Du support technique localisé dans l’Union européenne ? Les coentreprises Bleu et S3NS, entre autres, en ont fait un argument de vente pour leurs offres « souveraines » à venir. Avec une garantie principale : éviter le transfert de données vers des pays tiers… et les accès indésirables qui pourraient s’ensuivre, au mépris du RGPD.
Cette dimension est au cœur d’un dossier que la Cnil danoise suit depuis près de trois ans. À l’origine, il y a la plainte d’un parent d’élève, qui avait signalé une violation de données personnelles de son enfant en lien avec l’ouverture d’un compte YouTube. Institution visée : l’école primaire de la municipalité d’Elseneur (nord du pays).
Celle-ci utilisait – et utilise toujours – des Chromebook et la suite Google Workspace pour l’Éducation (édition Standard). À la suite de la plainte en question, la Cnil danoise lui a imposé une revue de ses activités de traitement. La démarche a révélé des inconformités vis-à-vis du RGPD. Ainsi en a en tout cas jugé l’autorité. Avec au premier chef, un risque d’exploitation de données personnelles – a fortiori de personnes mineures – par le groupe américain ou d’autres tiers, dans le cadre d’opérations d’assistance.
La municipalité a reçu pour ordre de suspendre l’usage de Google Workspace le temps de se mettre en règle. Plus précisément, tant qu’elle ne disposera pas d’une « documentation adéquate » des risques encourus. Et ce même si « statistiquement », comme elle l’a fait valoir chiffres à l’appui, l’école a peu de chances d’être cible d’une requête d’autorités de pays tiers.
Quand bien même les données en question seraient chiffrées, il peut exister une fenêtre pendant laquelle des communications peuvent se faire en clair, noté la Cnil danoise. En outre, dans le cadre de l’offre qu’exploite l’école, le groupe américain qui détient les clés de chiffrement… même si, au vu de la structure du contrat (régi par des clauses types), Google EMEA est censé devoir donner son aval au siège américain.
La Cnil danoise investigue le cas d’autres municipalités qui exploitent des modèles de traitement similaires.
Illustration © Google
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.