Petit retour en arrière
La majorité des services Cloud sont édités par des sociétés américaines, et sont hébergés dans des datacenters américains. Dans le cadre des relations entre l’Union Européenne et les Etats-Unis, le Safe Harbor est signé en 1998 : par cet accord, les entreprises américaines sont considérées comme disposant du même niveau de garantie de confidentialité des données que leurs homologues européennes, ce qui les rend aptes à proposer leurs services en Europe pour la gestion des données personnelles.
Suite aux scandales Snowden, puis PRISM : le monde découvre avec surprise que toutes les données hébergées par des sociétés américaines peuvent être consultées par les services judiciaires américains.
Le Safe Harbor est invalidé en octobre 2015 suite à une plainte de Max Schrems (on le connait Max, il est libre – c’est le juriste autrichien qui a attaqué Facebook), et son remplaçant, le Privacy Shield, a commencé à émerger.
La Commission Européenne a accordé 7 jours aux Etats membres de l’Union Européenne pour se prononcer sur l’accord de 150 pages qui entrera en vigueur le 1er août prochain.
Qu’est ce qui change?
Tout change.
Donc rien ne change.
Des notions vagues, non définies, qui ne garantissent rien
Le mécanisme de certification de respect des conditions du Privacy Shield ? Aussi poreux que celui du Safe Harbor, puisqu’il s’agit du même !
Les entreprises s’auto-certifient auprès du Department of Commerce des Etats-Unis.
Ce texte n’accorde aucune réelle protection supplémentaire aux utilisateurs finaux européens : les services de sécurité américains disposent de la possibilité de surveiller les données européennes lorsque la “sécurité nationale” ou “l’intérêt public” est concerné.
Des notions vagues, non définies, qui ne garantissent rien, d’autant plus que la surveillance de masse est toujours possible quand le ciblage individuel ne l’est pas.
Il faut noter l’apparition d’un médiateur pour les citoyens soucieux de l’utilisation de leurs données, dans le cas où ils constateraient un manquement aux obligations de l’accord.
Un médiateur américain. Du département du Commerce.
…
Tout est-il noir?
Les obligations pesant sur les entreprises américaines sont, théoriquement, plus lourdes.
Pas exactement : chaque année, un point de contrôle est prévu sur l’application de l’accord et ses répercutions, ce qui doit permettre d’amender l’accord si nécessaire.
Les obligations sur les services gouvernementaux américains? On vous laisse juger, d’autant que si les Etats-Unis se sont engagés à restreindre les possibilités de surveillance de masse, il n’existe aucune trace écrite de cet engagement…
Les obligations pesant sur les entreprises américaines sont, théoriquement, plus lourdes.
A noter aussi, un certain nombre de nouvelles obligations pour les entreprises américaines :
- Notification de l’accès aux données personnelles de l’utilisateur.
- Obligation d’obtenir le consentement explicite de l’utilisateur pour la transmission des données à un tiers ou l’utilisation de ces données à un but autre que celui originellement identifié.
- Garantie d’un niveau de sécurité adéquat (ce n’est pas une blague, il n’y a aucune définition sérieuse).
- Limitation de la collecte de données à “ce qui est pertinent et nécessaire” (traduit du texte – “relevant and necessary”).
- Accès par les utilisateurs à la modification de leurs données.
- Responsabilité de l’hébergeur en cas de transfert de données à un tiers.
- Obligation de répondre et de résoudre aux plaintes individuelles en 45jours, de façon libre, indépendante et rapide (“free, independent and expedited resolution”).
Ces ajouts sont les bienvenus, et il s’agit très clairement d’un premier pas dans la bonne direction.
Mais cela reste très insatisfaisant.
Cet accord n’est pas équitable, et penche trop en faveur des entreprises américaines.
Il reflète malheureusement la faiblesse de l’écosystème européen, et de son manque de champions. Les alternatives? Il est peut être trop tard.
Le manque de vision politique est affligeant, et il concerne l’ensemble des acteurs : les politiques, mais aussi les organisations “représentatives” qui, loin de se dresser pour faire émerger des alternatives, sont au contraire les premiers soutiens d’un accord désastreux.
L’écosystème du Cloud Computing en Europe, s’acharne à faire émerger la confiance dans cette technologie.
Oui, il s’agit d’un désastre : l’écosystème du Cloud Computing en Europe, et en France en particulier, s’acharne à faire émerger la confiance dans cette technologie.
La confiance pour mettre cette technologie comme socle de la transformation de l’entreprise.
De combattre la paranoïa suite aux révélations de Snowden et de PRISM.
De mettre en avant les bénéfices business pour des pépites qui ne sont pas fondamentalement technologiques, mais qui suivent les actualités.
Le Privacy Shield s’efforce de briser cette dynamique, et de ré-imposer la défiance.
Max Schrems a déjà annoncé qu’il porterait la question de la conformité de cet accord avec le droit européen devant la Cour de Justice de l’Union Européenne.
Prochaine étape :
Le 25 juillet prochain. Les autorités de protection des données personnelles des différents pays européens doivent se prononcer sur l’accord.