La crise liée au COVID-19 a généré une mutation rapide et obligatoire de l’activité professionnelle. Le grand gagnant de la crise sanitaire reste et restera certainement le télétravail.
Si cette évolution faisait d’ores et déjà de plus en plus partie des nouvelles tendances de comportement au travail, nous sommes aujourd’hui dans une accélération brutale de celle-ci.
C’est également le temps de la digitalisation inévitable de nos processus. Ces deux évolutions font naître de nouvelles questions au sujet de la protection des données.
La course à la dématérialisation nécessaire aux plans de continuité d’activité peut mener à des choix de solutions informatiques dont la confidentialité peut être mise à mal.
Pour quelles raisons ? En mars 2018, le président Donald Trump promulgua une loi, le Cloud Act, ayant des répercussions bien au-delà des Etats-Unis, sur la confidentialité de données personnelles hébergées par les entreprises.
L’Union Européenne, de son côté, a un son de cloche différent quant à la protection des données régie par le Règlement Général de Protection des Données (RGPD) entré en vigueur en mai 2018.
Cette différence d’approche impacte fortement la gestion de vos données sensibles et vos choix pendant cette période particulière et c’est la raison pour laquelle nous vous fournissons éléments de réponse et conseils.
Cloud Act et RGPD : deux notions primordiales à comprendre
Cloud Act : l’objectif de cette loi américaine
Pour débuter ce décryptage du sujet, il est nécessaire de faire la lumière sur un à priori auxquels il est facile de céder.
Cloud Act est une abréviation de « Clarifying Lawful Overseas Use of Data » pour définir une loi signée par l’administration Trump et adoptée par le congrès américain.
Le cloud privé SecNumCloud
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Cette législation n’est pas, malgré son nom sujet à confusion, dédiée uniquement aux acteurs du cloud. Son objectif est d’installer un cadre légal permettant, en cas d’enquête des forces de l’ordre américaines d’accéder aux données informatiques des entreprises localisées aux Etats-Unis ou à l’étranger.
Ces entreprises technologiques hébergent les données personnelles de leurs clients sur des serveurs internes ou appartenant ou à des acteurs du cloud.
La législation ouvre la voie à des accords bilatéraux entre deux Etats pouvant donc pérenniser ce partage de données à chaque enquête venant des autorités américaines.
Cette nouvelle loi apparaît, du point de vue de beaucoup d’acteurs du web comme un danger pour la sécurité globale des données d’entreprises et celle de leurs clients.
Les législations françaises et européennes entrent d’ailleurs en confrontation avec cette loi traversant les frontières.
RGPD, texte de référence sur la protection de données
Soucieuse de fournir des services et un parcours sur le web sécurisés à ses citoyens, l’Union Européenne a tenté d’offrir une protection de qualité aux internautes et une réglementation pour les professionnels.
Mis en place dans toute l’Union en 2018, le texte du RGPD a pour but de renforcer la protection et la confidentialité des données.
Il offre, entre autres, un droit à l’effacement des données personnelles sur demande de l’individu ayant rempli un formulaire.
Des garanties sont également offertes sous la forme d’une transparence accrue des acteurs enregistrant les données.
Ceux-ci s’engagent à prévenir leurs clients d’un danger de fuite de leurs données, qu’il s’agisse d’un cas de cyberattaque ou autre.
En définitive, il s’agit de donner plus de contrôle aux internautes sur les informations personnelles cédées aux acteurs des nouvelles technologies.
Si les impacts du RGPD peuvent paraître assez accessibles en terme de compréhension, les thématiques soulevées par le Cloud Act peuvent sembler plus obscures.
Ainsi, selon une étude de IONOS auprès de 500 décideurs informatiques (1), 24% d’entre eux n’ont pas bien conscience de la portée de cette réglementation, c’est pourquoi, il nous faut aborder cette thématique tortueuse.
Les impacts sur vos choix de solutions cloud ou de partenaires
Il s’agit ici de faire la lumière sur le choix d’une solution informatique soumise au Cloud Act et de comprendre ce qui change au contact de l’Union Européenne et du RGPD.
La crise sanitaire a généré un besoin d’outils digitaux dont l’utilité ne paraissait pas aussi primordiale qu’elle ne l’est aujourd’hui. Les produits les plus utiles pendant cette période particulière favorisant le télétravail sont ceux permettant, entre autre, la collaboration en ligne, l’envoi de fichiers lourds, le partage de document sur des espaces de travail… etc. Ce sont précisément avec ces outils que sont utilisées ou échangées les données sensibles, d’où la nécessité de porter particulièrement attention aux impacts du Cloud Act et RGPD sur la confidentialité de vos outils.
Analyse de cas : les effets du Cloud Act
Les entreprises américaines sur leur territoire d’origine ou à l’étranger sont soumises au Cloud Act. Dans le cas d’une demande des autorités fédérales pour un partage de données, nous devons discerner deux cas.
Admettons que l’entreprise technologique X ait recours à une infrastructure d’un acteur Y américain fournisseur de services cloud pour héberger son application.
- Si le fournisseur Y peut, grâce à ses droits d’administrateur, avoir facilement accès aux données, il peut fournir les données demandées aux services américains.
- Dans le cas où, l’entreprise X a le contrôle unique de l’application et des données hébergées, elle peut s’opposer à la demande des autorités fédérales américaines en ayant recours à la justice.
Dans les deux cas, le cryptage des données offre à la société X une protection supplémentaire car le Cloud Act n’aborde jamais cette éventualité et ne fait aucune mention des clés de cryptage.
Le RGPD, quant à lui, encourage fortement au chiffrement des données afn de prouver que les mesures de sécurité adéquates sont bien en place.
Le Cloud Act au contact avec le RGPD : quels effets sur la protection de vos données sensibles ?
Dans le cas où les autorités américaines émettraient une demande de données à une entreprise européenne et que celle-ci est soumise et respecte le RGPD, que se passe-t-il ?
La collaboration sécurisée
Partagez efficacement vos documents sensibles dans un environnement de confiance.
Le RGPD interdisant la fuite de données en dehors de l’Union Européenne, la confidentialité des données est maintenue.
Le Cloud Act se heurte donc à la philosophie derrière la création du RGPD ayant pour but de laisser à l’individu le contrôle de ses données face aux grandes puissances du web.
Dans la mesure où les services fournis par Google, Facebook ou Microsoft sont déjà utilisés à grande échelle aussi bien dans les sphères personnelles que professionnelles, on imagine mal un désintérêt soudain pour ces solutions américaines.
La dépendance à ces services ne peut être inversée que sur le long terme via une volonté commune d’installer une souveraineté globale des données.
Faisons donc le point sur les effets de ce conflit entre RGPD et Cloud Act et des répercussions sur vos choix de solutions informatiques au cours de cette période inédite.
Un accord entre les Etats-Unis et l’Union pourrait subvenir mais la situation n’est pas sujette à évoluer rapidement.
Le respect des directives du RGPD afin de ne pas mettre en péril la confidentialité des données est indispensable.
Vos choix de partenaires pour la gestion des données sensibles gagnent à s’axer vers les solutions européennes afin de ne pas être soumis aux demandes de données de l’étranger.
Il est aussi recommandé de garder la main sur les informations en les cryptant efficacement et de bien sûr disposer des clés de cryptage ou d’en laisser la responsabilité à des organisations telles qu’Oodrive, localisées en France avec des serveurs hébergés sur le territoire, respectant le RGPD.
Enfin, dans le cas d’une collaboration avec un partenaire de droit américain, il est important de gérer intelligemment l’administration des plateformes ou de l’internaliser.
Au sortir de la crise sanitaire, alors que l’activité va reprendre progressivement, la sélection des produits du web et de vos partenaires doit donc s’effectuer en tenant compte du rapport entre la législation européenne et américaine.
La confidentialité de vos données et de celles de vos clients ainsi que le contrôle que vous en avez en dépend.