Discussion :

[Stéphane le calme]

Projet de loi des finances 2019 : le gouvernement accorde 15 postes supplémentaires à la CNIL,
pour mieux gérer son activité relative au RGPD

Depuis le 25 mai 2018, le RGPD est entré en vigueur sur le territoire de l’Union européenne. Il s’agit d’un ensemble de directives qui visent à accroître la protection des personnes concernées par un traitement de leurs données à caractère personnel d’une part, et la responsabilisation des acteurs de ce traitement d’autre part. Entre la date d’adoption (14 avril 2014) et celle de mise en application, les entreprises ont eu quatre ans pour s’y préparer.

Pourtant, nombreuses sont celles qui n’ont pas encore réussi à s’y conformer. Certaines ont même choisi de bloquer leurs utilisateurs européens par peur des lourdes sanctions prévues dans le RGPD.

Le RGPD s’accompagne aussi d’une augmentation de la charge de travail de la Commission nationale de l’informatique et des libertés. « On a plus de 8 000 plaintes qui sont enregistrées tous les ans. Depuis le nouveau cadre juridique, nous avons une augmentation de nos plaintes de 56 % », révélait le 19 septembre Isabelle Falque-Pierrotin, la présidente de la CNIL.

C’est la raison pour laquelle, dans le projet de loi de finances 2019, le gouvernement a annoncé qu'il autorise la CNIL à créer 15 postes en plus, notamment pour faire face au règlement général sur la protection des données (RGPD) :

« Sensible aux enjeux relatifs aux données personnelles, le Gouvernement a, depuis 2015, sanctuarisé les effectifs de la CNIL malgré les efforts de maîtrise de la masse salariale de l’État. Cet effort se poursuit en 2019, avec un projet de loi de finances accordant à la CNIL 15 emplois supplémentaires et, ainsi, les moyens d’assumer ses nouvelles missions. La CNIL connaît une augmentation constante de son activité, illustrant une réelle prise de conscience collective des risques et des droits inhérents à la place sans cesse croissante du numérique dans la société. Par ailleurs, l’application en mai 2018 du règlement général sur la protection des données (RGPD) renforce le besoin d’un accompagnement complet et adapté de la CNIL à chaque secteur d’activité ».

Néanmoins, il convient de noter que le budget de la CNIL n’a pas connu une grande évolution, malgré le fait que l’État a pris conscience du fait que les nouvelles technologies occupent une place prépondérante dans tous les pans de la société.

En effet, depuis 2011, le budget oscille entre 15 et 17 millions d’euros, avec un pic observé en 2015 et 2016, années pendant lesquelles la CNIL a bénéficié d’un budget de plus de 18 millions d’euros.

Evolution du budget de la CNIL depuis l’an 2000

Dans son rapport annuel, nous pouvons constater que les effectifs de la CNIL ont été en légère hausse. La Commission a rapporté 198 emplois en 2018, contre 192 en 2015, 195 en 2016 et 198 en 2017.

Ces recrutements viendront donc épauler une CNIL en première ligne sur les enjeux du RGPD, que ce soit pour accompagner les entreprises, par exemple en mettant à disposition des outils pour évaluer sa conformité, gérer les tentatives d’escroquerie et réceptionner les nombreuses plaintes.

Source : projet de loi des finances 2019, CNIL (rapports annuels), budget de la CNIL

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Biométrie sur le lieu de travail : la CNIL lance une consultation publique sur le futur règlement type, dans l'environnement professionnel
La CNIL met en demeure les entreprises Teemo et Fidzup, car leurs applis de tracking publicitaire pistent illégalement les utilisateurs
RGPD : la Quadrature du Net et 12 000 internautes déposent des plaintes à la CNIL, pour attaquer les GAFAM en recours collectif
La CNIL a présenté son rapport d'activité sur l'année 2017, la Commission note une augmentation de 59 % de son audience
Compteur Linky : La CNIL juge que le consentement des clients n'est pas recueilli dans des conditions conformes

[Stan Adkens]

La France enregistre une hausse de 64 % des plaintes relatives à la vie privée depuis le RGPD
Témoignant que les citoyens se sont appropriés le RGPD

Le CNIL, (Commission Nationale de l’Informatique et des Libertés) constate une forte augmentation du nombre de plaintes des particuliers depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), faisant de 2018 une année record des plaintes. Ceci montre que le gouvernement français n’a pas eu tord en accordant 15 postes supplémentaires à l’institution engagée dans la protection des données personnelles et dans la préservation des libertés individuelles dans le monde numérique. Le RGPD s’accompagnant d’une augmentation de la charge de travail de la CNIL, Falque-Pierrotin, la présidente de l’institution évoquait déjà, le 19 septembre, « nous avons une augmentation de nos plaintes de 56 % ».

La CNIL, organisme indépendant français chargé de veiller à ce que la loi sur la confidentialité des données soit appliquée à la collecte, au stockage et à l'utilisation des données personnelles, a publié, le mardi dernier, son premier bilan quantitatif 4 mois après l’entrée en vigueur du RGPD qui a mis à jour les règles de protection des données régionales et introduit des sanctions beaucoup plus élevées en cas de violation de la vie privée.

Le bilan fait état d’un bond significatif du nombre des plaintes des particuliers. Selon la CNIL, « depuis le 25 mai dernier, la CNIL a reçu 3 767 plaintes contre 2 294 plaintes sur la même période en 2017, qui constituait déjà une année record. Cela représente une augmentation de 64 % ». Cette hausse, selon la CNIL, est le signe que les citoyens se sont fortement appropriés du RGDP. La CNIL met cet intérêt des citoyens pour le nouveau règlement à l’actif du coup de projecteur médiatique important récemment sur la protection des données : RGPD, Cambridge Analytica, etc.

La Quadrature du Net et l’association Noyb sont les deux organisations qui ont adressé des plaintes collectives à l’organisme. Les plaintes de la Quadrature du Net concernaient Google, Amazon, Facebook, LinkedIn et Apple tandis que celles de Noyb concernait Google. Par ailleurs, 200 plaintes transfrontalières soulevant des questions sur le consentement en général sont en traitement actuellement en coopération par les autorités de protection européennes, la France étant autorité concernée pour une majorité de ces plaintes.

Au niveau de l’Union, la coopération entre autorités de protection de données est bien engagée, rapporte le bilan factuel de la CNIL. Par exemple, « la plateforme informatique de coopération entre autorités de protection « IMI » est effective depuis le 25 mai ; », selon la CNIL. L’organisme soutient également qu’au-delà du cadre des instruments institutionnels mis en place, les autorités de protection européennes entretiennent de très nombreux échanges informels notamment entre les services des différents organismes qui leur permettent des gains de temps dans l’instruction des dossiers.

Il y a également une prise de conscience du côté des professionnels qui s’approprient progressivement la règlementation régionale. Ceci se traduit par la désignation d’un délégué de protection de données par 24 5 00 organismes, soit 13 000 délégués contre 5000 correspondants informatiques et libertés avant le RGPD. Egalement, plus de 600 notifications de violations de données ont été reçues, concernant environ 15 millions de personnes depuis l’entrée en vigueur du règlement. Les professionnels ont, également, effectué 3 millions de visites sur le site de la CNIL et téléchargé 150 000 fois le modèle de registre simplifié proposé par la CNIL depuis le 25 mai dernier.

Le cadre de travail des autorités européennes de protections de données continue de s’améliorer. La CNIL prépare, depuis septembre, une proposition qui permettra d’établir un cadre exigeant et protecteur concernant dans le cadre de la biométrie. 3 « référentiels » relatives à la gestion clients et prospects, les ressources humaines et les vigilances sanitaires seront proposés, également, par la CNIL.

Aussi, pour familiariser les populations et les collectivités locales avec les principes fondamentaux du RGPD, l’autorité française compte proposer un MOOC ainsi que des fiches pratiques.

La France n’est pas le seul pays de l’Union où le nombre de plaintes a augmenté depuis le 25 mai dernier. Le Royaume-Uni et l’Irlande ont déjà enregistré des hausses de plaintes dans le cadre de la protection de la vie privée.

Source : Premier Bilan de la CNIL

Et vous ?

Que pensez-vous de ce bilan de la CNIL ?
Pensez-vous que le RGDP est définitivement l’instrument qui va rendre la vie privée meilleure en Europe ?

Voir aussi

Facebook dévoile ses plans pour lutter contre les fausses actualités, l'entreprise assure de prendre le problème au sérieux
Ingérence électorale : Facebook et Twitter ont comparu devant le Congrès US, pour défendre les améliorations sécuritaires apportées à leurs services
La loi visant à lutter contre les fake news s'intéresse désormais à la manipulation des infos, la proposition a été rebaptisée et réécrite en partie
Internet des Objets et respect de la vie privée peuvent-ils aller de pair ? Eve Maler livre son analyse de la question
Droit à l'oubli : droit à la vie privée ou censure de la liberté d'expression, qu'en pensez-vous ?

[Coriolan]

RGPD : la CNIL a enregistré une augmentation de 34 % des plaintes en 2018
Les Français sont-ils devenus plus sensibles à la protection des données ?

Depuis le 25 mai, le RGPD est entré en vigueur sur le territoire de l’Union européenne. Il s’agit d’un ensemble de directives qui visent à accroître la protection des personnes concernées par un traitement de leurs données à caractère personnel d’une part, et la responsabilisation des acteurs de ce traitement d’autre part. Entre la date d’adoption (14 avril 2014) et celle de mise en application (cette année), les entreprises ont eu quatre ans pour s’y préparer.

La CNIL (Commission Nationale de l’Informatique et des Libertés) a publié en septembre un premier bilan faisant état des lieux. L’organisme indépendant public a déjà constaté une hausse significative des plaintes relatives à la vie privée. Cette hausse, selon la CNIL, est le signe que les citoyens se sont fortement appropriés du RGPD. La CNIL a mis cet intérêt des citoyens pour le nouveau règlement à l’actif du coup de projecteur médiatique important récemment sur la protection des données : RGPD, Cambridge Analytica, etc.

Six mois après l’entrée en vigueur du RGPD, la CNIL a publié à nouveau un rapport. On y apprend que l’organisme a reçu cette année 9700 plaintes, soit une hausse de 34 % de plus qu’en 2017 sur la même période. Sur ces plaintes, 6000 ont été reçues après le 25 mai. Cette hausse peut être expliquée par la sensibilité de plus en plus accrue des Français à la protection des données notamment après l’entrée en application du RGPD.

« On constate, dans le cadre de l’instruction de ces plaintes, qu’elles sont l’occasion, pour les organismes mis en cause, de repenser leur organisation notamment au regard de l’information des personnes et des modalités d’exercice des droits, comme le droit d’accès. En effet, les organismes reçoivent énormément de demandes de droit d’accès notamment, ce à quoi ils n’étaient manifestement pas assez préparés, » a écrit la CNIL dans un communiqué.

Du côté des professionnels, la CNIL a reçu 1000 notifications de violation de données, soit environ 7 par jour depuis le 25 mai. Un autre chiffre important, 32 000 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales) ; ce qui représente 15 000 DPO contre 5 000 CIL (correspondants informatique et libertés) avant le RGPD. Le site de la CNIL a connu aussi une hausse importante de son trafic (7 millions de visites contre 4,4 millions en 2017), preuve une fois encore de l’intérêt porté à la nouvelle réglementation.

Afin d’accompagner les professionnels, la CNIL a informé avoir élaboré de nouveaux outils de régulation permis par le RGPD ou la loi modifiée. L’organisme prévoit aussi de lancer un MOOC et un plan d’accompagnement des collectivités locales en 2019, cette stratégie vise à assurer une diffusion plus large des principes RGPD.

Autres faits notables, la Quadrature du Net et l’association Noyb sont deux organisations qui ont adressé des plaintes collectives à la CNIL. Les plaintes de la Quadrature du Net ont concerné Google, Amazon, Facebook, LinkedIn et Apple tandis que celle de Noyb a visé Google. Privacy International, une ONG anglaise, a saisi la CNIL également concernant 7 entreprises procédant à de la collecte à grande échelle de données en ligne.

Au niveau de l’Union européenne, la CNIL a informé que les autorités de protection européennes traitent actuellement en coopération 345 plaintes transfrontalières, ce qui veut dire que la coopération entre les autorités de protection de données est bien engagée. La CNIL est concernée par 187 cas et autorité chef de file pour 15 cas. Ces plaintes soulèvent notamment des questions sur le consentement, a expliqué la CNIL.

Source : CNIL

Et vous ?

Que pensez-vous de ce bilan des six premeirs mois du RGPD ?
Pensez-vous que le RGPD est l’instrument qui va définitivement rendre la vie privée meilleure en Europe ?
Pensez-vous que les Français sont devenus plus sensibles à la protection des données ?

Voir aussi

France : dès 2019, les bureaux de tabac pourront vendre des « coupons » de bitcoin permettant de créditer des portefeuilles électroniques
Europe : Google veut jouer la carte de la transparence pour les publicités à caractère politique, pour protéger les élections de mai 2019
Facebook ne compte pas payer l'amende de 565 000 € que lui a infligé l'ICO pour le scandale Cambridge Analytica
RGPD : le réseau social allemand Knuddels.de condamné à payer une amende de 20 000 € pour avoir stocké des mots de passe en clair

[marsupial]

L'objectif n'étant pas à mon avis de verbaliser, je pense que le bilan est positif. Plus qu'une prise de conscience des utilisateurs, je pense que le RGPD offre plus de latitudes aux organisations non-gouvernementales ou gouvernementales de porter plainte devant les instances nationales et/ou européennes afin de défendre les données à caractère privé.
Il n'empêche que la menace d'amende donne une recrudescence de visites sur le site de la CNIL et la nomination de DPO.

Donc pour ma part, le bilan à tirer de cette loi au bout de 6 mois est satisfaisant même s'il reste beaucoup à faire : sans donner de coups de baton, la grande partie des entreprises s'y plie.

[Coeur De Roses]

Logique que les français soit plus sensible avec toutes les affaires de transgressions envers les données sortie en 2018, particulèrement Facebook. Nous sommes des informaticiens avertis sur developpez. Mais le grand public pas forcément commence à le devenir aussi et commence à prendre ces précautions plus qu'avant. Ils ont compris qu'une partie des entreprises possèdant leur données ne les respectait pas du tout.

[Citrax]

Belle victoire pour l'Europe et pour le monde qui sait….

Il serait bon de préciser le site où on peut déposer les dit plainte. Sinon il y a également celui-ci de la CNIL
https://www.cnil.fr/fr/

[Neckara]

Il serait bon de préciser le site où on peut déposer les dit plainte. Sinon il y a également celui-ci de la CNIL
https://www.cnil.fr/fr/

Je crois me souvenir que les plaintes doivent être déposée auprès de la "CNIL" nationale, qui se charge ensuite du reste.

[PBernard18]

Humm ! des communications où on se targue de résultats positifs sans avoir analyser le revers du décors me surprennent toujours.

95000 plaintes pour 225 enquêtes en cours !!!
Peut-être pas de quoi se réjouir aussi vite...

Le RGPD sur le principe, c'est quand même et avant tout pas vu, pas pris.

Attendons encore un petit peu avant de lancer les réjouissances.

[Stéphane le calme]

Le RGPD va bientôt souffler sur sa première bougie,
près de 145 000 plaintes et questions ont été enregistrées auprès des autorités responsables

Le règlement général sur la protection des données est un ensemble unique de règles qui traduit une approche commune au niveau de l'UE concernant la protection des données à caractère personnel et s'applique directement dans les États membres. Il renforce la confiance en permettant aux individus de reprendre le contrôle de leurs données à caractère personnel et garantit en même temps la libre circulation de ces données entre les États membres de l'UE. La protection des données à caractère personnel est un droit fondamental dans l'Union européenne.

Le RGPD est applicable depuis le 25 mai 2018. Depuis lors, presque tous les États membres ont adapté leur législation nationale pour tenir compte du RGPD. C'est aux autorités nationales chargées de la protection des données qu'il revient de faire respecter les nouvelles règles, autorités dont les actions sont à présent mieux coordonnées grâce aux nouveaux mécanismes de coopération et au comité européen de la protection des données. Elles publient des lignes directrices sur les principaux aspects du RGPD afin d'appuyer la mise en œuvre des nouvelles règles.

Plus de 140 000 plaintes et questions en un an

Les infractions peuvent être sévèrement punies, comme le montre la sanction imposée en janvier par les autorités françaises à Google.

La Commission française de l'informatique et des libertés (Cnil) a condamné le géant américain à une amende de 50 millions d'euros pour défaut d'informations des utilisateurs sur l'exploitation de leurs données, une sanction contre laquelle Google a fait immédiatement appel.

La Commission dressera le bilan de cette année d'application du RGPD lors d'une manifestation qui aura lieu le 13 juin prochain. Comme le prévoit le RGPD, la Commission présentera un rapport sur l'application des nouvelles règles en 2020. Cependant, d'après l'AFP, après un an de fonctionnement quelque 144 376 plaintes et questions ont été enregistrées auprès des autorités nationales en charge de le faire appliquer. La Commission souligne que 400 dossiers paneuropéens ont été ouverts puisque les acteurs du numérique offrent souvent les mêmes services dans plusieurs pays de l'UE.

Rappelons qu’en février, DLA Piper, un cabinet d’avocats international a présenté dans un rapport l’état de la situation sous le RGPD. Le cabinet mentionne dans son rapport qu’en seulement huit mois, il y a eu pas moins de 59 000 violations signalées dans 28 pays de l’EEE pour seulement 91 amendes infligées. À la lecture du rapport, on remarque que les plus gros chiffres de violations de données proviennent de l’Allemagne, du Royaume-Uni et des Pays-Bas. Ces derniers sont en tête avec 15 000 violations signalés, puis 12 600 pour l’Allemagne et enfin 10 600 dans le cas du Royaume-Uni. Par contre, les infractions signalées les plus faibles ont été enregistrées au Liechtenstein, en Islande et au Chypre, avec respectivement 15, 25 et 35 infractions signalées.

À l'échelle de la France, en novembre, la Commission nationale de l'informatique et des libertés (Cnil) avait annoncé une hausse de 34% des plaintes en 2018.

Un bémol pour ce premier anniversaire: trois pays de l'UE n'ont toujours pas correctement traduit le règlement dans leurs législations nationales : la Grèce, le Portugal et la Slovénie.

Comment sont gérées les plaintes relatives au RGPD ?

Lors d’une table ronde qui s’est tenue plus tôt ce mois-ci à Washington D.C. pour le Sommet Mondial sur la Protection de la Vie Privée de l'International Association of Privacy Professionals, un rassemblement annuel de 4,000 professionnels de la vie privée du monde entier, Helen Dixon, de la Commission Irlandaise de Protection des Données, en conversation avec Elizabeth Denham, de la Commission d’Information du Royaume-Uni, et Andrea Jelinek, Présidente du conseil européen de la protection des données, ont souligné que les enquêtes prennent six mois au minimum. Au cours du cycle d’une requête, les régulateurs doivent d’abord déterminer si, à première vue, une plainte déposée par un résident de l’UE est pertinente et atteint le niveau d’une violation potentielle du RGPD. Beaucoup des centaines de milliers de plaintes reçues par les autorités de protection des données au cours de l’année ont simplement été des requêtes d’exclusion des publicités, ce qui ne rentre pas dans la réglementation. Dans le cas d’une plainte valide, les régulateurs ont ensuite eu besoin de mieux s’éduquer sur la technologie en question, ce qui implique naturellement de contacter les entreprises sujettes aux plaintes pour solliciter plus d’informations.

Un va-et-vient entre les régulateurs et les entreprises sert aussi comme moyen de résoudre les plaintes, comme l'a souligné Helen Dixon, membre de la commission, qui préfère utiliser des "carottes" plutôt que des "bâtons". Cette approche fait écho aux commentaires qu’elle avait fait l’année dernière à propos du fait que les amendes ne sont pas les seuls outils que possèdent les régulateurs. La leçon immédiate pour les entreprises est que l’engagement avec les régulateurs peut entraîner de meilleurs résultats que l’évitement.

Les retombées positives du RGPD

Mis à part les enquêtes, le RGPD a aussi entraîné des bénéfices pour les consommateurs de l’UE à mesure que les entreprises ont redoublé d’efforts pour éduquer le public sur leurs pratiques en matière de données. La mise en place de mécanisme d’accès, de rectification, et de suppression de requêtes a donné a des millions de personnes un moyen facile de mieux contrôler l’utilisation de leurs données personnelles. Et les droits donnés aux consommateurs de l’UE ont des conséquences sur beaucoup de consommateurs ne faisant pas parties de l’UE qui bénéficient de pratiques améliorées à mesure que les entreprises adoptent une approche du plus grand dénominateur commun à la confidentialité des données.

En l’absence de gros titres sur des enquêtes classées qui entraînent des amendes énormes, l’une des questions sur le RGPD désormais est de savoir si les entreprises vont devenir complaisantes et vont réduire la portée de leurs programmes de protection de la vie privée. Toute rétraction est intrinsèquement risquée, puisque les évaluations périmées des facteurs relatifs à la vie privée et les inventaires obsolètes donnent lieu à des rapports incomplets sur les activités de traitement des données. Et les rapports incomplets sur les activités de traitement des données sont un signe évident pour les régulateurs que le maintien d'un programme de protection de la vie privée fait défaut et mérite probablement d’être examiné de plus près. Une autre question importante est de savoir si les allégations de conformités des entreprises seront vérifiées par des tiers ou ne seront pas contestées tant que ou à moins que les régulateurs n’aient pas réagi et ne seront pas satisfaits de ce qu'ils auront vu.

Alexa King Vice-président exécutif, avocate-conseil et secrétaire administrative FireEye et Richard Weaver Data Protection Officer FireEye, notent que le RGPD donne également l'exemple pour l'amélioration des lois sur la protection de la vie privée aux États-Unis. La loi California Consumer Privacy Act (CCPA), qui prend encore forme, contient des similarités avec le RGPD, y compris pour fournir aux californiens le droit d’accéder aux données personnelles collectées les concernant par des entreprises soumises à la loi. Cependant, ils estiment que le CCPA peut aller plus loin que le RGPD en permettant éventuellement un droit d’action privé qui pourrait donner lieu à des recours collectifs en matière de protection de la vie privée contre les entreprises qui violent la loi. La Californie n’est pas la seule dans ce cas, d’autres états transforment en lois les leçons tirées grâce au RGPD, qui pourraient se transformer en un ensemble contradictoire et pesant à suivre pour les entreprises. Une conséquence potentielle pourrait être l'adoption d'une loi fédérale sur la protection de la vie privée, qui normaliserait les exigences, mais qui a peu de chance de devenir une loi avant l'entrée en vigueur de diverses lois étatiques. En attendant, le résultat sèmera très certainement la confusion des consommateurs à propos de leurs droits, de la responsabilité des entreprises, de l’application de la loi et de l’éducation.

Les commissaires européens sont plutôt optimistes

Le 25 mai 2019, le règlement général sur la protection des données célébrera le premier anniversaire de son entrée en application. À cette occasion, Andrus Ansip, vice-président pour le marché unique numérique, et Věra Jourová, commissaire pour la justice, les consommateurs et l'égalité des genres, ont fait la déclaration suivante:

«Le 25 mai marque l'anniversaire des nouvelles règles européennes en matière de protection des données instaurées par le règlement général sur la protection des données, également connu sous le nom de RGPD. Ces règles innovantes ont non seulement permis à l'Europe de s'adapter à l'ère numérique, mais sont également devenues une référence mondiale.

Leur objectif principal était de donner aux citoyens le pouvoir d'agir et de les aider à mieux contrôler leurs données à caractère personnel. Or cet objectif est en cours de réalisation: en effet, les citoyens commencent à exercer leurs nouveaux droits et plus de deux tiers des Européens ont entendu parler du règlement.

En outre, les entreprises bénéficient d'un ensemble unique de règles applicables dans toute l'Union. Elles ont mis de l'ordre dans leur gestion des données, ce qui leur a permis d'améliorer la sécurité des données et d'instaurer une relation de confiance avec leur clientèle.

Le RGPD a doté les autorités de moyens pour lutter contre les infractions. Par exemple, en l'espace d'un an, le comité européen de la protection des données nouvellement créé a recensé plus de 400 affaires transfrontières en Europe. Cela témoigne de l'avantage supplémentaire que présente le RGPD, la protection des données ne s'arrêtant pas aux frontières nationales.

La sensibilisation des citoyens progresse, ce qui est un signe très encourageant. Selon des chiffres récents, près de six personnes sur dix savent qu'il existe, dans leur pays, une autorité chargée de la protection des données. Cela représente une augmentation significative par rapport au chiffre de quatre personnes sur dix enregistré en 2015. Les autorités chargées de la protection des données ont un rôle essentiel à jouer pour que le règlement général sur la protection des données produise des résultats sur le terrain.

La nouvelle législation est devenue le plancher réglementaire de l'Europe, qui détermine notre réponse dans bien d'autres domaines. L'intelligence artificielle, le développement des réseaux 5G et l'intégrité de nos élections sont autant de domaines où l'existence de règles strictes en matière de protection des données contribue à ce que l'élaboration de nos politiques et de nos technologies repose sur la confiance des citoyens.

Le rayonnement des principes du RGPD dépasse les frontières de l'Europe. Du Chili au Japon en passant par le Brésil, la Corée du Sud, l'Argentine et le Kenya, nous assistons à l'émergence de nouvelles législations sur la protection de la vie privée, fondées sur des garanties solides, des droits individuels opposables et des autorités de contrôle indépendantes. Cette convergence vers le haut offre de nouvelles possibilités de promouvoir les flux de données reposant sur la confiance et la sécurité.

Le RGPD a modifié le paysage en Europe et au-delà. Néanmoins, la conformité aux règles est le résultat d'un processus dynamique et ne peut se réaliser du jour au lendemain. Notre priorité principale pour les mois à venir est de parvenir à une mise en œuvre correcte et uniforme des règles dans les États membres. Nous invitons instamment les États membres à respecter la lettre et l'esprit du RGPD afin de créer un environnement prévisible et d'éviter de faire peser une charge excessive sur les parties prenantes, en particulier les PME. Nous poursuivrons également notre coopération étroite avec le comité européen de la protection des données et les autorités nationales chargées de la protection des données, ainsi qu'avec les entreprises et la société civile, afin de répondre aux questions les plus pressantes et de faciliter la mise en œuvre des nouvelles règles.»

Source : Commission européenne, AFP

Et vous ?

Après un an, en tant qu'utilisateur / client, avez-vous observé un changement majeur ?
Après un an, en tant que professionnel en entreprise / indépendant, quelles sont les dispositions que vous avez prise ?
Quelle note de difficulté (sur 10) donneriez-vous aux efforts qui ont été nécessaires à la mise en conformité dans votre entreprise ?
Que pensez-vous du RGPD en général ?
Partagez-vous la conclusion de l'étude selon laquelle Google serait le plus grand bénéficiaire du RGPD grâce à sa position dominante et à une concentration sur le marché de la publicité en ligne ?
Que pensez-vous de la position de Richard Stallman qui remet en cause l'efficacité du RGPD et propose plutôt une loi qui empêche les systèmes de collecter les données personnelles ?

Voir aussi :

RGPD : guide pratique pour les développeurs
Étude : Google est le plus grand bénéficiaire du RGPD grâce à sa position dominante et à une concentration sur le marché de la publicité en ligne
Richard Stallman remet en cause l'efficacité du RGPD, il veut plutôt une loi qui empêche les systèmes de collecter des données personnelles

[NBoulfroy]

Ce que je pense du RGPD en général ? C'est une douille pour les TPE ET PME sans compter les startup.

[Dasoft]

Il manque le titre "Les retombées négatives du RGPD"
C'est une loi qui n'est pas du tout terminée et qui a pourtant été imposée, la CNIL elle-même ne peut pas répondre à certaines questions car c'est le flou total sur certains points.
Pour les entreprises, c'est un boulot titanesque qui a été complètement sous-évalué par les instances européennes vu que tous les pôles d'une entreprise sont impactés.
Le comble dans cette loi RGPD est une qu'une demande de suppression de données impose de prouver son identité et donc de fournir une copie de sa carte d'identité qui doit être gardée pour preuve de la demande

[Christian Olivier]

Le RGPD a un impact bénéfique sur la confiance des consommateurs dans toute l’Europe
Et contribue à renforcer la sécurité des données depuis son introduction, selon une étude de Check Point

Selon les conclusions d’une nouvelle enquête diligentée par Check Point, 74 % des organisations ont estimé que le RGPD, depuis son introduction en 2018, a eu un impact bénéfique sur la confiance des consommateurs et 73 % d’entre elles affirment qu’il a renforcé la sécurité de leurs données. Dans le cadre de son étude, Check Point a interrogé 1000 CTO (directeurs de la technologie), CIO (directeurs des systèmes d’information ou DSI), responsables informatiques et de la sécurité d’organisations au Royaume-Uni, en France, en Allemagne, en Italie et en Espagne.

Cette étude montre que le RGPD a eu de manière globale un effet très positif pour les entreprises basées en Europe. Des progrès significatifs ont été réalisés dans toute l’Europe en ce qui concerne le respect des règles du GDPR. 53 % des répondants ont déclaré que leur organisation a mis sur pied un groupe de travail sur le RGPD, 45 % ont affecté un budget pour couvrir les coûts de mise en œuvre du RGPD et 41 % ont embauché des consultants en RGPD.

D'une manière générale, les mesures les plus courantes prises pour satisfaire aux exigences de sécurité imposées par le RGPD sont l’adoption de mesures de sécurité normalisées (44 %), la formation des employés dans l'optique d'améliorer leur compréhension des risques liés à la sécurité des données (41 %) et la mise en œuvre d’un système de contrôle d’accès et de chiffrement (41 %). Par ailleurs, les trois avantages à long terme les plus attendus vis-à-vis du RGPD sont les suivants :

• aider les organisations à montrer l’attention qu’elles portent aux données des clients et à accroître leur fidélité (45 %) ;
• rendre les opérations plus efficaces, en particulier en matière de cybersécurité (44 %) ;
• fournir une vision plus complète des informations traitées par la société (40 %).

Dans l’ensemble, 83 % des personnes interrogées affirment que leur organisation utilise des solutions dématérialisées de Cloud computing. Mais beaucoup restent prudents quant à la façon dont le Cloud est utilisé depuis l’introduction du GDPR. Seulement 7 % des entreprises ont reconnu avoir pris des mesures drastiques se traduisant par l’abandon pur et simple des solutions dématérialisées liées au Cloud computing après l’entrée en vigueur du RGPD.

« Ce qui ressort clairement de cette recherche, c’est que de nombreuses organisations européennes ont fait des progrès significatifs dans la mise en œuvre des mesures requises pour se conformer au RGPD », a confié à ce propos Rafi Kretchmer, responsable du marketing produit chez Check Point Software. D’après lui, « un bon nombre d’entre eux en tirent déjà de puissants avantages. Mais pour de nombreuses entreprises, il y a encore beaucoup à faire. Il est important pour les entreprises d’adopter des cadres solides pour répondre aux exigences de RGPD, plutôt que de simplement fermer l’accès aux outils et aux plateformes que les employés et les clients veulent utiliser, comme les appareils mobiles et le Cloud. Il existe des méthodes relativement faciles à intégrer pour assurer la sécurité des données, comme le chiffrement des documents et des disques durs. Ces approches peuvent assurer la protection des données sensibles de l’entreprise, en prévenant les fuites de données et l’accès non autorisé aux données ».

Signalons au passage que Check Point a mis au point une nouvelle application appelée GDPRate pour guider les entreprises à travers les composantes essentielles d’une stratégie de conformité au RGPD efficace. L’outil vérifie si l’organisation est prête à respecter les 14 normes et exigences de sécurité de RGPD et est accessible gratuitement sur le site de Check Point.

Source : Check Point 1, Check Point 2

Et vous ?

Que pensez-vous des données présentées par cette étude ?

Voir aussi

RGPD : 59 000 atteintes à la protection des données signalées, mais seulement 91 amendes imposées depuis son entrée en vigueur, selon un rapport
Richard Stallman remet en cause l'efficacité du RGPD, il veut plutôt une loi qui empêche les systèmes de collecter des données personnelles
Etude : Google est le plus grand bénéficiaire du RGPD grâce à sa position dominante et à une concentration sur le marché de la publicité en ligne
Le bilan du RGPD un an après, près de 145 000 plaintes et questions ont été enregistrées auprès des autorités responsables

[defZero]

Que pensez-vous des données présentées par cette étude ?

Que, d'après Wikipédia, "Check Point Software Technologies Ltd" est une "entreprise de sécurité" Israélienne, côté en Bourse (NASDAQ : CHKP), qui fournit :
- Pare-feu
- VPN
- Appliances
- Software Blade
- IPS/IDS
- Sécurité du poste de travail
- Protection des données
- Administration des passerelles de sécurité

Et donc qu'elle prêche pour ça paroisse.
Niveau partialité on a déjà vu mieux.
De plus cette étude a été faite pour la société "Check Point" par ... On ne sait pas qui du coup.

Que quand la l'étude affirme que :

Dans l’ensemble, 83 % des personnes interrogées affirment que leur organisation utilise des solutions dématérialisées de Cloud computing.
...
Seulement 7 % des entreprises ont reconnu avoir pris des mesures drastiques se traduisant par l’abandon pur et simple des solutions dématérialisées liées au Cloud computing après l’entrée en vigueur du RGPD.

Ce que moi j'y vois, c'est que pour se mettre en conformité avec le RGPD les sociétés interrogés ont massivement externalisés leur SI au profit du Cloud, voir se sont carrément passé de SI.
Alors, oui je sais, le Cloud n'est pas tout le SI, mais pensez y d'un point de vue RGPD.
Tout ce qui est mis sur le réseau d'un tiers doit être validé conforme RGPD pour respecter la chaine de traitement du RGPD, c'est une sorte de licence copyleft du droit.
De plus avec leurs approche, ça devient donc au "Cloud Manager" de gérer le RGPD.
C'est la solution de simplicité immédiate, mais est elle pérenne ?
Je ne croit pas puisque l'on devient dépendant d'un Cloud, géré on ne sais comment, par on ne sait qui, on ne sais où.

Dans le cadre de son étude, Check Point a interrogé 1000 CTO (directeurs de la technologie), CIO (directeurs des systèmes d’information ou DSI), responsables informatiques et de la sécurité d’organisations au Royaume-Uni, en France, en Allemagne, en Italie et en Espagne.

Si "Selon les conclusions d’une nouvelle enquête diligentée par Check Point", alors ce n'est pas Check Point qui a interrogé qui que ce soit, non ?
Là je comprend qu'ils n'ont interroger que des grands groupes qui ont les moyens de ce conformé au RGPD.
Aller demander à des Indépendants, des TPE/PME, des SEN/SSII et autres structure si ils/elles ont les moyens (financier/temporelle/connaissance/formations) de ce conformer au RGPD.
Je rappelle tout de même que faire appel à un DPO est devenue une quasi-obligation et qu'il s'agit plus d'un avocat/juriste formé au RGPD que d'un dev.
Le DPO nommé est par nature responsable pénalement/financièrement en sont nom propre de toutes les infractions qui pourrait être commises au RGPD.
Autant vous dire que le RGPD va tué les petites structures à ce rythme là.
A croire que les mecs/nanas qui ont décidé ça tous seul dans leurs coins, n'ont pas juger utilise de faire des estimations de coups de mise en place de leurs directives.

Enfin bon, j’attends juste de voire un DPO envoyé en zonzon, parce qu’un stagiaire/intervenant/consultant ne s'est pas conformé au RGPD.

[Invité]

Que, d'après Wikipédia, "Check Point Software Technologies Ltd" est une "entreprise de sécurité" Israélienne, côté en Bourse (NASDAQ : CHKP), qui fournit :
- Pare-feu
- VPN
- Appliances
- Software Blade
- IPS/IDS
- Sécurité du poste de travail
- Protection des données
- Administration des passerelles de sécurité

Et donc qu'elle prêche pour ça paroisse.
Niveau partialité on a déjà vu mieux.

Je connais pas mal de monde chez CheckPoint et j'oserai affirmer qu'un rapport émanant de cette boîte sur un tel sujet a sûrement plus de crédibilité que si ça sortait de chez Gardner...

Bien sûr qu'ils sont là pour prêcher leur paroisse... Il faut pas non plus s'attendre à de l'altruisme de la part d'une boîte côtée au NASDAQ qui plus est dans un core business hyper-compétitif mais ça on le sait d'avance...

Je ne croit pas puisque l'on devient dépendant d'un Cloud, géré on ne sais comment, par on ne sait qui, on ne sais où.

Si un décisonnaire fait un "move to the Cloud" sans savoir où son workload part, sans savoir comment le gérer, il y a un sérieux problème de casting alors c'est un problème de management...

Quand tu fais une migration vers un Cloud public, c'est toi qui construis, personne d'autre. Chez Azure, t'achètes tes VNET et tu montes ton infra de A à Z. Tes LANs, tes instances de firewall, tes load-balancers, etc... Tu sais où sont tes data d'un point de vue physique et tu peux vérifier de façon psycho-rigide la cinématique des tes flux IaaS/PaaS/SaaS... Sans parler des technos d'authentification pour les accès admin de toutes ces bestioles virtualisées. Ce que tu écris, ça relève presque du complotisme...

Aller demander à des Indépendants, des TPE/PME, des SEN/SSII et autres structure si ils/elles ont les moyens (financier/temporelle/connaissance/formations) de ce conformer au RGPD.
Je rappelle tout de même que faire appel à un DPO est devenue une quasi-obligation et qu'il s'agit plus d'un avocat/juriste formé au RGPD que d'un dev.
Le DPO nommé est par nature responsable pénalement/financièrement en sont nom propre de toutes les infractions qui pourrait être commises au RGPD.
Autant vous dire que le RGPD va tué les petites structures à ce rythme là.
A croire que les mecs/nanas qui ont décidé ça tous seul dans leurs coins, n'ont pas juger utilise de faire des estimations de coups de mise en place de leurs directives.

Enfin bon, j’attends juste de voire un DPO envoyé en zonzon, parce qu’un stagiaire/intervenant/consultant ne s'est pas conformé au RGPD.

Oui, okay mais quand on traverse ce genre de "révolution digitale", il faut aussi s'attendre à des inconvénients. Les consommateurs de Cloud Computing ont longtemps hurlé sur les garanties de Sécurité et de Confidentialité. La RGPD a fixé les lignes à ne pas franchir et comparé aux US et à l'Asie, je trouve qu'on devrait pas trop se plaindre...

Récemment, quelqu'un de mon entourage a eu maille à partir avec sa banque en postant un commentaire négatif sur Google. Le type de la banque a chouffé le compte et a récupéré l'état-civil... Je ne raconte pas la suite, ça n'a aucun intérêt mais le type a pris un skud et s'est fait virer. Juridiquement parlant, le type aurait été intouchable il y a quelques années... Maintenant, ce genre de comportement est interdit et je trouve ça plutôt bénéfique pour l'utilisateur.

Quelle que soit la taille d'une entreprise, le RGPD est l'occasion de mettre à plat la façon dont sont collectées et gérées les "données personnelles". Je connais autour de moi une dizaine de boîtes de petite et pour certaines de très petite taille (commerçants notamment) et j'ose prétendre que la soi-disante inertie engendrée par la RGPD est un mythe... C'est plus une question d'attention de la part des patrons de boîte...

-VX

[L33tige]

Que, d'après Wikipédia, "Check Point Software Technologies Ltd" est une "entreprise de sécurité" Israélienne, côté en Bourse (NASDAQ : CHKP), qui fournit :
- Pare-feu
- VPN
- Appliances
- Software Blade
- IPS/IDS
- Sécurité du poste de travail
- Protection des données
- Administration des passerelles de sécurité

Et donc qu'elle prêche pour ça paroisse.
Niveau partialité on a déjà vu mieux.
De plus cette étude a été faite pour la société "Check Point" par ... On ne sait pas qui du coup.

Que quand la l'étude affirme que :


Ce que moi j'y vois, c'est que pour se mettre en conformité avec le RGPD les sociétés interrogés ont massivement externalisés leur SI au profit du Cloud, voir se sont carrément passé de SI.
Alors, oui je sais, le Cloud n'est pas tout le SI, mais pensez y d'un point de vue RGPD.
Tout ce qui est mis sur le réseau d'un tiers doit être validé conforme RGPD pour respecter la chaine de traitement du RGPD, c'est une sorte de licence copyleft du droit.
De plus avec leurs approche, ça devient donc au "Cloud Manager" de gérer le RGPD.
C'est la solution de simplicité immédiate, mais est elle pérenne ?
Je ne croit pas puisque l'on devient dépendant d'un Cloud, géré on ne sais comment, par on ne sait qui, on ne sais où.



Si "Selon les conclusions d’une nouvelle enquête diligentée par Check Point", alors ce n'est pas Check Point qui a interrogé qui que ce soit, non ?
Là je comprend qu'ils n'ont interroger que des grands groupes qui ont les moyens de ce conformé au RGPD.
Aller demander à des Indépendants, des TPE/PME, des SEN/SSII et autres structure si ils/elles ont les moyens (financier/temporelle/connaissance/formations) de ce conformer au RGPD.
Je rappelle tout de même que faire appel à un DPO est devenue une quasi-obligation et qu'il s'agit plus d'un avocat/juriste formé au RGPD que d'un dev.
Le DPO nommé est par nature responsable pénalement/financièrement en sont nom propre de toutes les infractions qui pourrait être commises au RGPD.
Autant vous dire que le RGPD va tué les petites structures à ce rythme là.
A croire que les mecs/nanas qui ont décidé ça tous seul dans leurs coins, n'ont pas juger utilise de faire des estimations de coups de mise en place de leurs directives.

Enfin bon, j’attends juste de voire un DPO envoyé en zonzon, parce qu’un stagiaire/intervenant/consultant ne s'est pas conformé au RGPD.

Alors oui, mais le RGPD c'est aussi tout ce que ça soulève à coté. Prise du consentement, non stockage de données inutiles à l'usage qui en ai fait etc. Même en passant par du cloud ya toute la partie métier à changer et pour ça ya des devs au final.

[Gloubie]

Je rappelle tout de même que faire appel à un DPO est devenue une quasi-obligation et qu'il s'agit plus d'un avocat/juriste formé au RGPD que d'un dev.
Le DPO nommé est par nature responsable pénalement/financièrement en sont nom propre de toutes les infractions qui pourrait être commises au RGPD.
Autant vous dire que le RGPD va tué les petites structures à ce rythme là.
A croire que les mecs/nanas qui ont décidé ça tous seul dans leurs coins, n'ont pas juger utilise de faire des estimations de coups de mise en place de leurs directives.

Vous confondez DPO, qui conseille et accompagne les organismes qui le désignent dans leur conformité, et responsable de traitement qui sont deux fonctions incompatibles puisqu'il y aurait conflit d'intérêt. Seul le responsable de traitement peut voir sa responsabilité engagée.

Vous trouverez la définition du responsable de traitement à l'article 4-7 du règlement :
«responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;

ainsi que les articles relatifs au délégué à la protection des données aux articles 37, 38 et 39 du règlement.

Pour résumer, le responsable de traitement (il s'agit le plus souvent du chef d'entreprise) détermine les finalités et les moyens du traitement ; le DPO ne peut être le responsable de traitement puisqu'il doit juger de la conformité de celui-ci. Il est là pour conseiller le responsable de traitement et n'est donc pas responsable pénalement en cas de manquement au RGPD.

Enfin, la désignation d'un DPO n'est obligatoire en France - certains pays européens comme l'Allemagne ont utilisé les marges de manœuvre laissées par le RGPD pour élargir les conditions de nomination obligatoire d'un DPO - que sous trois conditions fixées à l'article 37-1 du RGPD : organisme public, traitement à grande échelle, données sensibles, même si la nomination d'un DPO par un organisme est une première démarche de volonté de mise en conformité au RGPD.

[Invité]

Pour avoir déjà effectué du marketing et pour gérer de manière récurrente des BDD ... le RGPD on "s’assoit" dessus. En sommes on le respecte du moment qu'on peut faire du fric avec la data !

Vous savez , que vos données c'est des cercueils , des carottes, des emails ou que sais je encore ... On s'en fou tout ce que l'on veut c'est du fric et pouvoir en brasser avec ...

[defZero]

Je connais pas mal de monde chez CheckPoint et j'oserai affirmer qu'un rapport émanant de cette boîte sur un tel sujet a sûrement plus de crédibilité que si ça sortait de chez Gardner...

@vxlan.is.top

Très bien, mais le rapport n'émane pas de "Check Point Software Technologies Ltd".
Il à était fait pour eux par on ne sait qui.
Donc le sérieux du rapport peut être mis en cause, non ?

Si un décisonnaire fait un "move to the Cloud" sans savoir où son workload part, sans savoir comment le gérer, il y a un sérieux problème de casting alors c'est un problème de management...

Quand tu fais une migration vers un Cloud public, c'est toi qui construis, personne d'autre.
Chez Azure, t'achètes tes VNET et tu montes ton infra de A à Z.
Tes LANs, tes instances de firewall, tes load-balancers, etc...
Tu sais où sont tes data d'un point de vue physique et tu peux vérifier de façon psycho-rigide la cinématique des tes flux IaaS/PaaS/SaaS...
Sans parler des technos d'authentification pour les accès admin de toutes ces bestioles virtualisées.
Ce que tu écris, ça relève presque du complotisme...

@vxlan.is.top

Oui, tu construit en effet ton Cloud comme tu ferais avec des LEGO, mais justement, c'est ce qui ne te permet pas de savoir Qui à accès aux données, Comment est construite l'archi sous sous-jacentes aux "briques virtuelle" que tu manipule, ni Où elles sont réellement stocker.

Le principe même des Cloud Public/SDN est de répartir les briques sur un maximum de serveurs physique, pour minimiser tous risques de "fail" (principe de redondance Hardware/Software).
Dans ces conditions, personnes (d’honnête ) ne peut affirmer avec certitude où sont les données, qui y à accès et comment elle sont stockées/traitées à un instant T.

Les Cloud Privés sont les seules pouvant fournir ce niveau de contrôle aux SI.
Mais au vu des coups que cela engendre, je ne suis pas sure que le modèle ce répande beaucoup en TPE/PME.

Donc non, ce n'est pas du complotisme, juste les faits.

Les consommateurs de Cloud Computing ont longtemps hurlé sur les garanties de Sécurité et de Confidentialité.
La RGPD a fixé les lignes à ne pas franchir et comparé aux US et à l'Asie, je trouve qu'on devrait pas trop se plaindre...

@vxlan.is.top

Juste non, les seule personnes hurlant sur les garanties de sécurité et de confidentialité depuis un moment, était/sont jusqu'à récemment quelques associations/techos (FDN, La Quadrature du Net, Les Exégètes Amateurs, ...etc que je remercie au passage pour leurs efforts).

La grande majorités voient (voyaient ?) ça plus comme une contrainte qu'autre chose.
C'est pas pour rien qu'avant RGPD (et encore un peut maintenant ) les projet infos faisaient passer la sécurité/confidentialité au dernier points, voire passaient complétement outre.
Et oui, tout ça a un coup non négligeable sur le cycle de vie d'un projets.

Certes le RGPD a fixé des lignes, mais ça ne veut pas dire qu'elles sont bonnes, ni bien placées.
Je rappel quand même, qu'avant le RGPD le traitement des informations personnels étaient déjà soumise à déclaration/approbation par la CNIL (ce qui, à mon avis, aurait dû être amélioré en lieu et place du RGPD).
Le seule truc vraiment bien qu'est permit le RGPD, c'est une définition de ce que sont des "données personnel", le reste n'est pas forcement dans le sens du progrès (ex.: les données WHOIS sur un DNS, qui deviennent de fait anonymisés, puisque classé comme données personnels ).

Quelle que soit la taille d'une entreprise, le RGPD est l'occasion de mettre à plat la façon dont sont collectées et gérées les "données personnelles".

@vxlan.is.top

Sauf qu'en fonction de la tailles, ça n'as pas les même répercussions et que ça ne remet absolument pas à "plat" comme tu dit ce qui est collecté, ni comment.
Tu oublis qu'ici on est entre personnes un minimum concerné professionnellement, mais pense à une entreprise dont ce n'est absolument pas le métier et qui fait appel à un prestataire pour leurs sites.
Eux aussi peuvent être emmerdé, alors qu'ils n'ont pas la moindre idée de ce qu'implique le RGPD.
C'est comme pour le Cloud Public, ils délèguent et font confiance, mais ils n'ont pas de contrôle, ni le savoir, sur ce qui est fait.

... Je connais autour de moi une dizaine de boîtes de petite et pour certaines de très petite taille (commerçants notamment) et j'ose prétendre que la soi-disante inertie engendrée par la RGPD est un mythe...
C'est plus une question d'attention de la part des patrons de boîte...

@vxlan.is.top

Comme je l'est écrit, le problème peut également venir des prestataires qui s'ils contreviennent, volontairement ou pas, au RGPD, alors même les petites boites que tu connais peuvent elles aussi être mise en cause.
Et là ça chiffre très rapidement et très sévèrement.

- Une amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises
OU 10 millions d’euros d’amende, en cas de manquements aux obligations :

• les obligations incombant au responsable du traitement et au sous-traitant
• les obligations incombant à l’organisme de certification (qui jusqu'à il y a quelques mois n'existaient même pas)
• les obligations incombant à l’organisme chargé du suivi des codes de conduite. (CNIL )

- une amende qui correspond à 4 % du chiffre d’affaires mondial s’agissant des entreprises
OU 20 millions d’euros d’amende, en cas d'infractions :

• L’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données personnelles
• Les autres droits des personnes concernées
• Les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale
• Toutes les obligations découlant du droit des États membres
• Le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle.

Plus les petites sanction pénales du style :
- Article 226-16 du Code pénal, jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

Sans compter que tout ça peut être augmenter via l'article 84 du RGPD qui autorise les États à en rajouter une couche à l'envie côté pénale.

Non, je persiste à dire qu'il y aurait eu pleins d'autres moyens de garantir la sécurité des données personnel (ou pas), sans nous pondre cette bouse infâme qu'est le RGPD.
Je ne critique pas le but en soit, seulement les moyens mis en place pour y parvenir.

@Neckara, Oui enfin, c'est pas parce-qu’il existe des choses pire à lire que le RGPD, que ça en fait quelque chose d'agréable.

@Ryu2000, Et bien figure toi qu'il existe aussi des gens, pas forcement diplômé (encore moins doctorants), qui lisent des articles/thèses/rapports/RFC () tous les jours et qui y passe des heures, pour obtenir les informations dont ils ont besoins.

Bon là ce n'est pas le cas, mais parfois on dirait qu'il font exprès d'écrire des phrases compliquées pour que ce ne soit pas accessible à tout le monde.

@Ryu2000

Mais c'est fait exprès, tout ce qui a trait à la science/médecine/loi a toujours était construit par et pour les puissants, c'est un fait historique, il n'y a même pas sujet à polémiques (cf. l'histoire de ces domaines respectifs).
Après, je ne dit pas que le quidam moyen n'y à pas accès, juste que l'accès ne lui en est pas facilité par le fonctionnement de notre société.
Exemples :

• Les publications scientifiques/médicale, obligatoire pour validé sa thèse, dans des journaux payant très cher et disponible uniquement par abonnement.
• Les lois/décrets qui pour rentrer en application doivent paraitre au journal officiel.
• L'utilisation de lettres Grec, symboles abscons ou du latin dans ces domaines, alors que l'on aurait très bien pu mettre en place un alphabet spécifique, mais appris par tous au même titre que le Français ou simplement recourir au Français dans les cas de la médecines et des lois.

[Neckara]

@Neckara, Oui enfin, c'est pas parce-qu’il existe des choses pire à lire que le RGPD, que ça en fait quelque chose d'agréable.

Oui, mais bon faut pas exagérer.
Surtout de se plaindre que le RGPD soit pas quelque chose d'agréable à lire quand derrière on se tape la lecture de choses bien "pire".

Puis bon, c'est quand même marrant à lire, non ?

Les publications scientifiques/médicale, obligatoire pour validé sa thèse, dans des journaux payant très cher et disponible uniquement par abonnement.

Non.

Si la thèse est financée à moins 50% sur des fonds publiques, cette dernière doit être mise sur HAL (accès libre).
Pour la thèse, il n'est pas nécessaire de faire des journaux, les confs sont aussi possibles.

La plupart des articles étant disponibles en accès libre, il suffit de rechercher le titre sur Google Scholar.

Mais c'est fait exprès, tout ce qui a trait à la science/médecine/loi a toujours était construit par et pour les puissants, c'est un fait historique, il n'y a même pas sujet à polémiques (cf. l'histoire de ces domaines respectifs).

Chaque discipline a son vocabulaire, et c'est normal, pas la peine d'invoquer un complot intellectuel.

Surtout en Science où il faut être précis et nuancé dans ses propos.

Les lois/décrets qui pour rentrer en application doivent paraitre au journal officiel.

En quoi cela ne facilite-t-il pas l'accès ?

L'utilisation de lettres Grec, symboles abscons ou du latin dans ces domaines, alors que l'on aurait très bien pu mettre en place un alphabet spécifique, mais appris par tous au même titre que le Français ou simplement recourir au Français dans les cas de la médecines et des lois.

Idem, en quoi est-ce un problème ?

Tu vois un symbole, et tu le reconnais. Au lycée, tu vas utiliser des alpha, bêta, gamma, epsilon, pi, phi, mu, sigma.

Après, il ne faut pas oublier qu'au collège/lycée on peut apprendre le latin et le grec en option facultative. Enfin le lycée je sais pas où ça en est depuis la dernière réforme.

La loi est écrite en français, et au pire, à l'ère d'Internet, une recherche Google ne fait pas de mal.
Pour la médecine, c'est de toute manière du vocabulaire, qu'il soit en français, en latin, en allemand, ou en russe du XIIIe siècle, cela ne change pas grand chose.

[Ryu2000]

Et bien figure toi qu'il existe aussi des gens, pas forcement diplômé (encore moins doctorants), qui lisent des articles/thèses/rapports/RFC () tous les jours et qui y passe des heures, pour obtenir les informations dont ils ont besoins.

D'accord mais il faut que ce soit un sujet qui passionne la personne. Personnellement je ne suis absolument pas passionné par le droit, je ne supporte pas ça. Rien que de lire "règlement général sur la protection des données" ça me fatigue.
Comme dirait Snowden : "Le problème n'est pas la protection des données, mais la collecte de données".
Bon un de c4 je vais peut-être lire l'article sur le droit à l'effacement, il parait que c'est le 17, si je trouve la motivation suffisante. Il parait qu'on peut demander à un site de supprimer les données qu'ils ont sur nous.