Patriot Act, Freedom Act, Cloud Act… Les textes législatifs votés successivement ces dernières années aux Etats-unis inquiètent les entreprises européennes quant à la protection des données. A raison ? A l’heure du déploiement massif du numérique, tout dépend alors des solutions mises en place par les organisations. Décider de confier ses données, les plus sensibles et confidentielles, à un prestataire américain ou européen peut tout changer.
Lorsque l’on aborde les questions liées aux données personnelles, Etats-Unis et Union européenne (UE) ont des visions qui leurs sont propres. Les révélations sur la façon dont Facebook a permis à Cambridge Analytica d’accéder aux données de 87 millions d’utilisateurs ont mis une fois de plus ces différences en exergue. Alors que l’Union européenne renforce les obligations qui pèsent sur les entreprises et le pouvoir de sanction des autorités, la législation américaine ne semble pas toujours adaptée pour assurer un niveau de sécurité adéquat aux données.
Une protection renforcée pour les données des Européens
Quel est le risque que les données sensibles des grandes sociétés cotées comme des PME se retrouvent à la disposition des autorités américaines ? Sur le Vieux contient, le Règlement général sur la protection des données (RGPD) a récemment mis tous les Etats membres sur un même pied d’égalité. Une nouvelle ère en matière de protection des données et de respect de la vie privée a vu le jour.
Le RGPD est le nouveau cadre concernant le traitement et la circulation des données à caractère personnel. La collecte et le traitement des données par les entreprises européennes sont désormais très réglementées. Mais le texte ne s’applique pas uniquement aux entreprises européennes. En effet, toute organisation étrangère traitant des données concernant des citoyens européens est soumise au RGPD.
USA : une législation qui inquiète
Côté américain, la tendance n’est pas la même. Après le Patriot Act en 2001, puis le Freedom Act en 2015, le gouvernement a promulgué le Cloud Act (Clarifying Lawful Overseas Use of Data Act) en mars 2018. Une décision qui a une nouvelle fois fait grincer des dents de l’autre côté de l’Atlantique.
Le Patriot Act a octroyé de très larges pouvoirs aux agences de renseignements. La section 215 a particulièrement retenu l’attention. Cet article leur permettait en effet d’obtenir de la part d’un tribunal secret (FISA) un mandat obligeant les opérateurs de téléphonie à fournir l’intégralité des métadonnées téléphoniques de leurs clients américains.
En juin 2015, le Congrès américain a souhaité faire passer une nouvelle loi. Le Freedom Act devait mettre un terme à la collecte massive de données par la NSA (agence nationale de sécurité) et son programme d’écoutes téléphoniques dévoilé par Edward Snowden. Mais cette loi préserve pourtant la capacité des services de renseignement à obtenir les métadonnées stockées chez les opérateurs téléphoniques, en faisant des demandes au cas par cas.
Saisie des données stockées à l’étranger en toute légalité
Une nouvelle étape a été franchie en matière de surveillance en mars 2018 avec la promulgation du Cloud Act. Depuis le 23 mars, ce texte rend légale la saisie de tout courrier électronique ou autres données numériques stockées sur des serveurs américains, y compris à l’étranger. Les grands acteurs locaux du Cloud et leurs filiales doivent s’y conformer. Tout comme les entreprises étrangères qui opèrent sur le territoire américain. « Exit donc la souveraineté juridique des autres pays à raison du lieu de stockage des données », note le cabinet d’avocat August Debouzy.
Faire le bon choix pour ses données
Pour une entreprise qui souhaite s’équiper d’une solution hautement sécurisée pour gérer ses données, la question du prestataire est essentielle. Ce dernier, lorsqu’il est européen, avec des infrastructures installées localement, doit se conformer aux règles européennes. Cela inclut depuis récemment le RGPD. Il ne peut pas traiter les données de ses clients comme bon lui semble. Depuis l’entrée en vigueur du texte, les responsables de traitement et les sous-traitants peuvent transférer des données hors de l’UE, mais à certaines conditions. Ils doivent assurer un niveau de protection des données suffisant et approprié. Ils doivent encadrer ces transferts en utilisant les différents outils juridiques définis au chapitre V du RGPD.
En faisant appel à des prestataires de cloud américains, les entreprises européennes sont confrontées aux risques liés à la législation en vigueur. Les lois américaines comme Cloud Act constituent un risque pour les données des entreprises européennes.
Préserver la souveraineté numérique européenne
« Au-delà des enjeux réglementaires, économiques et sécuritaires avec la LPM et le RGPD, la cybersécurité et le Cloud de confiance représentent un enjeu sociétal. Il faut s’interroger sur la protection des données que nous voulons offrir à nos citoyens, consommateurs et à nos entreprises, ainsi que le rôle que nous voulons y jouer », a expliqué Jean-Noël Galzain, président d’Hexatrust dans une tribune intitulée « Préserver la souveraineté numérique européenne ».
« La France, et plus généralement l’Europe, doivent maîtriser « le signal » numérique et ne plus être intégralement dépendantes des Etats-Unis ou de la Chine, les principaux bénéficiaires des flux de données », a-t-il ajouté. « La nature de ces enjeux nécessite de pouvoir choisir des solutions de confiance et souveraines qui soient certifiées et validées par l’ANSSI ».
Oodrive propose aux professionnels des solutions de partage, de sauvegarde, et de signature électronique répondant aux certifications françaises et internationales les plus exigeantes en termes de sécurité. Pour satisfaire aux besoins de souveraineté et de confidentialité, et conformément aux réglementations en vigueur, les données des clients d’Oodrive peuvent être hébergées en France, en Europe ou en Asie. Leur sécurité est garantie par les certifications ISO 27001:2013, RGS***, Cloud Confidence et France Cybersecurity.