Vos données ne peuvent plus accoster sereinement aux États-Unis, mais elles peuvent continuer à voler en toute sécurité… 

Normes et Réglementation
Vos données ne peuvent plus accoster sereinement aux États-Unis, mais elles peuvent continuer à voler en toute sécurité… 

En Octobre 1998, l'Europe impose une meilleure protection des données personnelles via la Directive 95/46/CE sur la protection des données personnelles. Cette directive interdit le transfert des données personnelles en dehors des États non membres de l’Union Européenne ou vers des Etats qui  protégeraient ces données avec un niveau de sécurité inférieur à celui exigé par l’Union Européenne.

De facto, cela posa un souci pour l'hébergement des données aux États-Unis. En Juillet 2000, pour réagir et apporter de la confiance, est alors mis en place le principe du "Safe Harbor" vis à vis des organismes gouvernementaux  et sociétés américaines. 

Le principe est extrêmement simple. Tout organisme américain désireux de traiter des données personnelles européennes peut se faire certifier via le mécanisme dit du "safe harbor" et est immédiatement inscrit sur la liste permettant d'apporter les garanties nécessaires pour le transfert des données. 

Le safe Habor garantit les éléments suivants à toute personne physique :

  • Accès : les résidents d'Union Européenne peuvent accéder aux informations les concernant
  • Information : les résidents d'Union Européenne sont informés que leurs données sont utilisées et de l'usage qui en est fait
  • Opposition : les résidents d'Union Européenne peuvent refuser que les données soient transférées à des tiers ou utilisées dans un autre but que le traitement visé
  • Transfert à un tiers : il ne peut être effectué que si ce dernier présente le même niveau de respect des principes de protection des données
  • Sécurité : toutes les mesures nécessaires de protection sur les données sont prises

Ces principes sont assez similaires à ceux que la CNIL édicte dans la Loi Informatique et Libertés.

Dans le cas où la société ou l'organisme respecte ces principes, il peut se faire certifier et être ainsi publié sur la liste ad-hoc.

Cela permet donc l'utilisation des Clouds, et autres services d’hébergement américains pour les services des utilisateurs résidents en Europe, en respect avec la réglementation. 

Le 6 Octobre 2015, la Cour de Justice de l'Union Européenne a invalidé le principe sous le prétexte que les lois et règlements américains n'apportent pas assez de garantie sur la protection des données

Immédiatement nous pouvons nous poser plusieurs questions.

Que va-t-il advenir de mes données actuellement déposées chez des sociétés du Safe Harbor ?

Pour l'instant, il ne se passera rien. 

Vos données personnelles, qu’elles soient de type données dans les réseaux sociaux ou comptes clients dans des sociétés importantes de e-commerce, ne sont ni moins bien ni mieux protégées qu’hier contre le vol. La législation américaine, imposant des éléments de protection, n’a pas évolué.

Ces sociétés ne vont donc pas effacer vos données, ou soudainement les vendre à un tiers malveillant et faire n'importe quoi avec.

Comment vais-je m'en sortir ? Suis-je hors-la-loi parce que ma société utilise un Cloud américain ?

Pas de panique,  vous n'allez pas voir débarquer les "shérifs" de la CNIL pour vous mettre les menottes et vous emmener directement en prison.  La CNIL a réagi sur le sujet, indiquant  qu'elle va rapidement se réunir avec les autres membres du G29 pour analyser les conséquences de l'annulation de cet accord.

Sur quelles solutions puis-je m’appuyer pour respecter correctement la loi maintenant, et surtout protéger correctement les données personnelles de mes clients ?

Encore une fois, pas de panique. Pour l'instant l'invalidation de cet accord ne vous met pas en défaut réel vis-à-vis de la législation. Il est nécessaire que la G29 se prononce "officiellement" sur le sujet et que les directives soient transcrites par la CNIL pour que vous sachiez quoi faire exactement. Néanmoins, plusieurs points peuvent d'ores et déjà être abordés :

  • Quoi que vous fassiez, il est nécessaire de respecter la loi informatique et liberté en France (information, accès, rectification des données et droit à l'oubli). Normalement, vous êtes déjà sensibilisé à ces exigences.
  • Se rapprocher de votre fournisseur hébergeur de services / de Cloud pour obtenir de sa part ses engagements contractuels (en dehors du Safe Habor) sur la protection des données que vous déposez chez lui : 

1. Systèmes de sécurité
2. Processus de surveillance
3. Processus d'alerte en cas de faille menaçant la confidentialité ou l’intégrité des données hébergées

  • Mettre en place un mécanisme de sécurité "applicatif" sur les données personnelles sensibles ; différentes solutions peuvent être envisagées : chiffrement des données, anonymisation des données, tokenisation, …
  • Mettre en place un système de surveillance continu de vos applications et données. Advens a mis en place un programme complet pour vous accompagner sur ce sujet : l'Application Security Assurance. Celui-ci permet notamment de :

1. Surveiller sur la toile des fuites éventuelles des données de votre société (ASA Discover)
2. Surveiller et protéger des applications (ASA Protect)
3. Effectuer des audits réguliers du fournisseur (ASA Audit)

En tout état de cause, il ne faut pas paniquer tout de suite. Comme l'a dit Guillaume Poupard lors de la plénière d'ouverture des assises, « le Cloud est une solution aux problèmes de sécurité - particulièrement pour les PME. C'est le sens de l'histoire. »

Maintenant il faut quand même agir et effectuer ces contrôles pour être plus serein en attendant les clarifications.

Sébastien Gioria, Consultant Sénior en Sécurité des Systèmes d'Informations, Advens