Tribunes

« LE CONGRÈS AMÉRICAIN VOTE LE CLOUD ACT À DEUX MOIS DE L’ENTRÉE EN APPLICATION DU RGPD »

Contexte d’adoption du Cloud Act

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi votée par le Congrès américain afin de faciliter l’obtention pour l’administration américaine de données stockées ou transitant à l’étranger, via notamment les opérateurs et fournisseurs de services en ligne.

Le CLOUD Act a été joint au projet de loi sur le budget fédéral (le Consolidated Appropriations Act, 2018) et adopté sans examen spécifique (c’est-à-dire directement intégré dans le texte de la loi de finances), avant d’être promulgué le 23 mars 2018.

Le Département de la Justice, dans l’affaire qui l’oppose à Microsoft concernant l’exploitation du contenu d’une boîte email d’un utilisateur en Irlande, a invoqué l’adoption du CLOUD Act pour réquisitionner de fait ces données. Cette décision inédite, qui oblige désormais les entreprises américaines à fournir les données de leurs utilisateurs stockées à l’étranger a reçu un accueil favorable chez Microsoft, comme chez d’autres géants du web, qui se sont tous réjouis de l’avènement d’un tel paradigme législatif.

Le CLOUD Act entre ainsi en contradiction avec les dispositions du RGPD (Règlement UE 2016/679), notamment les articles 44 et suivants et spécialement l’article 48 sur les « Transferts ou divulgations non autorisés par le droit de l’Union » qui dispose que « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international […] ».

Notre position

Dans un contexte grandissant de protection des données personnelles et de la promotion d’un Cloud de Confiance européen, le CLOUD Act marque un retour en arrière et une forme d’ingérence numérique que nul ne peut désormais ignorer.

En effet, le CLOUD Act donne la possibilité à une puissance étrangère, en l’occurrence les Etats-Unis d’Amérique, d’accéder aux données dès lors qu’elles sont hébergées par des Cloud Providers américains, sans que les utilisateurs en soient informés, quand bien même ces données seraient stockées en France ou concerneraient un ressortissant européen, et ce sans passer par les tribunaux.

Cette situation est alarmante et dénoncée par de nombreuses organisations comme Electronic Frontier Foundation, American Civil Liberties Union, Amnesty International et Human Rights Watch6. Elle entraine des risques liés à l’Espionnage industriel, la sécurité nationale, la propriété intellectuelle, la protection des données personnelles et doit donc être connue du grand public et des utilisateurs.

Dans ce cadre, le stockage comme brique essentielle de la maitrise de la chaine de confiance de la donnée ne peut pas être aveuglément laissé à des acteurs soumis à des législations en contradiction avec les lois et valeurs européennes. La solution est simple, se tourner vers les nombreux acteurs offrant des alternatives souveraines, c’est-à-dire non seulement implantées en France, mais aussi et surtout de droit français.

Ces acteurs, cloud providers, éditeurs, conseils, intégrateurs, apportent un état de l’art dans leurs métiers et présentent un très haut niveau d’expertise certifiés par l’ISO 27001:2013, ou par des qualifications en cours auprès de l’ANSSI (SecNumCloud).

 

Servane AUGIER, Directrice du développement OUTSCALE, Administrateur HEXATRUST & Olivier ITEANU, Iteanu Avocats, VP HEXATRUST

 

 

 

 

 

 


stan« Protection des données : un défi majeur pour toutes les entreprises »

Nouvelles règles de confidentialité sur les réseaux sociaux, affaire Edouard Snowden, vol de mots de passe chez LinkedIn, hausse du nombre de plaintes enregistrées par la CNIL… Le traitement de nos données personnelles par des tiers est un sujet régulièrement propulsé au cœur de l’actualité.

Dans ce contexte la sécurité doit être la préoccupation majeure des éditeurs de logiciels et plus globalement de l’ensemble des acteurs du numérique, afin d’éviter les conséquences souvent désastreuses liées au vol de ces données.

A l’heure où le data mining s’impose comme socle de toute prise de décision stratégique, les données dont dispose une entreprise représentent un outil des plus précieux. Lorsqu’elle décide de faire héberger par un tiers, tout ou partie de ses données – dont certaines sensibles et confidentielles -, le choix d’un prestataire lui garantissant, ainsi qu’à ses clients et utilisateurs, un cadre de transparence sur la protection des données est alors capital.

En avril dernier, le Parlement européen a par ailleurs adopté plusieurs textes liés à cette problématique dont le règlement de protection des données qui entrera en vigueur d’ici 2018. Opposable y compris aux entreprises basées hors de l’UE mais qui ciblent des consommateurs européens, le texte détermine le socle minimum de droits et de devoirs applicables au traitement de données personnelles, en particulier sur internet.

Ce règlement intègre des éléments comme l’obligation de « Privacy by design » (protection des données dès la conception) et celle de « Privacy by default » (protection des données par défaut).

Depuis les débuts d’Oodrive, pionner du cloud en France il y a 15 ans, nous avons toujours eu – et nous continuerons à avoir – comme ambition d’offrir à nos clients le plus haut niveau possible de sécurité et de protection de leurs données.

 

Stanislas de Rémur, CEO Oodrive

Sponsor Platin OODRIVE

 

 

 


adam levine« Le Data Center, forteresse de la donnée dans un monde hyper-connecté»

Qui ne fait pas face à l’infobésité ? Nous consommons toujours plus de services numériques et nous divulguons nos informations personnelles et bancaires pour y accéder. Pourtant, nous voulons garder le contrôle de notre identité numérique.

Plus qu’un sujet d’actualité, la protection des données pour toute entreprise est devenue un enjeu crucial pour la satisfaction de ses clients consommateurs et utilisateurs.

Les flux virtuels de data transitant dans les clouds sont au final toujours stockés physiquement dans un data center.

Ainsi, un opérateur européen de data centers comme DATA4 doit être ambassadeur de la réglementation européenne dans le but d’accompagner ses clients et tout particulièrement les cloud providers à devenir « Europe-friendly » : Dans quel data center être hébergé ? Sur quel territoire européen ? Selon quels critères ? La criticité des données, les contraintes réglementaires, la proximité la plus proche avec les utilisateurs finaux et/ou la psychologie des citoyens-consommateurs ?

L’opérateur de data centers doit aussi être moteur dans sa politique de certifications pour mieux conseiller et accompagner la conformité des solutions cloud à la réglementation du pays, voire aux spécificités de chaque secteur (ex. la Santé).

Aujourd’hui, arrivé à l’âge adulte, le cloud devient une pièce essentielle des systèmes d’informations où sont mixés clouds et plateformes physiques dédiées. Aussi, le data center doit être hyper-connecté au monde extérieur pour que les entreprises aient un accès direct, privé et sécurisé maîtrisé aux clouds providers. »

 

Adam Levine, CCO, DATA4 Group

Sponsor-Platin-DATA4