Retour aux articles

Privacy Shield : quel impact sur les stratégies Cloud européennes ?

Catégories : Cloud Computing

security concept

 

Le 8 juillet 2016, les Etats membres de l’Union Européenne ont adopté la dernière version du Privacy Shield, texte qui encadre le transfert des données entre l’Europe et les États-Unis. Quel est son contenu et quel impact aura-t-il pour les entreprises du Vieux Continent ? Analyse.

 

Neuf mois sans cadre légal international ! Depuis l’invalidation du texte précédent, le Safe Harbor, le 6 octobre 2015, par la Cour de Justice de l’Union Européenne (CUJE), toutes les entreprises consommatrices de données personnelles attendaient que Bruxelles finalise et fasse adopter par les États membres un nouveau texte. Sont concernées les entreprises américaines présentes en Europe, bien sûr, mais aussi les entreprises européennes qui peuvent, directement ou via un fournisseur, stocker les données personnelles qu’elles exploitent sur le territoire américain.

 

Ce que prévoit le Privacy Shield

Comme le Safe Harbor, le Privacy Shield repose sur un mécanisme volontaire d’autocertification par les entreprises concernées. Les internautes Européens auront donc la possibilité de bloquer l’utilisation de leurs données et, pour celles jugées sensibles (emploi, santé, etc.), un consentement préalable à leur transfert vers les États-Unis sera exigé. Enfin, les citoyens européens auront toujours le droit de consulter leurs données personnelles détenues par les entreprises américaines et, le cas échéant, d’exiger qu’elles soient corrigées. Rien de neuf ici, donc.

De leur côté, les entreprises américaines pourront conserver les données des Européens indéfiniment. En ce qui concerne les décisions prises automatiquement par des ordinateurs (par exemple le rejet d’une demande de crédit ou un profilage individuel), les États-Unis s’engagent simplement à évaluer l’impact de ces pratiques de façon annuelle, sans plus de précision.

Enfin, le Privacy Shield prévoit une exception de taille : les services de renseignement et de police américains pourront intercepter et exploiter les données personnelles venues d’Europe, notamment dans des affaires de « sécurité nationale » (contre-espionnage, terrorisme, armes de destruction massive, etc.), « d’intérêt public » et de crime organisé. Ils pourront les conserver cinq ans.

Une autre voie

Ce qui ressort du Privacy Shield, et que dénonce le G29, ce groupe de travail composé de la Cnil française et de ses équivalentes européennes, c’est qu’il s’agit là plus d’une liste de promesses, voire de souhaits, que d’un véritable cadre légal et qu’il ne garantit donc en rien la confidentialité des données détenues par les entreprises américaines ou stockées sur le territoire américain.

De fait, nombre d’analystes lui prédisent le même sort que son prédécesseur : l’invalidation pure et simple, à plus ou moins court terme. Ce qui plongerait de nouveau les entreprises dans une dangereuse période d’incertitude.

Comme le souligne Sheila FitzPatrick, Worldwide Legal Data Governance Counsel chez NetApp, une autre voie est éminemment préférable : les Binding Corporate Rules (BCR), ou règles internes d’entreprise. « NetApp ne s’est jamais reposée sur le Safe Harbor et n’adoptera pas non plus le Privacy Shield, détaille l’experte. Avec les BCR, nous avons choisi une voie plus difficile mais aussi plus sûre. C’est ce qu’il se fait de mieux en termes de protection des données ».

 

De l’importance d’un Cloud maîtrisé

En attendant, la seule parade pour les organisations européennes reste donc l’hébergement sur le territoire européen des données personnelles qu’elles collectent. Et encore, en s’assurant que leur hébergeur est bien une société de droit européen, et non une société américaine implantée sur le Vieux Continent…

Pour celles qui en ont les moyens techniques, humains et financiers, un Cloud privé, hébergé dans leur propre Datacenter, reste l’option la plus efficace. Pour les autres, bien choisir son hébergeur Cloud reste plus que jamais une question cruciale.