Bonjour,
Je suis du (très) mauvais côté de la barrière, c'est-à-dire :
Je suis du côté de ceux qui en payent le coût car je dois mettre en conformité un site web. Je dois payer au prix fort cela car cela n'était pas prévu dans mon contrat initial. Je dois intégrer des dizaines de fonctionnalités à un site et des jours supplémentaires de développement mais surtout cela crée une véritable inquiétude psychologique.
Si les principes directeurs et philosophiques du RGPD sont louables, la façon dont celui-ci s'est matérialisé, me parait extrêmement sujette à interprétation et me met hors de moi en termes d'exigences et de demandes. Imaginez vous avez une bijouterie, vous vous faites voler, celui qui est responsable aujourd'hui c'est le bijoutier car il aura mal sécurisé son magasin. Je pense que nous avons trouvé en Europe "l'usine à gaz" pour définitivement tuer l'innovation et le développement logiciel.
Je ferme la parenthèse, ce qui me "terrorise" en particulier c'est l'ineptie de devoir faire la preuve que l'on peut "prévenir toute violation de données". Ce mot "toute" ? Quelqu'un a t-il réfléchi à cela ?
Il y a des millions de lignes de codes dans un système d'exploitation. La somme des logiciels utilisés pour pouvoir mettre à disposition ne serait-ce qu'un site web est terriblement importante. Il n'y a pas un individu sur Terre capable de "tout" maîtriser et de tout savoir. Et pourtant je suis dans l'informatique depuis près de 40 ans. Les failles en générales sont découvertes de manière inattendue, parfois elles restent dormantes des années avant qu'elles soient relevées. Quel est l'âne qui a écrit qu'il fallait "prévenir toute violation de données" ? Quelqu'un qui visiblement ne connait pas le logiciel, ou alors un élitiste de la cyber-sécurité. Mais là aussi, c'est se leurrer que de croire une sécurité inviolable.
Je ne développerai pas plus, car devoir demander à l’éditeur de logiciel ou au développeur de devoir faire la preuve que l'ensemble des briques technologiques qu'il met en œuvre sont "infaillibles" me semble aussi absurde que dire que 1+1=3.
Face à ce constat "impossible", en termes de logiciels à vocation "sociétale", cela ne laisse à mon sens de la place qu'au gros éditeurs qui ont les moyens de se rapprocher de cette protection "idéale" et qui sinon peuvent financer des avocats pour se couvrir du risque.
Enfin ma question: il y a dans ce contexte compliqué une information qui me manque, qui rend à mon sens les choses encore plus anxiogènes : je développe un logiciel dans le cadre d'un contrat. Dans un an mon contrat est clos. Combien de temps vais-je rester responsable des failles ou des problèmes de protection s'il y en a après que je sois parti qui soient découvertes ? Jusqu'à quand s'étend ma responsabilité en tant que développeur logiciel ?
Je suis du (très) mauvais côté de la barrière, c'est-à-dire :
- éditeur de logiciel,
- à mon compte (je n'ai pas de juriste pour m'aider),
- travaillant pour un institutionnel,
- sur un logiciel qui traite de données sensibles.
Je suis du côté de ceux qui en payent le coût car je dois mettre en conformité un site web. Je dois payer au prix fort cela car cela n'était pas prévu dans mon contrat initial. Je dois intégrer des dizaines de fonctionnalités à un site et des jours supplémentaires de développement mais surtout cela crée une véritable inquiétude psychologique.
Si les principes directeurs et philosophiques du RGPD sont louables, la façon dont celui-ci s'est matérialisé, me parait extrêmement sujette à interprétation et me met hors de moi en termes d'exigences et de demandes. Imaginez vous avez une bijouterie, vous vous faites voler, celui qui est responsable aujourd'hui c'est le bijoutier car il aura mal sécurisé son magasin. Je pense que nous avons trouvé en Europe "l'usine à gaz" pour définitivement tuer l'innovation et le développement logiciel.
Je ferme la parenthèse, ce qui me "terrorise" en particulier c'est l'ineptie de devoir faire la preuve que l'on peut "prévenir toute violation de données". Ce mot "toute" ? Quelqu'un a t-il réfléchi à cela ?
Il y a des millions de lignes de codes dans un système d'exploitation. La somme des logiciels utilisés pour pouvoir mettre à disposition ne serait-ce qu'un site web est terriblement importante. Il n'y a pas un individu sur Terre capable de "tout" maîtriser et de tout savoir. Et pourtant je suis dans l'informatique depuis près de 40 ans. Les failles en générales sont découvertes de manière inattendue, parfois elles restent dormantes des années avant qu'elles soient relevées. Quel est l'âne qui a écrit qu'il fallait "prévenir toute violation de données" ? Quelqu'un qui visiblement ne connait pas le logiciel, ou alors un élitiste de la cyber-sécurité. Mais là aussi, c'est se leurrer que de croire une sécurité inviolable.
Je ne développerai pas plus, car devoir demander à l’éditeur de logiciel ou au développeur de devoir faire la preuve que l'ensemble des briques technologiques qu'il met en œuvre sont "infaillibles" me semble aussi absurde que dire que 1+1=3.
Face à ce constat "impossible", en termes de logiciels à vocation "sociétale", cela ne laisse à mon sens de la place qu'au gros éditeurs qui ont les moyens de se rapprocher de cette protection "idéale" et qui sinon peuvent financer des avocats pour se couvrir du risque.
Enfin ma question: il y a dans ce contexte compliqué une information qui me manque, qui rend à mon sens les choses encore plus anxiogènes : je développe un logiciel dans le cadre d'un contrat. Dans un an mon contrat est clos. Combien de temps vais-je rester responsable des failles ou des problèmes de protection s'il y en a après que je sois parti qui soient découvertes ? Jusqu'à quand s'étend ma responsabilité en tant que développeur logiciel ?
Dernière édition: