Messages de l'autorité de protection des données de Berlin au niveau de la Maison Blanche

Cet article a été publié pour la première fois sur ITK SECURITY.


Letzte Aktualisierung vor 1 an durch Patrick Ruppelt

Temps de lecture : 8 minutes

Même moi, en tant que responsable de la protection des données certifié par le TÜV, je me moque parfois de ce que les autorités de surveillance laissent entendre, si je peux le dire de manière aussi profane.

Je ne veux même pas savoir ce qu'il y a comme paumés là-bas. Premièrement, certains d'entre eux devraient apprendre les bases du droit de la protection des données avant d'ouvrir la bouche, et deuxièmement, il existe encore quelque chose qui s'appelle le bon sens.

Je suis déjà entré dans les détails dans d'autres articles. C'est pourquoi je me contenterai ici de quelques citations humoristiques et sarcastiques, sorties de leur contexte mais qui se suffisent à elles-mêmes. Prends-le simplement comme un commentaire personnel. J'aimerais pouvoir dire que je ne suis pas si sérieux que ça, mais honnêtement, c'est plutôt sérieux.

Les sources de toutes les citations proviennent toutes de Maja Smoltczyk, responsable de la protection des données à Berlin :

  1. Déléguée berlinoise à la protection des données et à la liberté d'information, liste de contrôle pour la tenue de vidéoconférences pendant les restrictions de contact1)
  2. Déléguée berlinoise à la protection des données et à la liberté d'information, déléguée berlinoise à la protection des données sur la tenue de vidéoconférences pendant les restrictions de contact2)

Le téléphone These #1 est plus sûr que la vidéo

Je me demande s'ils ont déjà entendu parler du fait que le téléphone et le fax n'ont jamais été cryptés ?

Même le cryptage des téléphones IP modernes ne va pas plus loin que le fournisseur de téléphonie. Ce qui se passe ensuite sur le réseau est une autre question.

On peut peut-être discuter de la complexité et de la sécurité des solutions modernes de vidéoconférence, mais affirmer que le téléphone est généralement plus sûr que la vidéophonie est assez raide.

... et encore :

Thèse #2 Si tu veux faire de la vidéo, fais-la toi-même.

Aussi génial. Microsoft gère Teams sur ses propres serveurs. Ceux-ci ont une charge depuis Corona 720%. Microsoft limite petit à petit les fonctions, réduit la bande passante vidéo parce que même les serveurs cloud de Microsoft dans le monde entier sont désespérément surchargés.

La commissaire à la protection des données de Berlin est donc maintenant d'avis que les petites entreprises devraient tout simplement gérer elles-mêmes ce que Microsoft est tout juste capable de fournir en 30 ans de développement, plus mal que bien.

...ou bien

...ou bien

Thèse #3 L'utilisateur regarde le code source du logiciel

Bien sûr... Tout le monde est capable de démonter un logiciel, de voir s'il y a des indices dans le code source qui indiquent que des données sont détournées. Ou examiner en détail tout le trafic de données pour déterminer ce qui est transmis. Sans compter que le trafic réseau est crypté, alors comment l'utilisateur peut-il y jeter un coup d'œil ?

Thèse #4 Il y a suffisamment de fournisseurs allemands / européens de telles solutions

Dans quel monde vis-tu là-haut ? Je vais abréger : je ne connais pas un seul fournisseur européen qui propose ce genre de choses dans son portefeuille. En Allemagne non plus.

...ou bien

...et c'est vraiment génial quand la dame se rend compte elle-même que ce qu'elle recommande n'existe pas du tout. DOH DOH DOH.

La thèse #5 Privacy Shield est sûre

Alors Madame Smoltczyk, sérieusement. As-tu la moindre idée de ce qu'est le Privacy Shield ? Questionnaire Croix "oui je suis sûr". C'est juste quelque chose sur le papier, mais ça n'a rien à voir avec la sécurité réelle, chère experte.

Thèse #6 On ne peut généralement rien utiliser de Microsoft.

La raison ? Oui euh... hum... non, aucun. Lancé comme ça, sans réfléchir. C'est une vraie compétence. Délire.

Je ne suis généralement pas d'accord avec la commissaire à la protection des données de Berlin. J'irais même jusqu'à dire que la chère Mme Smoltczyk est vraiment à côté de la plaque avec ses déclarations absurdes.

Ou bien

Thèse #7 Si le fournisseur de vidéo est basé dans l'UE ou l'AELE, alors le cryptage n'est pas nécessaire

Euh. Oui. C'est un raisonnement inverse audacieux, ok. J'ai peut-être mal compris ce qu'elle écrit. Je ne sais pas. D'une certaine manière... quoi qu'il y ait à fumer à Berlin, j'en veux aussi.

Thèse #8 Plus le sujet de conversation est sensible, plus il est probable que la conférence soit piratée.

Logique.

Je sais de quoi il s'agit. Je pense que ça veut dire que si Quelque chose avec Probabilité d'occurrence égaleSi cela arrive à une personne sensible ou non, le risque est évidemment plus élevé pour les conversations sensibles. Mais s'il te plaît, tu ne peux pas donner une lettre de recommandation comme ça...

Thèse #9 Bâillonne par contrat la petite saucisse de la multinationale américaine !

Comment peut-on être aussi éloigné du monde ? J'ai mené des négociations concernant près de 5000 licences Microsoft Office 365 / Teams. Les négociations ont duré trois mois, avec trois avocats spécialisés d'un grand groupe international. Pour être clair, nous parlons d'un client qui paie plus de 100 000,- € par mois à Microsoft. Pas une seule virgule n'a été modifiée par Microsoft dans le contrat, car Microsoft n'est pas intéressée par les cas particuliers.

... et encore :

Ma recommandation personnelle

Ne crois pas tout ce que tu lis de source officielle. La théorie et la pratique sont déjà très éloignées l'une de l'autre, mais ce genre de choses est tout simplement stupide. De nombreuses entreprises sont confrontées à d'autres problèmes en ce moment.

Allume ton cerveau, réfléchis et en cas de doute, demande simplement à ton responsable de la protection des données. Je suis sûr qu'il sera plus enclin à défendre mon point de vue que celui des responsables de la protection des données de Berlin...

Répertoire des sources

↑1 https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Checkliste_Videokonferenzen.pdf
↑2 https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Empfehlungen_Videokonferenzsysteme.pdf