RGPD, poids des responsabilités

Bonjour,

Je suis du (très) mauvais côté de la barrière, c'est-à-dire :
- éditeur de logiciel,
- à mon compte (je n'ai pas de juriste pour m'aider),
- travaillant pour un institutionnel,
- sur un logiciel qui traite de données sensibles.

C'est à dire pas du côté de ceux à qui cette loi profite financièrement, c'est à dire principalement les juristes, cyber-experts et ransom-hackers.
Je suis du côté de ceux qui en payent le coût car je dois me mettre en conformité, en intégrant des dizaines de fonctionnalités à un site, et des jours supplémentaires de développement. Je dois payer au prix fort ce surcout non prévu par mon contrat initial.

Si les fondamentaux philosophiques du RGPD me paraissent corrects la redaction de celui-ci me parait trop sujette à interprétation libre et me met hors de moi en termes d'attendus. Je pense que nous avons trouvé en Europe "l'usine à gaz" pour définitivement tuer l'innovation et le développement logiciel.

Je ferme la parenthèse, ce qui me "terrorise" c'est la stupidité de devoir faire la preuve que l'on peut "prévenir toute violation de données". Ce mot "toute" ? Quelqu'un a réfléchi à cela ?

Il y a des millions de lignes de codes dans un système d'exploitation. La somme des logiciels utilisés pour pouvoir mettre à disposition ne serait-ce qu'un site web est terriblement importante. Il n'y a pas un individu sur Terre capable de "tout" maîtriser et de tout savoir. Et pourtant je suis dans l'informatique depuis près de 40 ans. Les failles en générales sont découvertes de manière inattendue, parfois elles restent dormantes des années avant qu'elles soient relevées. Quel est l'âne qui a écrit qu'il fallait "prévenir toute violation de données" ? Quelqu'un qui visiblement ne connait pas le logiciel, ou alors un élistite de la cyber-sécurité. Mais là aussi, c'est se leurrer que de croire une sécurité inviolable.

Je ne développerai pas plus, car devoir demander à l'editeur de logiciel, au concepteur, de devoir faire la preuve que l'ensemble des briques technologiques qu'il met en oeuvre sont "infaillibles" me semble aussi absurde que dire que 1+1=3.
Partant de ce constat "impossible" et qui à mon sens ne laisse la place qu'au gros éditeurs qui ont les moyens de se rapprocher de cette protection "idéale".

Enfin, dans ce contexte compliqué je ne trouve pas une information qui rend à mon sens les choses encore plus anxiogènes : je développe un logiciel dans le cadre d'un contrat. Dans un an mon contrat est clos. Combien de temps vais-je rester responsable des failles ou des problèmes de protection s'il y en a après que je sois parti qui soient découvertes ? Jusqu'à quand s'étend ma responsabilité ?