L’actualité IT est dominée par l’annonce de la fin du safe harbor.
La Cour de Justice de l’Union Européenne, a invalidé cet accord, en mettant en avant des arguments liés à la sécurité.
Mais déjà qu’est ce que le safe harbor?
Le safe harbor était un accord entre l’Union Européenne et les Etats-Unis sur le transfert des données entre les entités d’une entreprise basée aux Etats-Unis et en Europe. Cet accord, entré en vigueur en 2000, reposait sur la présomption d’un niveau de sécurité « adéquat » entre les 2 parties, sans un véritable audit ou un accord strictement normé au niveau technique.
En conséquence, les entreprises américaines ont pu transférer librement les données personnelles entre les datacenters européens et américains.
La décision de la Cour de Justice de l’Union Européenne, rendue le 6 octobre dernier, a invalidé cet accord, en mettant en avant des arguments liés à la sécurité.
Le cadre légal et contractuel reste flou devra être mis à jour
Quels impacts pour les utilisateurs de services?
- Pour ceux qui utilisent des services mis à disposition depuis les Etats-Unis : aucun impact. La disparition du safe-harbor n’a aucun impact sur la fourniture de ce service, car les données sont directement hébergées et traitées aux Etats-Unis.
- Pour ceux qui utilisent des services mis à disposition depuis un Cloud Privé ou Privatisé hébergé en Europe : pas d’impact. De par l’architecture de ce type de cloud, les données restent en Europe et ne sont pas impactées par le safe-harbor.
- Pour ceux qui utilisent des services de Cloud Public hébergés en Europe et aux Etats-Unis : la situation est délicate, car le cadre juridique est à construire et reste flou à l’heure actuelle. C’est pour ces utilisateurs que la disparition du safe harbor aura le plus d’impact. Le cadre légal et contractuel devra être mis à jour pour traiter de la question du transit des données. De même, il est possible que les fournisseurs de service concluent des accords au cas par cas avec les régulateurs nationaux pour obtenir la certification de sécurité nécessaire à l’exploitation du service si le transfert de données vers les Etats-Unis est nécessaire.
Faut-il paniquer?
Non, bien entendu ! Cette décision est une vraie avancée dans la définition d’un cadre juridique clair autour du Cloud Computing. L’offre de service va gagner en lisibilité, notamment d’un point de vue transit des données, et va permettre de clarifier les points délicats hérités des différentes affaires Patriot Act, Prism, ou Wikileaks.
Il s’agit d’une nouvelle opportunité de s’approprier le Cloud Computing, et d’en maitriser les tenants et les aboutissants.