LA PROTECTION DES DONNEES SOUVENT NEGLIGEE ?
Gilles Pecqueron, Business Developer Manager chez Telehouse et Gildas Leroy, Vice-Président EMEA d’EasyVista
Pour nombre de fournisseurs de solutions SaaS, le datacenter est au cœur de la chaîne de valeur. Le choix du site et du prestataire Cloud est donc un choix stratégique qui impacte directement le cœur de business de ces entreprises. Les critères prioritaires observés sont notamment : la sécurité et les niveaux de certification (ex : ISO 27001) ; la connectivité, la performance et les niveaux de disponibilité ; la maturité des services fournis sous forme de serveurs virtualisés ; la stabilité financière du prestataire d’hébergement ou encore la localisation physique des données et la conformité avec la législation sur la protection des données.
Aujourd’hui, les garanties et les niveaux de services offerts par les meilleurs opérateurs du marché permettent aux entreprises et organisations d’héberger sereinement leurs données les plus sensibles dans le Cloud. Toutefois, les questions de conformité avec la législation Européenne sur la protection des données restent souvent négligées, alors qu’elles constituent un risque potentiel juridique et financier majeur pour les entreprises et leurs dirigeants.
La sécurité des données est habituellement abordée sous deux angles principaux : leur sensibilité stratégique (données confidentielles ou sensibles) et leur sécurité physique (corruption des bases de données, capacité à remonter une sauvegarde dans les meilleurs délais, etc.). Or la sécurité des données concerne aussi le respect de la législation européenne sur la protection des données. En tant qu’hébergeur, le datacenter est directement impliqué dans la sécurité de ce patrimoine informationnel. Il doit garantir la disponibilité, l’intégrité ainsi que la confidentialité des données.
Aujourd’hui, les garanties et les niveaux de services offerts par les meilleurs opérateurs du marché permettent aux entreprises et organisations d’héberger sereinement leurs données les plus sensibles dans le Cloud. Toutefois, les questions de conformité avec la législation Européenne sur la protection des données restent souvent négligées, alors qu’elles constituent un risque potentiel juridique et financier majeur pour les entreprises et leurs dirigeants.
La sécurité des données est habituellement abordée sous deux angles principaux : leur sensibilité stratégique (données confidentielles ou sensibles) et leur sécurité physique (corruption des bases de données, capacité à remonter une sauvegarde dans les meilleurs délais, etc.). Or la sécurité des données concerne aussi le respect de la législation européenne sur la protection des données. En tant qu’hébergeur, le datacenter est directement impliqué dans la sécurité de ce patrimoine informationnel. Il doit garantir la disponibilité, l’intégrité ainsi que la confidentialité des données.
GARANTIR LE RESPECT DE LA LEGISLATION SUR LA PROTECTION DES DONNEES
Les affaires récentes contribuent à sensibiliser le marché sur ces questions. Ainsi, l’affaire Snowden remet en lumière la loi « USA Patriot Act » qui confère à la NSA - National Security Agency, organisme gouvernemental de la défense des Etat-Unis - un accès illimité aux données hébergées ou gérées par les acteurs Cloud américains et leurs filiales étrangères, sans que leurs clients en soient informés.
L’usage en Europe de services Cloud qui collectent, stockent, gèrent ou traitent des données contraint le responsable du traitement à se conformer à la législation européenne. Si un fournisseur SaaS est une société américaine, ou filiale d’une société américaine, il est soumis à la législation américaine sur l’accès aux données, notamment la loi « USA Patriot Act », quel que soit le lieu d’hébergement physique des données, en Europe ou ailleurs. La NSA a ainsi le droit d’exiger d’accéder aux données hébergées et le prestataire a l’interdiction d’informer ses clients sur cette requête. Cette obligation légale heurte frontalement la réglementation européenne sur la protection des données. Le client est alors lui-même, souvent à son insu, exposé juridiquement et financièrement car il ne peut garantir qu’il respecte la législation sur la protection des données. Le « Safe Harbour » que font valoir certains fournisseurs Cloud a malheureusement été rendu caduc par la Loi USA Patriot Act (voir Avis d’Expert - Alain Weber, Avocat spécialiste des questions sur la protection des données personnelles).
Dans ce contexte douteux, les entreprises qui font appel à des solutions Cloud de type datacenters ou SaaS recherchent désormais une plus grande transparence vis-à-vis du respect de la législation européenne et de la protection de leurs données, et en particulier des données personnelles qui font l’objet d’une législation toujours plus contraignante en France et en Europe. Afin de se protéger du risque juridique et financier, elles doivent être attentives à plusieurs critères contractuels tels que :
-Le lieu d’hébergement des données, des backups et dispositifs de PRA (Plan de Reprise d’Activité) au sein de l’Union Européenne ;
-La présence exclusive dans la chaîne de services Cloud de sociétés de droit Européens pouvant démontrer qu’elles ne sont pas soumises à la législation américaine ;
-L’encadrement explicite du droit de transfert des données à un tiers, avec obligation d’approbation préalable par le Client ;
-Le respect des clauses préconisées par la CNIL sur la protection des données. Par exemple : « Les Parties s’engagent à collecter et à traiter toute donnée personnelle en conformité avec toute réglementation en vigueur applicable au traitement de ces données, et notamment à la loi n°78-17 du 6 janvier 1978 modifiée. Au regard de cette loi, les Parties sont conjointement responsables du Traitement réalisé au titre du Contrat. ». Cette clause devant être appliquée à tous prestataires intervenant dans le stockage, le traitement et la gestion des données.
Les entreprises et organisations disposent ainsi d’outils contractuels leur permettant de garantir que leurs fournisseurs Cloud ne les exposent pas, à leur insu, juridiquement et financièrement sur la question de la protection des données. Il reste encore un important travail d’éducation et de sensibilisation sur ce sujet sensible sur lequel on déplore souvent un certain manque de transparence…
L’usage en Europe de services Cloud qui collectent, stockent, gèrent ou traitent des données contraint le responsable du traitement à se conformer à la législation européenne. Si un fournisseur SaaS est une société américaine, ou filiale d’une société américaine, il est soumis à la législation américaine sur l’accès aux données, notamment la loi « USA Patriot Act », quel que soit le lieu d’hébergement physique des données, en Europe ou ailleurs. La NSA a ainsi le droit d’exiger d’accéder aux données hébergées et le prestataire a l’interdiction d’informer ses clients sur cette requête. Cette obligation légale heurte frontalement la réglementation européenne sur la protection des données. Le client est alors lui-même, souvent à son insu, exposé juridiquement et financièrement car il ne peut garantir qu’il respecte la législation sur la protection des données. Le « Safe Harbour » que font valoir certains fournisseurs Cloud a malheureusement été rendu caduc par la Loi USA Patriot Act (voir Avis d’Expert - Alain Weber, Avocat spécialiste des questions sur la protection des données personnelles).
Dans ce contexte douteux, les entreprises qui font appel à des solutions Cloud de type datacenters ou SaaS recherchent désormais une plus grande transparence vis-à-vis du respect de la législation européenne et de la protection de leurs données, et en particulier des données personnelles qui font l’objet d’une législation toujours plus contraignante en France et en Europe. Afin de se protéger du risque juridique et financier, elles doivent être attentives à plusieurs critères contractuels tels que :
-Le lieu d’hébergement des données, des backups et dispositifs de PRA (Plan de Reprise d’Activité) au sein de l’Union Européenne ;
-La présence exclusive dans la chaîne de services Cloud de sociétés de droit Européens pouvant démontrer qu’elles ne sont pas soumises à la législation américaine ;
-L’encadrement explicite du droit de transfert des données à un tiers, avec obligation d’approbation préalable par le Client ;
-Le respect des clauses préconisées par la CNIL sur la protection des données. Par exemple : « Les Parties s’engagent à collecter et à traiter toute donnée personnelle en conformité avec toute réglementation en vigueur applicable au traitement de ces données, et notamment à la loi n°78-17 du 6 janvier 1978 modifiée. Au regard de cette loi, les Parties sont conjointement responsables du Traitement réalisé au titre du Contrat. ». Cette clause devant être appliquée à tous prestataires intervenant dans le stockage, le traitement et la gestion des données.
Les entreprises et organisations disposent ainsi d’outils contractuels leur permettant de garantir que leurs fournisseurs Cloud ne les exposent pas, à leur insu, juridiquement et financièrement sur la question de la protection des données. Il reste encore un important travail d’éducation et de sensibilisation sur ce sujet sensible sur lequel on déplore souvent un certain manque de transparence…