re,
Le Friday 03 April 2020 17:16:34 Maxime DERCHE a écrit :
Le ven. 3 avr. 2020 à 14:54, Vincent Tondellier a écrit : Le Friday 03 April 2020 13:46:00 Wallace a écrit : > C'est comme le RGPD qui a été renforcé dans certains états EU, les > danois ont ainsi l'obligation d'utiliser TLS 1.2 minimum, dans les > premiers mois du RGPD
Moui, il a bon dos le RGPD ... Impressionnant la quantité de choses décidées unilatéralement sans aucune obligation légale que certains essayent de faire passer au nom du RGPD ...
Je clarifie mes propos, j'ai l'impression que ça a été surinterprété :
Je suis entièrement pour le RGPD lui même et la protection des données personnelles (je n'ai pas de facebook, par exemple, et j'utilise le plus souvent un pseudo).
MAIS : dans mon travail, je suis en contact avec des professionnels et des données de santé. Donc en plein dans les données les plus personnelles. On voit de tout, de l'informatique gérée par le cybercafé du coin avec un dlink et qui proposent un teamviewer (ou pire) en version gratuite, a ceux qui refusent toute connexion a internet et tout moyen d'intervention et dépannage a distance, quelque soient les protections et garanties en place. Et dans ce dernier cas c'est souvent justifié par un "le RGPD l'interdit". Et bien non, justement. C'est encadré, limité par le rgpd. Pas interdit. Ou alors le document de type contrat ou questionnaire de 150 pages a signer en plus du contrat qui nous lie déjà. Au nom du rgpd, même si ce n'est que des politiques locales ou des questions de sécurité informatique. Ou encore "depuis le rgpd, les comptes vpn doivent être nominatifs". Bah non, nous sommes une entreprise, c'est pas la responsabilité personnelle qui entre en jeu, le nom de l'entreprise suffit. Le rgpd ne demande pas ca (voir même le contraire, limiter la collecte de données personnelles).
Bref, chacun interprète cette loi a sa façon, et surtout essaie d'imposer ses propres politiques en invoquant "le rgpd". Comme personne ne sait vraiment ce qu'il y a dedans ...
Et dans un tout autre registre, on a aussi les "confirmez votre adresse email, c'est le rgpd qui le veut" de source inconnue. Mais bien sur, ce n'est pas du tout pour se créer une liste d'emails valides pour spammer derrière, non non non, pas du tout ...
Et aussi ces immondes panneaux cookies "RGPD" avec 850 cases a décocher sur chaque site qu'on visite. Comme si les "inscrivez vous a la newsletter" n'étaient pas déjà assez pénibles. Mon navigateur indique déjà "do not track". Respectez ca, et arrêtez de me casser les pieds, vos cookies passés a travers les anti trackers seront détruits a la fermeture de toute façon.
Donc pour en revenir au sujet initial, imposer des protocoles informatiques dans le cadre du RGPD, ça me semble un autre détournement du but initial de cette loi qui est la protection des données personnelles, ce qui est déjà assez complexe, pas la protection des systèmes informatiques et des communications, qui l'est tout autant ou plus encore. Ne mélangeons pas tout, ce n'est déjà pas assez clair.
Ce point est intéressant, car la RGPD est une reglementation Européenne qui s'applique sur un espace sans limites de "frontières". Avec un peu de recul cela semble abérrant. Je comprends le besoin législatif à outrance,
On dit "diarrhée legislative"
mais cela ne sert à personnes, et semble plutôt consituer une décharge de nombreuses responsabilité vers des acteurs hégémonique...
Euh, non.
Le RGPD est un Règlement qui s'applique aux données concernant des personnes citoyennes d'un État de l'Union Européenne. C'est tout.
Pas tout a fait. Il y a eu un jugement de rendu il n'y a pas très longtemps entre google et la cnil concernant le droit a l'oubli et son périmètre d'application. C'est ce que je comprends par "sans limites de frontières" au dessus. En l'occurence, "Le "droit à l'oubli" s'arrête aux frontières de l'UE, a tranché la Cour de justice de l'UE (CJUE)". Donc c'est "Le RGPD est un Règlement qui s'applique *dans l'UE* aux données concernant des personnes citoyennes d'un État de l'Union Européenne", et ne s'applique pas en dehors des frontières de l'UE.
Moi ça me va bien de pouvoir *refuser* systématiquement tout traitement réalisé sur des données qui me concernent. Et j'aime l'idée que le rôle de Responsable du Traitement soit un rôle contraignant, endossant la responsabilité d'une fuite ou d'une corruption de ces données.
En théorie, oui, c'est bien. Reste a voir si ça sera vraiment appliqué (et surtout respecté) un jour.
Et toute initiative consistant à durcir, dans le respect des normes publiquement établies par des organismes à gouvernance ouverte, les conditions techniques de sécurité des données, est une initiative qu'il faut saluer et soutenir. En l'occurrence, TLS 1.2 a été publié en 2008, soit dix ans avant l'entrée en application du RGPD. Et encore, il y a eu une période de deux ans entre le vote et l'entrée en vigueur. Et même là, TLS 1.2 n'est pas parfait...
Je ne suis pas d'accord pour tout mettre dans la même loi fourre tout. Surtout quand il s'agit de choses évoluant rapidement, un décret est plus adapté. Et je préfère avoir des lois simples et lisibles plutôt qu'un pavé indigeste. C'est raté, je sais.
Prétendre que le RGPD ne sert à personne, c'est légitimer l'abus. Prétendre que cela ne profite qu'aux gros c'est légitimer l'immobilisme.
Je n'ai ni lu ni écrit ça ici ... Bien sur que ca sert d'encadrer la gestion des données personnelles. Mon opinion serait plus du coté "n'est interprété et mis en application correctement par personne".
Vincent.