Question:
Est-il possible pour les entreprises non européennes d'éviter les problèmes de réglementation GDPR grâce à des filtres et des pare-feu?
Paul
2018-04-28 04:26:12 UTC
view on stackexchange narkive permalink

Background

La plupart des flux Internet ne sont pas filtrés. Tous ceux qui ont déjà loué ou configuré un serveur savent que le trafic malveillant provient du monde entier, y compris de l'Union européenne (mais principalement d'autres endroits), dès qu'un serveur est en ligne, ainsi que des mots de passe, des clés et / ou des installations. au pare-feu, le trafic malveillant doit être prêt au préalable.

Scénario

Small Town News USA Inc. (une société fictive) gère un journal et un site Web sur Small Town, USA. Les principaux clients vivent à Small Town, USA. Récemment, leur avocat d'entreprise a suggéré qu'ils devaient débourser plusieurs milliers de dollars pour se préparer à la mise en conformité avec la réglementation européenne GDPR qui affecte les entreprises du monde entier avec les données des citoyens de l'UE. La direction, pensant qu'il serait moins coûteux de filtrer et d'incommoder peut-être 5 à 10 voyageurs et téléspectateurs distants qui accèdent au site Web depuis l'Europe, décide que le moyen le plus simple de gérer la responsabilité du RGPD est de rejeter le trafic Internet des téléspectateurs non américains.

Malheureusement, la technologie couramment disponible pour ce faire implique le reniflage IP. Plus en détail, un serveur Web est désigné comme "pare-feu / proxy inverse Nginx" et prendrait une connexion, examinerait l'adresse IP (informations personnellement identifiables sous GDPR; voir FAQ Qu'est-ce qui constitue des données personnelles? ), puis transférez uniquement les connexions américaines vers un autre serveur contenant le site Web de Small Town News. Mais les connexions "refusées" sont toujours traitées en renvoyant une page Web contenant uniquement: "Désolé, nous ne pouvons pas vous servir à votre emplacement actuel" Les adresses IP et les heures sont enregistrées dans les journaux du serveur Web. En outre, le personnel informatique souhaite que les journaux du serveur Web incluent des adresses IP afin de pouvoir interdire le trafic malveillant. Cela implique le traitement automatisé des données comportementales et le stockage des adresses IP de mauvais comportement dans d'autres fichiers qui mettent à jour les données du pare-feu, qui sont conservées dans une table du système d'exploitation.

Il s'avère que le filtre réservé aux États-Unis est une mesure technologique imparfaite. Il ne filtre pas 100% du trafic des résidents de l'UE. Premièrement, il n'y a pas de mappage parfait des adresses IP aux emplacements. Par exemple, une adresse IP appartenant apparemment à la marine américaine pourrait être le trafic provenant d'un entrepreneur civil résidant dans l'UE à l'heure du déjeuner qui travaille dans une base navale américaine, par exemple Italie. Un visiteur résidant dans l'UE aux États-Unis peut toujours accéder au site Web complet depuis les États-Unis. Un autre résident de l'UE pourrait acheter un service VPN (Virtual Private Network) pour masquer l'emplacement réel de son ordinateur, ce qui pourrait impliquer de transférer son trafic depuis un point aux États-Unis, ce qui permettrait de récupérer le site Web complet de Small Town News parce que le pare-feu de Small Town News a reçu une adresse IP américaine.

Application

Pour ceux qui pensent que c'est alarmiste et inapplicable, lisez peut-être:

Comment l'UE peut infliger des amendes aux entreprises américaines pour avoir enfreint le RGPD, ce qui n'est pas tout à fait certain, mais suggère la possibilité d'une coopération américaine pour le recouvrement des amendes civiles de l'UE.

Peut-être que le repérage de localisation est également illégal ...

L'article "Pourquoi les États-Unis et d'autres entreprises non européennes doivent se conformer au RGPD" sur busineessknowhow.com affirme:

"... identifier des personnes au sein de l'UE et leur refuser l'accès à votre site ou service en fonction de la géolocalisation de leur adresse IP - est en fait spécifiquement interdit par le RGPD. Le RGPD contient une interdiction inst 'profiling', que le RGPD définit comme "toute forme de traitement automatisé de données personnelles consistant en l'utilisation de données personnelles pour évaluer certains aspects personnels relatifs à une personne physique, en particulier pour analyser ou prédire des aspects concernant les performances de cette personne physique au travail, sa situation économique, santé, préférences personnelles, intérêts, fiabilité, comportement, EMPLACEMENT ou mouvements. "

Comme cela ne cite pas des sections spécifiques du règlement de plus de 100 pages, je ne sais pas si c'est correct. Tout cela ressemble à un excellent projet de bien-être pour les avocats, les régulateurs et les professionnels de l'informatique qui prennent le temps de se spécialiser dans ce domaine et mauvais pour l'entrepreneur créatif qui veut simplement mettre quelque chose en ligne.

Question

Small Town News est-il conforme au RGPD dans le cadre de sa politique (malheureuse) de blocage de l'UE?

Ou peuvent-ils seulement devenir conformes en externalisant le filtrage à une autre entreprise, qui peut être le bouc émissaire lors imparfait?

La conformité n'est pas pertinente. L'UE n'a pas la possibilité de légiférer pour quiconque en dehors de l'UE.
Voir aussi: [Cinq échappatoires dans le RGPD] (https://medium.com/mydata/five-loopholes-in-the-gdpr-367443c4248b)
La «mise en application» est là où elle échoue, je pense. Je serais étonné de voir les États-Unis appliquer des frais GDPR à une entreprise américaine qui n'a pas de présence dans l'UE. J'ai vu de nombreux articles disant que cela arrivera, mais j'en doute vraiment.
Trois réponses:
MSalters
2018-04-30 14:19:05 UTC
view on stackexchange narkive permalink

Oui, c'est une option viable. Et non, il n'a pas besoin d'être parfait.

L'utilisation d'un tel filtre est un moyen technique, mais il sert aussi à communiquer que Small Town News n'envisage pas explicitement pour fournir des services aux Européens ou à d'autres résidents de l'UE.

Si un utilisateur choisit d'utiliser un VPN pour visiter les pages Web de Small Town News, il est raisonnable de s'attendre à ce que cela soit comparable à l'achat du journal Small Town News en version imprimée alors qu'il se trouve physiquement aux États-Unis. C'est un principe commun que les tribunaux doivent se prononcer sur la compétence, et les actions d'une partie peuvent prendre en compte cette décision.

Greendrake
2018-04-28 08:53:28 UTC
view on stackexchange narkive permalink

cette mesure technologique ne filtre pas 100% du trafic des résidents de l'UE

En tant que sous-traitant de données personnelles non établi dans l'UE, Small Town News devra s'inquiéter personnes concernées dans l'UE uniquement ( Art. 3 (2)):

Le présent règlement s'applique au traitement des données personnelles sujets qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant non établi dans l'Union

Cela dit, Small Town News n'aura pas à se soucier du RGPD lorsqu'il s'agira de servir les résidents de l'UE qui sont actuellement en dehors de l'UE.

D'autre part, Small Town News devra se soucier du RGPD lorsque quiconque dans l'UE (les résidents ainsi que les touristes américains ou, par exemple, les touristes zimbabwéens) accède au site Web:

En particulier, l'article 3, paragraphe 2, s'applique au traitement des données personnelles de toute personne «dans l'UE». La nationalité ou la résidence de l’individu n’ont aucune importance. Le RGPD protège les données personnelles des citoyens, résidents, touristes et autres personnes visitant l'UE. Tant qu'une personne se trouve dans l'UE, toutes les informations personnelles de cette personne collectées par tout responsable du traitement ou sous-traitant satisfaisant aux exigences de l'article 3, paragraphe 2, sont soumises au RGPD. Lorsque l'article 3 (2) s'applique, les responsables du traitement ou les sous-traitants doivent désigner un représentant basé dans l'UE.

À partir de là, Small Town News a deux options (en plus de se conformer au RGPD dans son intégralité):

  1. Interdire le trafic de l'UE par adresse IP afin que les personnes dans l'UE ne puissent y accéder Comme vous l'avez noté, la cartographie géo IP peut ne pas être précise, donc cela ne fournira pas une protection à 100%. De plus, les citoyens de l'UE pourraient utiliser un VPN / proxy, ce qui n'annulera pas le fait qu'ils sont toujours dans l'UE et que vous devez donc vous conformer au RGPD lors de leur traitement; ou
  2. N'offrez pas de biens ou de services aux personnes dans l'UE et ne surveillez pas leur comportement. En utilisant un TLD .us , proposer des ventes en dollars américains uniquement aux personnes ayant une adresse aux États-Unis uniquement et désactiver toute analyse des utilisateurs pour les adresses IP non américaines devrait suffire.
En ce qui concerne la nomination d'un représentant de l'UE, il existe une interruption pour les processeurs à faible volume. [Art. 27 (2)] (https://gdpr-info.eu/art-27-gdpr/) "L'obligation du ... 27 (1) ... (de désigner un représentant dans l'UE) ne s'applique pas le traitement occasionnel n'inclut pas, à grande échelle, le traitement de catégories particulières de données ... (politique, appartenance syndicale, identité de genre, condamnation pénale, quelques autres).
Lag
2018-06-06 12:28:51 UTC
view on stackexchange narkive permalink

Si Small Town News USA ne sert que des pages Web, il ne doit rien faire.

Si vous ne pouvez pas identifier une personne à partir des adresses IP, les adresses IP ne sont pas des données personnelles

Plus en détail, un serveur Web est désigné comme "pare-feu / nginx-reverse-proxy" et prendrait une connexion, examinerait l'adresse IP (informations personnellement identifiables sous GDPR; voir FAQ Ce qui constitue Données personnelles?)

Cette FAQ ne mentionne pas l'adresse IP et ce n'est pas un site Web officiel de l'UE - bien que certaines pages Web de l'UE soient également trompeuses. Mais d'après le RGPD:

«données personnelles» désigne toute information relative à une personne physique identifiée ou identifiable («personne concernée»); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs propres à l'aspect physique, physiologique, l'identité génétique, mentale, économique, culturelle ou sociale de cette personne physique;

Je ne peux identifier personne à partir de mes seuls journaux nginx - si je n'ai que des journaux nginx, les adresses IP qu'ils contiennent sont pas des "données personnelles". Un nom n'est pas une donnée personnelle si je ne peux pas identifier quelqu'un directement ou indirectement à partir de celui-ci. Par exemple. «John Smith» à lui seul n'est pas une donnée personnelle car il y a beaucoup de John Smith mais «John Smith, 1 Imagined Street, Unrealtown, Nowhereshire» pourrait être une donnée personnelle. Un nom unique pourrait être des données personnelles: Aloysius Reginald Archibald Tarquin Quentin St John Smythe (espérons que cette personne n'existe pas). Pouvez-vous / l'entreprise identifier une personne à partir des données auxquelles vous avez accès? Si vous le pouvez, les données sont des données personnelles.

Si vous êtes toujours inquiet, atténuez / évitez le risque dans vos journaux en définissant le dernier octet des adresses IP IPv4 et les 80 derniers bits d'adresses IPv6 sur des zéros et / ou définissez un calendrier de rétention. Vous n'avez pas besoin de pare-feu ou de filtrage, etc. pour bloquer des personnes dans l'UE.

N'oubliez pas qu'il existe six bases légales pour le traitement des données personnelles. L'un d'eux est que "le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers". La protection de votre entreprise contre le "trafic malveillant" est-elle un intérêt légitime?

Votre opinion sur ce qu'est une information personnelle diffère de celle de la Cour de justice de l'UE. Dans le cas où http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668, la position actuelle de l'EUCJ est que les adresses IP sont des informations personnelles lorsqu'il existe un moyen légal permettant au site d'identifier la personne en utilisant ceci. Les FAI en Europe (et surtout ailleurs) sont tenus par la loi de conserver des enregistrements des adresses IP accordées à leurs clients, et un tribunal peut leur ordonner de divulguer ces informations dans certains cas.
Un nom est une information identifiant directement une personne selon l'article 4 du RGPD que vous avez cité. Que vous vous appeliez John Smith ou autre chose, en tant qu'individu, vous avez les mêmes droits pour que vos informations personnelles soient protégées en vertu du RGPD.
@Tardis, "Les adresses IP sont des informations personnelles lorsqu'il existe un moyen légal pour le site d'identifier la personne qui l'utilise" - Je modifierai ma réponse pour être explicite que si vous pouvez identifier des personnes à partir d'adresses IP, ce sont des données personnelles.
@Tardis, quand je dis "John Smith", laquelle des milliers de personnes en Europe appelées John Smith ai-je identifié?
votre réponse déclare "Je ne peux identifier personne à partir de mes journaux nginx seuls - si je n'ai que des journaux nginx, les adresses IP qu'ils contiennent ne sont pas des" données personnelles ". Les adresses IP sont un moyen indirect d'identifier une personne au sens de l'article 4 du RGPD. Que vous puissiez le faire sur la base des informations immédiatement disponibles ou non n'est pas un critère. Étant donné que le critère actuel de l'EUCJ est de vérifier s'il est légalement possible d'identifier une personne sur la base d'une adresse IP, y compris par une décision de justice, vos déclarations semblent trompeuses.
Le RGPD s'applique à la collecte et au traitement des données personnelles et crée des obligations pour le responsable du traitement et le sous-traitant. Si, en tant que contrôleur de données, vous collectez le nom «John Smith» d'une personne et le traitez, cette personne sera la personne concernée envers laquelle vous aurez des obligations conformément au RGPD. Que le nom de la personne soit commun ou non n'a absolument aucune importance.
@Tardis, Je ne contredit pas la CJCE. Ils disent que s'il existe un moyen légal d'identifier une personne à partir d'une donnée, il s'agit de données personnelles. J'ai dit que s'il n'y avait pas de moyen d'identifier une personne à partir d'une donnée, ce ne sont pas des données personnelles.
Laissez-nous [continuer cette discussion dans le chat] (https://chat.stackexchange.com/rooms/78633/discussion-between-tardis-and-lag).
Dans votre dernier paragraphe, vous citez le règlement de l'art. 6 J'ai allumé. f RGPD, mais vous ne citez pas l'exception, qui peut ne pas être remplie, pour que cela soit légal: «sauf lorsque ces intérêts sont supplantés par les intérêts ou les droits et libertés fondamentaux de la personne concernée [...]». - La nécessité, ainsi que le fait que l'intérêt n'est pas outrepassé, doivent être prouvées par le responsable du traitement.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...