depuis l’arrêt Shrems II:
https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf
Mais les correctifs (que je suppose personne n'a lu ici à part moi, comme souvent avec le RGPD, on va pas laisser des faits venir troubler les idées) sont principalement de l'ordre de l'audit, comme on peut le voir sur le point 1.2 de la page 3, principalement parce que c'est ce qui est dans le RGPD.
Comme la dérive de continuer à utiliser Microsoft Office ?
[^] # Re: N'importe quoi
Posté par devnewton 🍺 (site web personnel) . Évalué à 3 (+1/-1).
Arg et bien sûr ça remonte dans les bonnes places des moteurs de recherche…
Je me demande comment on peut contacter les auteurs de Google et Bing, ils doivent vraiment manquer de moyen pour ne pas maintenir leurs produits comme ça !
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# L'analogie foireuse du titre
Posté par Jean-Baptiste Faure . Évalué à 7 (+6/-1).
Ne pas oublier que le berger est bien pire que le loup pour les brebis. Pas une n'en réchappera.
# Conflit d'intérêts: écrire la loi, puis devoir l'interpréter
Posté par Benjamin Henrion (site web personnel) . Évalué à -1 (+1/-3).
Mr Gencarelli est l'architecte du Privacy Shield s la Commission européenne, et en devenant Président de l'EDPS, il devra probablement interpréter le texte qu'il a lui même écrit.
La séparation des pouvoirs existe-t-elle encore, ou Montesquieu se retourne dans sa tombe?
[^] # Re: Conflit d'intérêts: écrire la loi, puis devoir l'interpréter
Posté par Jean-Baptiste Faure . Évalué à 3 (+1/-0).
Quel rapport avec la séparation des pouvoir ?
Si on te suit un parlementaire ne devrait jamais pouvoir devenir ministre et un juge ne devrait pas pouvoir devenir parlementaire ni ministre.
[^] # Re: Conflit d'intérêts: écrire la loi, puis devoir l'interpréter
Posté par Misc (site web personnel) . Évalué à 4 (+1/-0).
Surtout qu'un parlementaire n'a pas de pouvoir tout seul (faut voter, faire une comission, un rapport), un ministre ne peut pas faire de loi tout seul (c'est le parlement qui a ce pouvoir), et un juge ne peux pas s'auto-saisir, donc il faut que quelqu'un d'autre démarre la procédure.
On est pas sur un forum ou un salon irc où les modos/sysadmins te virent parce que ta tronche leur revient pas et que tu as mis un smiley qui les regardent de travers.
[^] # Re: Conflit d'intérêts: écrire la loi, puis devoir l'interpréter
Posté par Misc (site web personnel) . Évalué à 5 (+2/-0).
Encore une fois, y a rien qui va.
Pour commencer par le plus simple, le Privacy Shield n'est plus valide (cf Schrems II) depuis 2020, et a été remplacé par une autre mesure d'adéquation en 2022, l'EU–US Data Privacy Framework (DPF).
Ensuite, l'EDPS n'est pas la pour interpréter la mesure d'adéquation, c'est pas son rôle.
L'EDPS, comme toutes les autres DPAs, va vérifier qu'en cas de transfert, il y a une mesure d'adéquation (article 45 du RGPD), et se rabattre sur les autres articles pour savoir si c'est autorisé ou pas (clauses contractuelles, article 46 ou binding corporate rules, article 47). Elle n'a pas le pouvoir de dire "non, ça me plait pas". Elle a tout au plus le pouvoir de demander aux autres comment ça a été décidé par le passé ( chapitre 7 du RGPD sur la coopération), mais ça exclue clairement l'article 45. J'imagine que l'EDPS peut demander à la CJUE de regarder la mesure, mais ç'est la même chose pour les autres DPAs, et c'est pas limité aux DPAs (cf Schrems I et II).
Les mesures d'adéquation ne sont pas prise par une personne, ni prise de façon unilatérale, mais par la Commission Européenne qui doit demander à un comité (article 45), comité dont la teneur est expliqué à l'article 93. Le dit comité doit suivre des règles, et est composé de représentants pour chacun des 27 pays membres (article 3.2 de la régulation 182/2011), qui vote à la majorité (article 5 de la même régulation). Et ça, c'est juste du coté européen, car il y a aussi des discussions avec l'autre coté de la mesure.
La commission va également demander son avis à l'EDPS, mais comme la mesure d'adéquation est pour le moment valable, il n'y a aucun avis sur le sujet qui va être demandé à Mr Gencarelli (ou ses équipes).
On est largement loin d'avoir une personne qui fait tout, et qui décide tout.
Si un nouveau procès de NOYB fait sauter le DPF, alors il faudra refaire la négo, et donc un nouveau texte. Hors, à ce moment, Mr Gencarelli ne sera pas en charge de la négociation et d'écrire le texte vu qu'il sera occupé ailleurs, gérer l'EDPS.
Et au passage, à tout moment, le Parlement ou le Conseil des ministres peuvent intervenir pour faire sauter la mesure.
Les seules qui vont décider d'examiner la mesure, c'est les juges de la Cour de Justice de l'UE, à Luxembourg. Et la CJUE est indépendante de la Commission, du Parlement, etc. Pour Schrems II, ça a été jugé devant la grande chambre, donc 13 juges.
Et il y a également un examen périodique de l'état de la mesure (tout les 4 ans, article 45.3 du RGPD). Si demain, un autocrate arrive au pouvoir d'un pays et que le système démocratique devient une autocratie légaliste comme la Russie, il y a des chances que la mesure d'adéquation saute quand ça va partir en vrille. Et dans tout les cas, c'est pas l'EDPS qui va s'occuper de ça non plus.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.