Andrea Rus, Directeur des Ventes Europe du Sud de Gigya
Le 6 octobre aura été une date importante pour la protection des données personnelles. La Cour de Justice de l’Union européenne a en effet prononcé l’invalidation de la « sphère de sécurité » (le « safe harbor ») en vigueur depuis 15 ans. Dans le contexte des nouvelles pratiques de localisation des données et des préoccupations quant à la sécurité des données personnelles suite aux révélations de l’affaire Snowden, cet arrêt autorise les autorités nationales de protection des données des pays membres de l’Union européenne, à appliquer leurs propres lois et réglementations de protection des données personnelles.
Cette décision de la plus haute cour européenne promet de compliquer les relations commerciales des entreprises américaines avec l’UE et on peut même se demander si l’invalidation du Safe Harbour ne va pas sonner le glas des pratiques de commerce international telles qu’on les connaît ?
Passer d’une règle commune à 28 ?
Instaurés en 2000, les principes du Safe Harbour visent à faciliter le transfert de données numériques entre les entreprises et les réseaux internationaux. Ces accords imposent aux entreprises américaines exerçant des activités dans l’UE, de se conformer aux normes de protection des données personnelles de l’Union, pour pouvoir transférer sur des serveurs aux Etats-Unis, les données de consommateurs basés dans l’UE (comme les activités de navigation sur un site et l’historique des achats). Ainsi, les données d’un Parisien qui met à jour son profil Facebook, peuvent être transférées sur les serveurs de Facebook aux Etats-Unis.
Les questions relatives à la protection de la vie privée occupent le devant de la scène depuis quelques années maintenant. A l’ère post-Snowden, la crainte que le gouvernement américain puisse avoir accès aux données personnelles de consommateurs européens, encourage à adopter des pratiques de localisation des données. La Russie impose déjà que les données d’utilisateurs russes soient stockées dans les limites géographiques du pays, et l’invalidation des accords de Safe Harbour pourrait bien déboucher sur des réglementations comparables de localisation des données des résidents de l’Union européenne.
Comme l’explique la Cour de Justice, il reviendra aux 28 pays membres de l’Union européenne de superviser les conditions de collecte et de gestion des données de leurs citoyens respectifs. Et comme les pays de l’Union européenne ont des approches très variables de la protection de la vie privée, l’invalidation du Safe Harbour pourrait amener chacun à établir ses propres règles et réglementations en la matière.
Le Cloud : Saint Graal de la gestion des données personnelles?
Cette décision pourrait mettre à mal les entreprises qui commercent avec l’étranger. Pourquoi ? Parce que les grandes multinationales vont devoir gérer les données de leurs clients dans les différents pays où elles opèrent et s’accommoder de tout un patchwork de règles et d’interprétations encadrant les conditions de stockage et les bonnes pratiques d’utilisation et de gestion des données personnelles des consommateurs. Cela pourrait les amener à devoir construire et administrer des datacentres sécurisés dans de multiples pays. Or pour les petites entreprises et celles dont l’activité n’est pas technologique, il n’est tout simplement pas envisageable de supporter les coûts prohibitifs d’installation de stockage local et de gestion des données personnelles dans plusieurs pays.
Faire migrer les données vers des fournisseurs de services Cloud nationaux
Mais tout n’est pas nécessairement si négatif. Les entreprises qui font des affaires à l’international et qui vont devoir se conformer à une multitude de nouvelles règles applicables aux données personnelles de leurs clients, peuvent très bien migrer ces données de leurs propres datacentres sur site, vers ceux de fournisseurs de services Cloud qui ont déjà des infrastructures internationales en place, pour la gestion des données personnelles et d’identification des clients. Ainsi, il sera bien plus simple pour ces entreprises de se conformer aux réglementations qui pourraient naître suite à la décision d’invalidation. La technologie Cloud suscite déjà un vif engouement pour ses avantages d’évolutivité, de coûts abordables et de rapidité de mise sur le marché, que la fin du Safe Harbour ne fera qu’accélérer.
En cette ère post-Snowden, la question de la protection de la vie privée est incroyablement sensible et nous n’en sommes probablement qu’aux prémices de la diverstité géographique des lois et réglementations. Les officiels américains et européens sont sûrement déjà en train de renégocier les détails de protection des données personnelles pour aboutir à un Safe Harbour 2 plus favorable. Au final, le camp des consommateurs ne va pas nécessairement gagner au détriment des entreprises, si celles-ci repensent leur approche de la gestion des données de leurs clients et qu’elles envisagent le Cloud.
Cette décision de la plus haute cour européenne promet de compliquer les relations commerciales des entreprises américaines avec l’UE et on peut même se demander si l’invalidation du Safe Harbour ne va pas sonner le glas des pratiques de commerce international telles qu’on les connaît ?
Passer d’une règle commune à 28 ?
Instaurés en 2000, les principes du Safe Harbour visent à faciliter le transfert de données numériques entre les entreprises et les réseaux internationaux. Ces accords imposent aux entreprises américaines exerçant des activités dans l’UE, de se conformer aux normes de protection des données personnelles de l’Union, pour pouvoir transférer sur des serveurs aux Etats-Unis, les données de consommateurs basés dans l’UE (comme les activités de navigation sur un site et l’historique des achats). Ainsi, les données d’un Parisien qui met à jour son profil Facebook, peuvent être transférées sur les serveurs de Facebook aux Etats-Unis.
Les questions relatives à la protection de la vie privée occupent le devant de la scène depuis quelques années maintenant. A l’ère post-Snowden, la crainte que le gouvernement américain puisse avoir accès aux données personnelles de consommateurs européens, encourage à adopter des pratiques de localisation des données. La Russie impose déjà que les données d’utilisateurs russes soient stockées dans les limites géographiques du pays, et l’invalidation des accords de Safe Harbour pourrait bien déboucher sur des réglementations comparables de localisation des données des résidents de l’Union européenne.
Comme l’explique la Cour de Justice, il reviendra aux 28 pays membres de l’Union européenne de superviser les conditions de collecte et de gestion des données de leurs citoyens respectifs. Et comme les pays de l’Union européenne ont des approches très variables de la protection de la vie privée, l’invalidation du Safe Harbour pourrait amener chacun à établir ses propres règles et réglementations en la matière.
Le Cloud : Saint Graal de la gestion des données personnelles?
Cette décision pourrait mettre à mal les entreprises qui commercent avec l’étranger. Pourquoi ? Parce que les grandes multinationales vont devoir gérer les données de leurs clients dans les différents pays où elles opèrent et s’accommoder de tout un patchwork de règles et d’interprétations encadrant les conditions de stockage et les bonnes pratiques d’utilisation et de gestion des données personnelles des consommateurs. Cela pourrait les amener à devoir construire et administrer des datacentres sécurisés dans de multiples pays. Or pour les petites entreprises et celles dont l’activité n’est pas technologique, il n’est tout simplement pas envisageable de supporter les coûts prohibitifs d’installation de stockage local et de gestion des données personnelles dans plusieurs pays.
Faire migrer les données vers des fournisseurs de services Cloud nationaux
Mais tout n’est pas nécessairement si négatif. Les entreprises qui font des affaires à l’international et qui vont devoir se conformer à une multitude de nouvelles règles applicables aux données personnelles de leurs clients, peuvent très bien migrer ces données de leurs propres datacentres sur site, vers ceux de fournisseurs de services Cloud qui ont déjà des infrastructures internationales en place, pour la gestion des données personnelles et d’identification des clients. Ainsi, il sera bien plus simple pour ces entreprises de se conformer aux réglementations qui pourraient naître suite à la décision d’invalidation. La technologie Cloud suscite déjà un vif engouement pour ses avantages d’évolutivité, de coûts abordables et de rapidité de mise sur le marché, que la fin du Safe Harbour ne fera qu’accélérer.
En cette ère post-Snowden, la question de la protection de la vie privée est incroyablement sensible et nous n’en sommes probablement qu’aux prémices de la diverstité géographique des lois et réglementations. Les officiels américains et européens sont sûrement déjà en train de renégocier les détails de protection des données personnelles pour aboutir à un Safe Harbour 2 plus favorable. Au final, le camp des consommateurs ne va pas nécessairement gagner au détriment des entreprises, si celles-ci repensent leur approche de la gestion des données de leurs clients et qu’elles envisagent le Cloud.