Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes
    Des sites web préfèrent fermer au lieu de se mettre en conformité avec le RGPD,
    par crainte des sanctions européennes

    Le 25 mai 2018, la loi européenne relative à la protection des données la plus importante de ces 20 dernières années entrera en vigueur. Le Règlement Général sur la Protection des Données (RGPD) va alors remplacer la Directive sur la protection des données personnelles actuellement en vigueur et adoptée en 1995. Le RGPD renforce les droits des individus concernant leurs données personnelles. Il vise à uniformiser les lois sur la protection des données au sein de l'Union européenne, quel que soit le pays où les données sont traitées.

    Mettre en application une loi aussi stricte semble ne pas être une tâche aisée, c’est ce que suggère l’attitude de plusieurs sites qui, voyant l’échéance arriver, ont préféré fermer.

    C’est ce qu’explique par exemple Streetlend.com, un site Web servant de plateforme à des voisins désireux de se prêter des objets les uns aux autres : « Avec tristesse, StreetLend a été fermé en avril 2018, après cinq ans d'activité.

    « Malheureusement, le nouveau règlement général sur la protection des données (RGPD) de l'Union européenne, introduit le 25 mai 2018, crée une incertitude et un risque que je ne peux pas justifier.

    « Le RGPD menace les propriétaires de sites Web d’amendes de 4% du chiffre d'affaires ou de 20 millions d'euros (selon l’amende la plus élevée) s'ils franchissent un certain nombre de limites ambiguës. La loi, combinée avec les cabinets juridiques parasites, met les propriétaires de sites Web à risque. Les jeunes sites Web et les organismes sans but lucratif ne peuvent pas se permettre d'avoir des équipes juridiques. Par conséquent, le risque posé par le RGPD est inacceptablement élevé.

    « Paradoxalement, cette nouvelle loi européenne blesse les start-up mais renforce la domination de Facebook, Google et Twitter, qui sont capables de se préparer et de se défendre en utilisant des équipes juridiques établies et des réserves de liquidités. La loi sur les cookies de l'UE, la réglementation de la TVA de l'UE et maintenant le RGPD de l'UE sont autant d'exemples de lois mal appliquées qui ajoutent de la complexité et des effets secondaires inattendus pour les entreprises au sein de l'UE ».


    Capture d'écran streetlender

    Le site est loin d’être le seul à avoir pris cette décision. Super Monday Night Combat, une arène multijoueur lancée en 2012 par Uber Entertainment, a également annoncé qu’il fermait son site ce lundi, expliquant que les coûts qu’il fallait engager pour respecter le RGPD sont trop élevés pour continuer l’aventure.

    Même son de cloche pour Ragnarok Online, un jeu de rôle en ligne massivement multijoueurs édité et développé par Gravity Cor. Le studio Gravity a annoncé que l'accès au serveur international (iRO) sera bloqué aux joueurs européens à partir du 25 mai prochain. Les joueurs européens concernés par le blocage du serveur international et qui auraient procédé à des dépenses dans la boutique du jeu entre le 1er février et le 30 avril prochain, seront remboursés de leurs achats.

    Deux ans seulement après son entrée en Europe, Verve a décidé de mettre un terme à ses activités européennes plutôt que de s'emmêler avec le RGPD.

    La société, qui gère une plateforme de marketing mobile alimentée par des données de localisation, a confirmé qu'elle allait fermer ses bureaux de Londres et de Munich et licencier une quinzaine d'employés le 11 mai 2018.

    Bien qu'une « variété de facteurs ait joué dans notre décision », Julie Bernard Bernard, directrice marketing chez Verve, a assuré que le RGPD y était pour beaucoup.

    « Nous avons décidé que l'environnement réglementaire n'est pas favorable à notre modèle économique particulier », a-t-elle assuré. « Nous concentrons nos efforts sur la force de nos activités aux États-Unis cette fois-ci ».


    Le défi pour les entreprises de données de localisation est que, dans le cadre du RGPD, tout ce qui peut être utilisé pour identifier une personne est considéré comme des données personnelles, y compris les données de localisation et les identifiants d'appareils mobiles.

    Verve tire la plupart de ses données de localisation d’un SDK intégré par ses partenaires éditeurs. Toutes les données collectées sont associées à un identifiant d'appareil. Le SDK permet aux éditeurs de monétiser leurs applications via le réseau d'annonceurs de Verve.

    La société prétend avoir des autorisations robustes en raison de sa connexion directe aux éditeurs. « Notre modèle d'affaires a toujours privilégié la qualité ainsi que les données sécurisées avec le consentement du consommateur », a déclaré Bernard.

    Et bien même, une question qui reste importante lors de l’application du RGPD pour les sociétés de données de localisation est de savoir si les consommateurs réalisent ce qu'ils choisissent lorsqu’ils tapent sur « autoriser » ou « OK » après avoir téléchargé une application ou sont conscients que des tiers recueillent leurs informations.

    Verve ne veut clairement pas prendre ce risque en Europe.

    Sources : StreetLend, Ragnarök Online, Verve, Super Monday Night Combat

    Et vous ?

    Que pensez-vous de leur décision ?
    Avez-vous parcouru le RGPD ? Au niveau des contraintes (techniques ou administratives), comment le trouvez-vous ?
    Vos sites et applications sont-ils déjà en conformité avec le RGPD ?

    Voir aussi :

    L'ICANN ne va pas bénéficier d'un délai supplémentaire pour une mise en conformité au RGPD des données issues du service Whois
    Plus de la moitié des applications sur Play Store ne seraient pas conformes au RGPD, le règlement sur la protection des données
    RGPD : Un guide pratique pour les développeurs, un article de Bozhidar Bozhanov
    L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD, après un échec de la commission mixte paritaire la semaine passée
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Et la casse n'est pas fini, je bosse sur une application pour un client sauf que je ne vois pas comment elle pourra fonctionner si application RGPD ^^

  3. #3
    Membre extrêmement actif
    Des sites décident de fermer à cause du RGPD?

    Mais est-ce vraiment un problème? Ces dernières années une quantité astronomique d'intervenants ont basé leur "business model" sur l'espionnage systématique de leur utilisateurs récupérant des données personnelles (style géolocalisation, accès aux contacts, etc.) qui ne sont nullement nécessaires au fonctionnement du produit.

    Que ces vampire du numérique doivent fermer parce qu'ils ne génèrent aucun chiffre d'affaire autre que la commercialisation de la vie privé de leur clients ne me pose aucun problème.

    Concernant les entreprises respectant leur clients qui fournissent un vrai service, un vrai produit de qualité, ils n'ont pas à avoir peur du RGPD:

    1. Ils collectent uniquement les données nécessaires à l'usage du produit ou du service; Ces données sont donc très limitées en quantité et donc faciles à protéger

    2. Il est faux de faire peur aux gens avec la célèbre "amendes de 4% du chiffre d'affaires ou de 20 millions d'euros" pour la bonne est simple raison que cette amende ne tombe pas du ciel:

    • Il faut qu'il y ait enquête pour confirmer que la société est fautive

    • Il est demandé à la société de modifier ses pratiques et/ou de mettre en place une sécurisation plus poussée des données


    Ce n'est que si la société n'a pas réagi aux différentes injonctions et délais qu'il peut y avoir éventuellement amende et encore, les recours sont possibles!

  4. #4
    Inactif  
    Il est vrai que se mettre en conformité du RGPD n'est pas facile, surtout en l'absence de jurisprudence.

    Pour certains points de détails/nuances, il est difficile de savoir à l'avance si la Justice ira dans une direction ou une autre, lors de l'application du RGPD. Donc pour le moment la stratégie est surtout de se blinder à outrance au niveau juridique pour éviter les mauvaises surprises... cependant cela est très contraignant.

    On peut alors comprendre que des petites structures, n'aient pas les moyens de prendre le risque.

  5. #5
    Membre extrêmement actif
    Citation Envoyé par Neckara Voir le message
    Il est vrai que se mettre en conformité du RGPD n'est pas facile, surtout en l'absence de jurisprudence.

    Pour certains points de détails/nuances, il est difficile de savoir à l'avance si la Justice ira dans une direction ou une autre, lors de l'application du RGPD. Donc pour le moment la stratégie est surtout de se blinder à outrance au niveau juridique pour éviter les mauvaises surprises... cependant cela est très contraignant.

    On peut alors comprendre que des petites structures, n'aient pas les moyens de prendre le risque.
    Quel risque? Selon vous une petite structure doit se saborder et cesser ses activités pour ne pas risquer de devoir un jour, peut-être, éventuellement, payer 4% de son chiffre d'affaire en amende?

    Si un jour l'amende tombe et que la petite structure n'a pas les moyens de payer son amende de 4% au max, elle arrêtera à ce moment là ses activités en se mettant en faillite et... au final personne ne paiera l'amende. Point barre!

    En réalité, le RGPD est plus un effet d'annonce qu'autre chose (une usine à gaz de plus dont l'UE a le secret):

    1. Les autorités ne feront pas la chasse aux petites structures parce qu'elles n'en ont tout simplement pas les moyens (qui va engager des milliers d'inspecteurs pour traquer des mecs incapables de payer leur amende?)

    2. Les gros poissons (style GAFA) rigolent du RGPD parce qu'une amende max de 4% de leur chiffre d'affaire ne représentent à leur yeux rien du tout!

    3. Au final, cela va juste "emm..." les PME genre 20-30 employés qui eux vont commencer par prendre peur, puis enrichir leur avocat pour au final se rendre compte qu'il s'agissait d'un pétard mouillé.

    Il va de l'entreprise comme du citoyen, c'est toujours la classe moyenne qui passe à la caisse...

  6. #6
    Inactif  
    Citation Envoyé par Anselme45 Voir le message
    Selon vous une petite structure doit se saborder et cesser ses activités pour ne pas risquer de devoir un jour, peut-être, éventuellement, payer 4% de son chiffre d'affaire en amende?
    Je n'ai pas dit qu'elles devaient, juste qu'une telle décision peut se comprendre.

    4% du CA, ce n'est pas rien, et encore plus si l'entreprise est déjà "limite" au niveau de ses comptes. Sachant que tant que nous n'avons pas de jurisprudence, c'est l'incertitude, cela a aussi un coût pour une entreprise. Que ce soit pour emprunter à une banque qui peut se dire que l'avenir de l'entreprise est trop incertaine, que ce soit sur les budgets où une partie sera mise de côté "au cas où".

    Sachant, que la mise en conformité, n'est pas nécessairement simple selon le modèle économique de l'entreprise. On peut aussi craindre que des concurrents provoquent des actions en justice contre l'entreprise, pour lui nuire.

    Citation Envoyé par Anselme45 Voir le message
    Si un jour l'amende tombe et que la petite structure n'a pas les moyens de payer son amende de 4% au max, elle arrêtera à ce moment là ses activités en se mettant en faillite et... au final personne ne paiera l'amende. Point barre!
    Non, cela dépend du statut juridique de l'entreprise. Même en cas de responsabilité limité, la direction peut avoir sa responsabilité mise en cause par les actionnaires pour leur mauvaise gestion.

    Sachant aussi que la responsabilité individuelle du responsable du traitement, ainsi que du responsable de la mise en œuvre du traitement peut aussi être mise en cause.


    Citation Envoyé par Anselme45 Voir le message
    En réalité, le RGPD est plus un effet d'annonce qu'autre chose (une usine à gaz de plus dont l'UE a le secret)
    Un cadre légal uniforme au sein de l'UE n'est en rien un effet d'annonce.

    Citation Envoyé par Anselme45 Voir le message
    1. Les autorités ne feront pas la chasse aux petites structures parce qu'elles n'en ont tout simplement pas les moyens (qui va engager des milliers d'inspecteurs pour traquer des mecs incapables de payer leur amende?)
    Les utilisateurs peuvent aussi déposer un recours auprès des autorités compétentes, et ce dans tout l'UE. Pas besoin de faire "une chasse".

    Citation Envoyé par Anselme45 Voir le message
    2. Les gros poissons (style GAFA) rigolent du RGPD parce qu'une amende max de 4% de leur chiffre d'affaire ne représentent à leur yeux rien du tout!
    4% du CA mondial, ce n'est rien ?

    Heu… tu plaisantes ?

  7. #7
    Membre extrêmement actif
    Après l'utilisation des méthodes AGILE, SCRUM, KANBAN ...etc de gestion de projet, il va falloir une méthode RGPD Proof.
    Mais ayant survolé le document (RGPD) quelque chose me dit que la durée des projets & leurs qualités va décroitre dans toutes l'UE.

    PS : Pour l'amende on parle de 4% du chiffre d'affaires OU de 20 millions d'euros (selon l’amende la PLUS ÉLEVÉE)

  8. #8
    Membre émérite
    À lire cette actu on dirait que la loi est une menace qui plane au dessus de toute activité sur le web et capable de foudroyer la moindre entreprise pour des raisons vagues.
    Qu'en est-il réellement ? Quelles limites posent la loi, quels risques ?

    Si on tue uniquement le business model basé sur la pub, je trouve ça tant mieux.
    C'est pas comme si on allait perdre tous les services du web, il faudra juste les penser autrement au niveau modèle économique.

  9. #9
    Expert éminent
    les seules entreprises qui ont raison de redouter le RGPD au point de cesser leur activité sont justement celles dont le service proposé n'est qu'une façade à de la collecte massive de données injustifiée.

    A partir du moment où l'on sait dire ce que l'on collecte, pourquoi et comment on l'utilise, il n'y a rien à craindre.

  10. #10
    Inactif  
    Citation Envoyé par Saverok Voir le message
    A partir du moment où l'on sait dire ce que l'on collecte, pourquoi et comment on l'utilise, il n'y a rien à craindre.
    De mon expérience personnelle, je peux t'assurer du contraire.

    Notamment sur certains cas particuliers pour garantir le droit de retrait, de rectification, d'opposition, et respecter la minimisation des données, cela est quelque peu casse-tête en l'absence du jurisprudence. En effet, difficile de savoir jusqu'où aller. Donc pour le moment la politique est dans l'excès de zèle, justement pour se prémunir de toute surprise.

  11. #11
    Membre éprouvé
    Citation Envoyé par Neckara Voir le message
    Donc pour le moment la politique est dans l'excès de zèle, justement pour se prémunir de toute surprise.
    C'est surtout le pourcentage du chiffre d'affaire en prune qui fait ultra-peur

  12. #12
    Membre chevronné
    Citation Envoyé par Saverok Voir le message
    les seules entreprises qui ont raison de redouter le RGPD au point de cesser leur activité sont justement celles dont le service proposé n'est qu'une façade à de la collecte massive de données injustifiée.

    A partir du moment où l'on sait dire ce que l'on collecte, pourquoi et comment on l'utilise, il n'y a rien à craindre.
    Pas que!

    Il y a par exemple l'obligation de fournir à la demande l'ensemble des données personnelles dont l'entreprise dispose dans un format électronique exploitable. Entre les développements à faire pour tout transformer en fichier exploitable, les procédures pour gérer les demandes et leur légitimité, ...

  13. #13
    Expert éminent sénior
    Je rigole pour les pouces rouges qui "pleuvent" (bon, c'est pas nombreux non plus). Il faut être sur des projets GDPR pour se rendre compte que du jour au lendemain, certaines entreprises sont surprises de toute la mutation que cela impose à leur SI, et à leur système de fonctionnement. Juristes comme DSI se tirent les cheveux, sans compter les impacts que ça a directement ou indirectement aux autre équipes (commerciales, opérationnelles). Limite, elles doivent doubler leurs effectifs ou geler à la seconde près tous les projets pour se mettre en conformité.
    - So.... what exactly is preventing us from doing this?
    - Geometry.
    - Just ignore it !!
    ****
    "The longer he lived, the more he realized that nothing was simple and little was true" A clash of Kings, George R. R. Martin.
    ***
    Quand arrivera l'apocalypse, il restera deux types d'entreprise : les pompes funèbres et les cabinets d'audit. - zecreator, 21/05/2019

  14. #14
    Inactif  
    Citation Envoyé par Glutinus Voir le message
    Je rigole pour les pouces rouges qui "pleuvent" (bon, c'est pas nombreux non plus). Il faut être sur des projets GDPR pour se rendre compte que du jour au lendemain, certaines entreprises sont surprises de toute la mutation que cela impose à leur SI, et à leur système de fonctionnement. Juristes comme DSI se tirent les cheveux, sans compter les impacts que ça a directement ou indirectement aux autre équipes (commerciales, opérationnelles). Limite, elles doivent doubler leurs effectifs ou geler à la seconde près tous les projets pour se mettre en conformité.
    Je confirmes, j'avais lu le RGPD et franchement, pour ce que je faisais, cela me semblait plutôt facile... mais quand il a fallu faire l'EIVP avec le DPD, je me suis rendu compte, qu'il y avait plein de points de détails assez retords à traiter, détails auxquels je n'avais pas pensé en lisant le RGPD, et en adaptant le projet sur lequel je travaillais.

    C'est vraiment chercher la petite bête, mais en l'absence de jurisprudence, on en est bien contraint.

  15. #15
    Membre averti
    Je m'occupe de la transition dans l'entreprise où je bosse, et effectivement le vrai problème c'est "jusqu'où" aller. On a fait le choix de tout anonymiser au maximum ici, à défaut de pouvoir changer tout le process. Parce que quand ton produit est conçu comme ça c'est pas avec une mise à jour qu'on s'adapte. Je sais pas comment on va faire pour rendre des données lisible sur demande, les screenshot de BDD ça marche ?

  16. #16
    Membre extrêmement actif
    Citation Envoyé par Stéphane le calme Voir le message
    « Malheureusement, le nouveau règlement général sur la protection des données (RGPD) de l'Union européenne, introduit le 25 mai 2018, crée une incertitude et un risque que je ne peux pas justifier.
    L'UE est trop lourde et impose trop de lois.
    C'est toujours pareil
    Tout est plus compliqué et plus restreint.
    Keith Flint 1969 - 2019

  17. #17
    Membre émérite
    Citation Envoyé par Glutinus Voir le message
    Je rigole pour les pouces rouges qui "pleuvent" (bon, c'est pas nombreux non plus). Il faut être sur des projets GDPR pour se rendre compte que du jour au lendemain, certaines entreprises sont surprises de toute la mutation que cela impose à leur SI, et à leur système de fonctionnement. Juristes comme DSI se tirent les cheveux, sans compter les impacts que ça a directement ou indirectement aux autre équipes (commerciales, opérationnelles). Limite, elles doivent doubler leurs effectifs ou geler à la seconde près tous les projets pour se mettre en conformité.
    Je comprends bien que ça soit du boulot, que ça implique des changements parfois profonds dans le SI. Mais est-ce que c'est pas aussi la faute à l'attitude précédente qui était de garder les données par défaut, sans se demander si elles sont vraiment utiles ni comment les classer/anonymiser ?
    Je ne connais pas la loi en détail, mais des témoignages que j'ai eu, le problème est avant tout que chaque service a enregistré des infos personnelles dans son coin, sur un fichier texte, un excel. Il y a eu un gros manque d'information/éducation et la loi qui arrive un peu brutalement fout un grand coup de pied dans les mauvaises habitudes. Il aurait sans doute fallu faire plus progressif, mais le changement devait se faire selon moi.
    Avec une belle BDD bien pensée, faire un export devrait pas être un gros problème, supprimer des données finalement pas justifiées non plus.

    Pour avoir bossé dans le médical, qui est déjà encadré juridiquement, je peux vous dire que les pratiques sont pas les mêmes, les employés sont informés et formés, les process prennent en compte ce qu'il faut dès le début pour respecter l'anonymat. Les autres secteurs ne s'en sont pas préoccupés et la rectification du tir coûte cher maintenant, mais elle reste justifiée je trouve.

  18. #18
    Expert éminent sénior
    J'ai l'impression qu'il y a deux axes qui malheureusement ne cohabitent pas ensemble. Le tout est dû à un syndrome que j'appelle "SI génération Facebook" : TLDR des applications en usine à gaz de schiste, sans personne entre les développeurs et les utilisateurs, validées improprement, contenant un max d'information.

    Alors, je parle pas des petits jeunes de 22 ans qui arrivent sur le métier, mais une tendance globale qui peuvent être influencés d'eux, et au final leurs chefs de 50 ans se complaisent très bien dans cette idée.

    La première, c'est d'avoir tout et maintenant. Quand je dis ça, c'est qu'il y a 10 ans, il y a une industrialisation du SI. Avec des expressions de besoin, des cahiers des charges, des spécifications fonctionnelles générales, des spécifications fonctionnelles détaillées, des spécifications techniques, des cahiers de recette, des cahiers de production (le plus important selon moi). On a beau dire que c'est de la paperasse rédigée par des consultants de SSII nuls en technique à qui il a bien fallu filer un poste pour facturer, il y avait quand même de l'intéressant.

    On est venu à une génération de décideurs qui se sont rendus compte que le cycle en V c'est trop lourd, mais au lieu de le modifier vers des solutions agiles, ont préféré sucré la MOA / AMOA / Business Analysis. Je suis revenu chez des "gros" clients qui n'avaient même plus de BA, c'était utilisateur <=> développeurs, ce qui est bien en un sens, et mauvais en un autre.

    Les utilisateurs sont en mode "faites ce que vous voulez, on valide après, on n'a pas le temps de se pencher sur la solution". Par paresse, parce qu'ils ne veulent pas s'impliquer dans la compréhension d'un projet de la DSI, ou simplement parce qu'ils n'ont réllement pas le temps (leur chef de service leur a dit de passer le moins de temps dessus, y a des fiches papier à remplir, hein). T'as beau leur expliquer qu'il faut travailler par itération "On n'a pas le temps pour les réunions". Comme ils sont jamais contents du produit fini qu'ils ont pas cadré, tu finis par arrêter le "filtre horizontal", c'est-à-dire que tu ne masques plus les colonnes dont ils n'ont pas besoin. Simplement parce que quand tu demandes "de quoi avez-vous besoin ?" réponse : "tout". "Avez-vous réellement besoin du numéro de sécurité sociale, de l'adresse des parents et même de la clé technique du datawarehouse ?" réponse "oui tout, on verra après". Et pour que les utilisateurs valident, tu laisses faire.

    Et le second, on le connaît tous, c'est que la fin de l'industrialisation et d'une analyse poussée font des produits à l'arrache. On n'a plus de base de recette remplie par des MOA via l'application en recette, pas même des bases de recette issue de la prod avec des données anonymisée ; chez mon client précédent, je devais parfois faire des jointures avec des identifiants clients, pas vraiment le choix (vu qu'en plus c'est moi qui faisait le BA...). Une banque partenaire nous envoie un fichier tous les mois, j'ai fait l'analyse et la seule clé de jointure est l'IBAN. En recette, c'est anonymisée par un truc à la con genre FR00000000000000 pour tous les clients. Et encore, mes homologues de part la frontière avaient des NULL dans absolument tous les champs qui n'étaient pas des PK et des FK.... comment un utilisateur peut valider ? Comment un développeur peut valider ??

    Bref, c'est crade, j'ai descendu une base de prod en loucedé, c'était ça ou on rend pas un des N projets règlementaires. Et encore, l'avantage du projet règlementaire, c'est que les régulateurs fournissent des templates ou des XSD, au moins c'est carré sur le format cible... J'ai bien sûr vidé mes tables mais doivent trainer des pseudo backups, et ma mission s'est terminée à l'arrache donc évidemment pas le temps de repasser sur mes répertoires le dernier soir pour faire le tri.

    Tu le dis parfaitement : c'est de leur faute. Maintenant, je comprends parfaitement le choix d'une société de préférer fermer les portes plutôt que de recruter deux fois plus d'internes ou prendre deux fois plus de consultants, ce qui vont carrément les plomber.

    PS : l'avantage, c'est que le GDPR est un joker que je ressors régulièrement pour ne pas dire quotidiennement sur le projet aujourd'hui pour pouvoir faire passer des méthodes saines, à savoir faire une robuste business analysis, le développement en découlant étant toujours plus simple, étrangement, quand les specs sont figées...
    - So.... what exactly is preventing us from doing this?
    - Geometry.
    - Just ignore it !!
    ****
    "The longer he lived, the more he realized that nothing was simple and little was true" A clash of Kings, George R. R. Martin.
    ***
    Quand arrivera l'apocalypse, il restera deux types d'entreprise : les pompes funèbres et les cabinets d'audit. - zecreator, 21/05/2019

  19. #19
    Expert éminent
    Citation Envoyé par Glutinus Voir le message
    Il faut être sur des projets GDPR pour se rendre compte que du jour au lendemain, certaines entreprises sont surprises de toute la mutation que cela impose à leur SI, et à leur système de fonctionnement.
    Je travaille justement sur des projets directement impactés par la mise en place du RGPD et je ris pas mal quand je lis "du jour au lendemain"
    Ce teste a été en discussion à au parlement eurpéen pendant presque 3 ans !!
    Y a du avoir une trentaine de rapports de recommandation émis par des assos de tous les pays dont le parti pirate suédois et la quadrature du net en France.
    Même chose pour la mise en place du décret d'application en France et de l'annonce de sa mise en oeuvre 1 ans à l'avance.

    Même si les détails n'ont été connus que lors du décret français et que certains points restent vague en raison du manque de recul et de jurisprudence, on est tout sauf pris au dépourvu !!
    On connaissait les orientations générales de la lois depuis au moins 3 ans.
    Y a même pas mal de chose qui étaient parfaitement connues depuis 10 ans mais sous forme de recommandations qui maintenant deviennent des obligations mais rien ne tombent du ciel par surprises.

    Alors qu'on me dise que les entreprises et DSI n'ont pas anticipé : OK
    Mais dire que cela s'est fait du "jour au lendemain" est tout simple de la mauvaise foi pure.

    Citation Envoyé par ymoreau Voir le message
    Je comprends bien que ça soit du boulot, que ça implique des changements parfois profonds dans le SI. Mais est-ce que c'est pas aussi la faute à l'attitude précédente qui était de garder les données par défaut, sans se demander si elles sont vraiment utiles ni comment les classer/anonymiser ?
    Je ne connais pas la loi en détail, mais des témoignages que j'ai eu, le problème est avant tout que chaque service a enregistré des infos personnelles dans son coin, sur un fichier texte, un excel. Il y a eu un gros manque d'information/éducation et la loi qui arrive un peu brutalement fout un grand coup de pied dans les mauvaises habitudes. Il aurait sans doute fallu faire plus progressif, mais le changement devait se faire selon moi.
    Avec une belle BDD bien pensée, faire un export devrait pas être un gros problème, supprimer des données finalement pas justifiées non plus.
    Je suis parfaitement d'accord.
    C'est avant tout un problème de culture dans l'info depuis presque tjrs où l'on s'imagine qu'à partir du moment où une donnée entre dans nos systèmes, elle nous appartient sans que l'on se soucis de sa provenance.
    Je peux comprendre que cela ne soit pas simple à mettre en place quand cela résulte de mauvaises pratiques en place depuis l'origine du SI mais ça n'en reste pas moins salutaire.
    Dans le cas de mon entreprise, cela a été également une super occasion pour notre DSI de mettre fin à pas mal de vieilles appli qu'il voulait se débarrasser depuis longtemps et notamment à certaines pratiques de shadow IT en vogue dans certains services

  20. #20
    Membre chevronné
    Il faut aussi voir que la partie SI du RGPD est finalement marginale et que la majorité du travail à faire est au niveau métier et organisationnel.

###raw>template_hook.ano_emploi###