En France, le cloud computing a fait une percée importante depuis quelques années. Selon une étude CloudIndex menée par Pierre Audoin Consultants (PAC), un tiers des entreprises ou établissements publics déclarent aujourd’hui recourir à des services de cloud computing.
Les principales motivations affichées par ces entreprises sont l’augmentation de la flexibilité et la réduction des coûts. À l’inverse, le principal obstacle reste la crainte liée à la sécurité et notamment à la localisation des données.
Le cloud computing : comment ça marche ?
Qu’est-ce que le cloud computing ?
Le cloud computing permet un accès omniprésent à un ensemble de ressources informatiques comme des applications ou des espaces de stockage.
Contrairement à ce que son nom laisse entendre, le cloud n’est pas une entité nébuleuse et immatérielle : les données déposées sur le cloud sont stockées physiquement dans des Datacenter, et gérées par des entreprises tierces.
Une entreprise française qui utilise les services d’entreprises américaines comme Dropbox ou Google drive verra ainsi ses données stockées au Etats-Unis, du moins en partie. Cela signifie que ces données seront soumises aux standards de protection américains.
Or ces standards ne sont pas les mêmes que ceux garantis au sein de l’Union Européenne.
Quelle est la réglementation européenne en matière de protection des données personnelles ?
En Europe, il existe une réglementation qui garantit un niveau élevé et uniforme de protection des données. Toute personne bénéficie par exemple d’un droit d’accès et de rectification de ses données personnelles ainsi que du droit de s’opposer au traitement de ses données.
En principe, il est interdit de transférer des données à caractère personnel hors de l’UE, à moins que le pays destinataire n’assure un degré de protection suffisant.
Plusieurs outils permettent de garantir ce degré de protection :
Les Binding Corporate Rules (BCR)
Il s’agit d’un code de conduite définissant la politique en matière de transfert de données personnelles depuis l’Union Européenne vers un pays tiers, au sein d’une même entreprise ou d’un même groupe. Les BCR doivent être validées par la Commission Nationale de l’Informatique et des Libertés (CNIL) qui évalue leur contenu et s’assure qu’elles offrent un niveau de protection suffisant.
Les clauses contractuelles types
Ce sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.
La Commission Européenne peut également passer des accords avec certains Etats, fixant un cadre qui assure un degré suffisant de protection des données personnelles. C’est ce qui a été fait avec le « Safe Harbour », suivi du « Privacy Shield » pour les Etats-Unis.
Du « Safe Harbour » au « Privacy Shield »
L’invalidation du Safe Harbour
Le Safe Harbour est un accord négocié en 2001 entre les autorités américaines et la Commission européenne établissant un certain nombre de principes de protection des données personnelles.
Les entreprises américaines devaient y adhérer pour pouvoir recevoir des données personnelles provenant de l’Union Européenne.
Cet accord a cependant été invalidé par la Cour de Justice de l’Union européenne (CJUE) dans un jugement du 6 octobre 2015.
La CJUE avait été saisie d’une plainte de Maximilian Schrems. Ce citoyen autrichien estimait que suites aux révélations d’Edward Snowden concernant la surveillance de masse pratiquée par la NSA depuis l’adoption du Patriot Act en 2001, les Etats-Unis ne pouvaient être considérées comme offrant un degré de protection suffisant des données personnelles.
Suite à l’annulation du Safe Harbor, la Commission Européenne s’est donc empressée d’adopter un nouvel accord avec les Etats-Unis : Le Privacy Shield.
L’adoption du Privacy Shield
Le Privacy Shield est entré en vigueur le 1er août 2016. Comme avec le Safe Harbour, les entreprises américaines qui souhaitent héberger des données provenant de l’UE doivent être inscrites sur un registre tenu par l’administration américaine.
Outre les différentes garanties de fond, le Privacy Shield prévoit également la création d’un médiateur américain auprès duquel les plaintes européennes pourraient être portées.
Concrètement, qu’est-ce que ça change pour les entreprises ?
Si vous êtes une entreprise établie en France et que vous voulez transférer vos données aux USA, vous devez aujourd’hui effectuer une déclaration classique à la CNIL.
Parmi la liste des garanties encadrant le transfert vous choisirez « Privacy Shield », après avoir vérifié que l’entreprise en question est bien enregistrée auprès de l’administration américaine.
Le Privacy Shield ne garantit cependant pas une sécurité juridique optimale.
En effet, il évince ce qui était le cœur de l’arrêt de la CJUE invalidant le Safe Harbour : la surveillance de masse via la collecte de données des utilisateurs. Sa conformité aux exigences européennes est déjà remise en cause par certains (notamment par les CNIL européennes et par Maximilien Schrems). Il n’est donc pas exclu qu’il soit à son tour annulé par la CJUE.
Pour anticiper une telle annulation, il est toujours possible de recourir aux BCR et aux clauses types, dont l’utilisation n’a pas été remise en cause par le Privacy Shield!
La protection des données est également un enjeu majeur pour votre image de marque et votre croissance. Une étude réalisée par le CSA en janvier 2014 montre en effet que 81% des français se disent préoccupés par la protection de leurs données personnelles. Pour renforcer la confiance de vos clients, pensez à rédiger une charte des données personnelles !
Une question ? Laissez votre commentaire