Ce nâest pas nouveau, ils le disent ouvertement depuis longtemps, on a mĂȘme dĂ©jĂ lĂ©gifĂ©rĂ© sur cette impossibilitĂ© de garantir la protection des donnĂ©es au niveau europĂ©en (la fin du Privacy Shield). Ce qui est nouveau câest que câest devant le sĂ©nat français.
En 2019 jâai basculĂ© le run dâune trĂšs grosse entreprise dâAWS vers Azure, les ingĂ©s Microsoft qui nous aidaient devaient dĂ©limiter la protection des donnĂ©es quâils pouvaient garantir (pour que lâentreprise garde sa certification ISO 27001), une des garanties impossibles de leur part Ă©tait que les donnĂ©es des clients soient protĂ©gĂ©es du gouvernement amĂ©ricain, vu quâils ont leur loi CLOUD Act Ă respecter.
En thĂ©orie ça ressemble Ă une brĂšche du RGPD, mais entre temps il y a eu lâarrĂȘt Schrems II cĂŽtĂ© UEâŻqui dit comment rendre ça RGPD compatibleâŻ: câest aux entreprises de chiffrer toutes les donnĂ©es considĂ©rĂ©es âsensiblesâ qui sont stockĂ©es dans un cloud. Comme ça, mĂȘme si lesâŻUSA mettent leur nez dedans, ils nâen tireront que des donnĂ©es impossibles Ă exploiter. Donc on part du principe que les clouds amĂ©ricains sont incompatibles avec lâEurope⊠mais quâon peut sâadapter Ă leur usage, et quâil y a donc une compatibilitĂ© possible.
Bien entendu, ce nâest pas fait par la majoritĂ© des entreprises, ne serait-ce que parce que lâimpact du chiffrage sur les performances des recherches parmi les donnĂ©es sensibles serait lourd, or le business de beaucoup dâentreprises inclut lâexploitation des donnĂ©es sensibles quâelles ont sous la main (rappel que chaque info que vous donnez Ă une entrerpise va ĂȘtre exploitĂ©e). Par expĂ©rience de la façon de fonctionner dans le monde de la tech, trouver une façon de faire semblant de respecter le RGPD (par ex. une pseudonymisation foireuse) est plus attirant que de trouver une façon de chiffrer les donnĂ©es sensibles tout en conservant la performance lors de leur exploitation. Donc lâillĂ©galitĂ© sera gĂ©nĂ©ralement prĂ©fĂ©rĂ©e pour faire des Ă©conomies dâefforts. Les amendes ne sont pas assez Ă©levĂ©es pour dissuader (elles le sont en thĂ©orie mais jamais en pratique).
TL;DR: Ăa fait longtemps que les donnĂ©es sensibles sont impossibles Ă protĂ©ger quand un cloud amĂ©ricain est utilisĂ©.
rendre ça RGPD compatibleâŻ: câest aux entreprises de chiffrer toutes les donnĂ©es considĂ©rĂ©es âsensiblesâ qui sont stockĂ©es dans un cloud. Comme ça, mĂȘme si lesâŻUSA mettent leur nez dedans, ils nâen tireront que des donnĂ©es impossibles Ă exploiter.
Pour la nuance RĂ©colter maintenant, dĂ©chiffrer plus tard đ
Le chiffrement actuel est basĂ© sur des problĂšmes difficiles pour les ordinateurs classiques, mais faciles Ă rĂ©soudre pour un ordinateur quantique avec lâalgorithme de Shor. Si un responsable est assez stupide pour choisir MS de nos jours alors il lâest suffisamment pour utiliser un chiffrement asymĂ©trique (ou pire).
Pas des amis, pas des partenaires. Des ennemis.
Jâen parlais hier Ă un des commerciaux Ă mon boulot et jâavais pas remis la main sur un article, je vais mâempresser de lui montrer de ce pas !
Ce qui me choque un peu avec le chmilblik :
- ça fait un mois que lâaudition a Ă©tĂ© diffusĂ©e
- si Microsoft se retire, le hub de santĂ© est dead de chez dead (Ă©videmment câest du propriĂ©taire)
Ca serait un bon argument pour forcer une obligation de compatibilité de format de données pour ce genre de choses
Sur un cloud comme ça, le problĂšme est mĂȘme plus au niveau de la donnĂ©e, mais juste dâun lock in au niveau du code. Tout ce que tu peux dev câest du spĂ©cifique que tu peux pas porter ou alors le choix dâAzure est largement surdimensionnĂ©. La grosse question que je me pose, câest quels sont les besoins rĂ©els pour le hub de santĂ© pour quâopenstack ne soit pas suffisant (ou alors capg et orange sont complices du mauvais choix)
Câest intĂ©ressant ce que tu dis et ça dĂ©passe mon domaine de connaissance (je suis pas dev et pas utilisateur du hub de santĂ©).
Forcer dâavoir son code de traitement de donnĂ©es de santĂ© en opensource serait lâĂ©tape qui manque alors ?
LĂ tu viens toucher Ă mon cĂŽtĂ© libriste et je pense que tous les logiciels dâĂtat se doivent dâĂȘtre publiĂ© en open source (voire domaine publique). Mon opinion suivante câest que aucun argent publique ne devrait aller vers des solutions propriĂ©taires (coucou Pronote, les big esns, les deals avec microsoft).
AprĂšs, openstack nâest pas azure, il manquerait le cĂŽtĂ© saas, mais quitte Ă monter un opĂ©rateur azure, pourquoi ne pas se tourner vers lâOpen source ça me termine
