>> Ca fait beaucoup de contradictions ça :) >> Pour rappel, les directives européennes dépassent le droit français, si les >> directives ne sont pas retranscrites, ce n’est pas votre faute. > > On a toujours la vieille feinte législative utilisant la nécessité de la > sécurité du territoire pour imposer la conservation des logs, il me semble. > C'est compatible avec le droit de l'UE, mais c'est un abus. > Mais bon, je suis assez d'accord avec David, tout logguer pour tout logguer, > c'est pas forcément la meilleure idée, surtout au niveau des flux réseaux.
Disons que je demande à voir, comme David dit, une condamnation pour ne pas avoir du loggué du traffic droppé, et qui donc quelque part, n’a ps eu lieu en plus. En plus ça serait une belle amplification d’une attaque DDoSS en fait ! > Ils font un peu plus que bêtement faire transiter des données comme un AS, > surtout quand ils cassent les sessions TLS pour les rechiffrer avec leur > certs derrière. > Plus d'info ici > https://gdprhub.eu/index.php?title=+Special%3ASearch&search=cloudflare&go=Go > , les jugements rendus sont en bas de page. Alors non, je ne suis pas d’accord, c’est une ds possibilités offertes par leurs services, mais pas une obligation. Par ailleurs, dans les jugements que j’ai rapidement parcourus (et je ne suis pas juriste), Cloudflare n’a pas été condamné une seule fois, mes des utilisateurs du service pour avoir utilise Cloudfalre d’une manière qui ne permet pas de respecter la RGPD, et c’est très différent ! Dans la plupart des cas que j’ai parcouru, on reproche de permettre à Cloudflare de collecter des données personnelles en dehors de l’UE sans s’être assuré qu’ils respectaient la RGPD. Ce n’est pas le principe, mais l’usage qui est condamné. Après, je te concède évidemment que par défaut et si tu ne fais pas attention, il est à peu près certain que la RGPD n’est pas respecté ! Mais je te certifie que tu peux faire passer du traffic par Cloudflare sans aucune forme de déchiffrement/rechiffrement TLS. Et je te vérifie aussi qu’ils t’incisent très fortement à utiliser leurs certificats ! Et que là du coup, c’est vraiment pas clean. > Pouvoir vendre un produit en UE n'implique pas forcément qu'il respecte > l'ensemble de la législation. Google Analytics est toujours disponible pour > les personnes qui souhaitent l'utiliser dans l'UE, alors que Google a déjà eu > plusieurs condamnations dessus, et O365 aussi alors que Microsoft a confirmer > être incapable de garantir la localisation géographique des données. La RGPD reste fraiche et tous les acteurs doivent s’adapter. Après, cherche un peu, tu verras que Microsoft a des articles très détaillés pour dire exactement où tes données son stockées. Que cela soit respecté ou pas sera évidemment un débat, mais le premier qui se fera chopper va se prendre une bonne amende, il y a en eu quelques unes récemment. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
