Background
La plupart des flux Internet ne sont pas filtrés. Tous ceux qui ont déjà loué ou configuré un serveur savent que le trafic malveillant provient du monde entier, y compris de l'Union européenne (mais principalement d'autres endroits), dès qu'un serveur est en ligne, ainsi que des mots de passe, des clés et / ou des installations. au pare-feu, le trafic malveillant doit être prêt au préalable.
Scénario
Small Town News USA Inc. (une société fictive) gère un journal et un site Web sur Small Town, USA. Les principaux clients vivent à Small Town, USA. Récemment, leur avocat d'entreprise a suggéré qu'ils devaient débourser plusieurs milliers de dollars pour se préparer à la mise en conformité avec la réglementation européenne GDPR qui affecte les entreprises du monde entier avec les données des citoyens de l'UE. La direction, pensant qu'il serait moins coûteux de filtrer et d'incommoder peut-être 5 à 10 voyageurs et téléspectateurs distants qui accèdent au site Web depuis l'Europe, décide que le moyen le plus simple de gérer la responsabilité du RGPD est de rejeter le trafic Internet des téléspectateurs non américains.
Malheureusement, la technologie couramment disponible pour ce faire implique le reniflage IP. Plus en détail, un serveur Web est désigné comme "pare-feu / proxy inverse Nginx" et prendrait une connexion, examinerait l'adresse IP (informations personnellement identifiables sous GDPR; voir FAQ Qu'est-ce qui constitue des données personnelles? ), puis transférez uniquement les connexions américaines vers un autre serveur contenant le site Web de Small Town News. Mais les connexions "refusées" sont toujours traitées en renvoyant une page Web contenant uniquement: "Désolé, nous ne pouvons pas vous servir à votre emplacement actuel" Les adresses IP et les heures sont enregistrées dans les journaux du serveur Web. En outre, le personnel informatique souhaite que les journaux du serveur Web incluent des adresses IP afin de pouvoir interdire le trafic malveillant. Cela implique le traitement automatisé des données comportementales et le stockage des adresses IP de mauvais comportement dans d'autres fichiers qui mettent à jour les données du pare-feu, qui sont conservées dans une table du système d'exploitation.
Il s'avère que le filtre réservé aux États-Unis est une mesure technologique imparfaite. Il ne filtre pas 100% du trafic des résidents de l'UE. Premièrement, il n'y a pas de mappage parfait des adresses IP aux emplacements. Par exemple, une adresse IP appartenant apparemment à la marine américaine pourrait être le trafic provenant d'un entrepreneur civil résidant dans l'UE à l'heure du déjeuner qui travaille dans une base navale américaine, par exemple Italie. Un visiteur résidant dans l'UE aux États-Unis peut toujours accéder au site Web complet depuis les États-Unis. Un autre résident de l'UE pourrait acheter un service VPN (Virtual Private Network) pour masquer l'emplacement réel de son ordinateur, ce qui pourrait impliquer de transférer son trafic depuis un point aux États-Unis, ce qui permettrait de récupérer le site Web complet de Small Town News parce que le pare-feu de Small Town News a reçu une adresse IP américaine.
Application
Pour ceux qui pensent que c'est alarmiste et inapplicable, lisez peut-être:
Comment l'UE peut infliger des amendes aux entreprises américaines pour avoir enfreint le RGPD, ce qui n'est pas tout à fait certain, mais suggère la possibilité d'une coopération américaine pour le recouvrement des amendes civiles de l'UE.
Peut-être que le repérage de localisation est également illégal ...
L'article "Pourquoi les États-Unis et d'autres entreprises non européennes doivent se conformer au RGPD" sur busineessknowhow.com affirme:
"... identifier des personnes au sein de l'UE et leur refuser l'accès à votre site ou service en fonction de la géolocalisation de leur adresse IP - est en fait spécifiquement interdit par le RGPD. Le RGPD contient une interdiction inst 'profiling', que le RGPD définit comme "toute forme de traitement automatisé de données personnelles consistant en l'utilisation de données personnelles pour évaluer certains aspects personnels relatifs à une personne physique, en particulier pour analyser ou prédire des aspects concernant les performances de cette personne physique au travail, sa situation économique, santé, préférences personnelles, intérêts, fiabilité, comportement, EMPLACEMENT ou mouvements. "
Comme cela ne cite pas des sections spécifiques du règlement de plus de 100 pages, je ne sais pas si c'est correct. Tout cela ressemble à un excellent projet de bien-être pour les avocats, les régulateurs et les professionnels de l'informatique qui prennent le temps de se spécialiser dans ce domaine et mauvais pour l'entrepreneur créatif qui veut simplement mettre quelque chose en ligne.
Question
Small Town News est-il conforme au RGPD dans le cadre de sa politique (malheureuse) de blocage de l'UE?
Ou peuvent-ils seulement devenir conformes en externalisant le filtrage à une autre entreprise, qui peut être le bouc émissaire lors imparfait?