60 secondes pour comprendre : vie et mort du safe harbor
Entrée en vigueur en 1998 (18 ans déjà !) la Directive 95/46/CE sur la protection des données personnelles, interdit le transfert de données personnelles en dehors des États non membres de l’EEE (Union Européenne + Islande + Liechtenstein + Norvege + Suisse) si le niveau de protection qu’ils assurent aux données personnelles est inférieur à celui garanti en Europe.
Europe et Etats-Unis partagent la volonté d’améliorer la protection des données personnelles mais ont une vision différente des choses. Afin de faire la passerelle entre les deux et permettre aux entreprises américaines de se conformer à la Directive européenne, le Département du Commerce des États-Unis (FTC), en accord avec la Commission européenne, a instauré en 2000 un cadre juridique : le Safe Harbor. Les entreprises américaines sont certifiées par la FTC pour une durée de 12 mois.
Toutefois, suite à de nombreuses failles découvertes dans ce dispositif et mettant en lumière le fait que le Safe Harbor ne protégeait pas assez les utilisateurs européens, le Safe Harbor est invalidé en octobre 2015.
Un impact limité
La disparition du Safe Harbor a eu des conséquences…du moins, sur le papier. Dans les faits, les entreprises utilisatrices de services hébergés aux USA n’ont vu aucune différence de traitement : les contrats cadres ont permis de limiter les impacts de ces mesures; quant aux nouveaux signataires, les Etats ont mis à disposition des outils contractuels (comme des accords d’entreprises types (Binding Corporate Rules – BCR) et des clauses contractuelles types) qui ont permis d’encadrer le transfert des données à l’extérieur de l’UE.
Au final, qui a pâti de cette décision ? Ce sont les utilisateurs particuliers qui ont perdu tout encadrement de l’utilisation de leurs données, sauf à arrêter leur utilisation des services concernés (nous pensons tout naturellement aux réseaux sociaux).
Mais pour les entreprises ? L’impact est minime.
A l’heure actuelle, il n’existe aucune raison de croire que le Privacy Shield permettra d’aboutir à une protection des données personnelles plus complète que celle proposée par le Safe Harbor, ni que ce bouclier de papier permettra de poser un cadre juridique de référence global capable d’encadrer les relations entre les entreprises clientes et les fournisseurs de services.
« A l’heure actuelle, il n’existe aucune raison de croire que le Privacy Shield permettra d’aboutir à une protection des données personnelles plus complète »
Cependant, l’émergence des pratiques contractuelles est un excellent signal : il s’agit du meilleur moyen pour les clients de prendre conscience des enjeux du Cloud, surtout en matière de propriété et d’utilisation des données.
La disparition de la “protection” offerte par le Safe Harbor (l’affaire PRISM expose très bien en quoi cette protection était illusoire) a permis aux fournisseurs de mieux comprendre les besoins de leurs clients européens, mais a surtout permis aux entreprises de reprendre connaissance des enjeux du Cloud et, plus généralement, de l’externalisation des services informatiques et par extension de leur données
Vers une responsabilité mieux partagée
Par expérience, on a vu l’influence du cadre européen dans l’usage de services cloud : très limité quand ces derniers sont hébergés aux USA.
PRISM a mis en lumière les efforts du gouvernements américains dans le renseignement, notamment par rapport aux données électroniques (données personnelles comprises).
Est-ce la faute des fournisseurs ? Non !
-
- Microsoft s’oppose systématiquement aux demandes du ministère de la justice américaine d’accéder aux données stockées dans leurs datacenters européens ;
- AWS s’implante en Allemagne, pays renommé pour son approche très protectrice des données personnelles ;
- Google a des Data Centers en Belgique pour inspirer la confiance de leurs clients.
Est-ce la faute de l’UE alors ? Non !
L’Union Européenne doit composer avec des intérêts nationaux et économiques radicalement différents d’un pays à l’autre.
La construction européenne actuelle fait qu’il est quasiment impossible de faire converger les pays membres sur des questions aussi sensibles car relatives à la souveraineté des pays sans déclencher une crise politique. Cela est exacerbé par les lobbys, qui ont un pouvoir d’influence certes limité face à leurs homologues américains, mais qui s’exerce aussi bien à l’échelon européen que national.
« L’Union Européenne doit composer avec des intérêts nationaux et économiques radicalement différents d’un pays à l’autre. »
D’une manière générale, y’a-t-il une faute ? Oui !
-
- Pour ceux qui s’indignent de l’accès à leurs données, la faute leur revient : ne pas anticiper la confidentialité de ses données, cela relève pratiquement de la faute
- Ceux qui s’en fichent (plutôt, mais pas exclusivement, dans le grand public, il n’y a qu’à regarder Facebook) ne peuvent que blâmer leur naïveté.
Le cas PRISM, et le cas Safe Harbor/Privacy Shield, reflètent une chose : le Cloud n’est pas magique, et se prépare comme n’importe quelle externalisation de service.
« Le Cloud n’est pas magique, et se prépare comme n’importe quelle externalisation de service. »
L’identification des responsabilités est au cœur du sujet, tout comme l’identification et la classification des données…ainsi que leur protection.
Un Privacy Shield au final sans importance pour les entreprises
L’existence du Privacy Shield est secondaire pour une entreprise ; il s’agit avant tout d’une opportunité unique de revenir au niveau avec ses fournisseurs.
Il faut refuser de se reposer sur des cadres inadaptés à une activité économique pour au contraire négocier et mettre en place un cadre contractuel cohérent.
« La donnée VOUS appartient où qu’elle soit (et si vous le précisez dans le contrat) »
Il faut refuser le dogmatisme de “la donnée est à moi chez moi” ; la donnée VOUS appartient où qu’elle soit (et si vous le précisez dans le contrat), mais il est de votre devoir de savoir où elle est traitée, dans quelles conditions, et surtout d’en assurer la confidentialité ! L’anonymisation de la donnée est réelle, possible et maintenant abordable financièrement et techniquement. La question de la localisation du traitement de la donnée est caduque si vous en avez assuré la confidentialité.
Il faut au contraire avancer avec ses fournisseurs, et trouver les moyens de coopérer : cartographie des processus, flux de données, classification de la donnée, identification des cadres juridiques applicables, conformité à la réglementation en vigueur, organisation et traitement de la donnée (en interne et en externe), etc.
Il faut enfin travailler ensemble dans l’entreprise : TOUS RESPONSABLES !
Les équipes métiers doivent classifier leurs données, les équipes de la DSI doivent être sollicitées en tant que garant technique de l’existant et des intégrations futures, les fonctions juridiques et achats doivent être impliquées dans le processus de choix.
« Le choix d’une solution Cloud, quelle qu’elle soit, fait appel aux expertises de tous. »