Certification RGPD: toujours rien et pas mal d'arnaques
Depuis la mise en place officielle du RGPD, fleurissent les marchands du temple qui parlent de certification..
Si l'on excepte les arnaques dont a parlé brièvement ce "fil" de la CNIL https://twitter.com/CNIL/status/953628619426942976/ qui promettait des nouvelles qui depuis se sont faites très rares, quelques organismes comme l'Afnor organisent des "préparations à la certification", des mises en conformité mais rien de vraiment "certifiant" qu'on est "ok RGPD".
En Octobre 2018, quelques nouvelles sont apparues concernant la certification des DPO mais vu le rôle uniquement "centralisateur" et "consultatif" de ces derniers, on est loin de la "certification RGPD" qui garantirait qu'une organisation respecte cette usine à gaz qu'est cette loi.
En cherchant bien, le Luxembourg s'enorgueillissait en février 2019 d'être bientôt le lieu de la première certification RGPD (https://www.wort.lu/fr/economie/la-premiere-certification-rgpd-sera-luxembourgeoise-5c62a359da2cc1784e33da53 ).
Bref, personne, aucune société ne peut être certifiée "conforme RGPD" !
Pourquoi ?
4 raisons possibles à notre avis.
1) Le gouvernement a annoncé que la première année au minimum serait une année de "pédagogie" donc à quoi cela sert-il de se décarcasser à être conforme ?
2) Les seuls DPO qu'on voit sont des avocats qui maîtrisent bien l'aspect légal mais ne comprennent rien à la technique et n'ont pas non plus envie d'y mettre le nez (voir point)
3) Etre conforme RGPD c'est concrètement changer de système informatique dans la plupart des cas. Qui réellement va le faire et le payer ?? (En effet, être conforme c'est avoir des traitements de données personnelles qui "anonymisent" celles-ci et cela réclame souvent de refaire les traitements bien au delà de la transformation de quelques formulaires à la surface du système .. Vous pouvez trouver un exemple typique de ceci avec le fameux Talentsoft, qui équipe le site du Crédit Agricole pour le recrutement: inscrivez-vous et demandez ensuite votre mot de passe comme si vous l'aviez oublié -> vous recevez et le login et le mot de passe, en clair, dans un seul mail :-))
4) Le RGPD est IMPOSSIBLE à respecter donc il est impossible d'être "conforme". 2 exemples. Prenons d'une part la partie "sous-traitance".. Vos sous-traitants doivent être conformes. Connaissez-vous tous vos sous-traitants ? Souvent non (Cherchez du côté de votre hébergeur par exemple) et vos sous-traitants doivent vous demander de travailler avec des sous-traitants, etc.. ) --> impossible à respecter. Prenons d'autres part les données personnelles. Vous avez un site qui parle de RGPD .. ;-) un internaute vient sur votre site. Même si vous n'avez pas d'outil de statistiques, votre hébergeur enregistre quelque part les logs .. c'est une donnée personnelle (adresse IP de l'internaute) ; êtes-vous au courant ? Sans doute non. proposez-vous à l'internaute d'avoir accès et de pouvoir modifier cette super donnée personnelle ? Non bien sûr (d'autant plus que votre hébergeur sous-traite sans doute .. et c'est reparti.. ce trucs de logs à des spécialistes .. etc, etc..
Voir aussi: RGPD: que demander aux sous-traitants (modèle de lettre à leur envoyer) et que changer aux contrats ? ?
RGPD: techniquement il faut faire quoi ?
http://www.tubbydev.com/2018/06/avoir-des-formulaires-conformes-au-rgpd.html#.W5uGPPaYTjo
Certification RGPD: toujours rien et pas mal d'arnaques dans RGPD | mars 14, 2019 | Commentaires (0)
Commentaires sur: Certification RGPD: toujours rien et pas mal d'arnaques
Poster un commentaire sur: Certification RGPD: toujours rien et pas mal d'arnaques
« Conclusions du Grand Débat | Accueil | ANTS, France Connect ou l'horreur numérique qui complique toutes les démarches »
Besoin de SEO, de développement, de rédaction de contenu web ? Besoin d'un blog, de Wordpress, de Prestashop ou autres nouvelles "choses web" ? Envie de travailler dans ces domaines ? --> Contactez-nous