Applications Cloud et données
De nombreuses structures utilisent les services d'entreprises américaines (Dropbox, Google, Microsoft, Mailchimp, ...) et, à ce titre, y font transiter leurs données ou celles de leurs clients.
Jusqu'en octobre 2015, l'accord Safe Harbor régissait le cadre permettant à une entreprise américaine de certifier qu'elle respectait la législation pour le transfert des données personnelles de l'Espace Économique Européen vers les États-Unis.
Suite à l'invalidation de cet accord par la Cour de Justice de l'Union Européenne, c'est l'EU-US Privacy Shield qui a été officiellement adopté en 2016.
En parallèle, le parlement européen a adopté en 2016 le Réglement Général sur la Protection des Données (RGPD), nouveau texte de référence en matière de protection des données à caractère personnel, applicable dès 2018.
A ce double titre, les entreprises exerçant des activités outre-Atlantique sont tenues d'appliquer ces textes dans le cadre des données exportées depuis l'Europe vers les États-Unis.
L'étude 2016 de NetSkope a montré que la majorité des applications dans le Cloud, utilisées par les entreprises, ne sont pas conformes au futur cadre législatif, en particulier sur la protection des données à caractère personnel.
Les applications ont été évaluées sur des critères tels que la localisation géographiques, la conservation, la confidentialité, la propriété et la protection des données.
Trois questions à se poser
Où sont stockées mes données ?
Avec les applications en mode Cloud, la question de la localisation géographique des données est posée, et la réponse n'est pas simple quand on y intègre les questions techniques de virtualisation, de sauvegardes et de réplication pour se rapprocher "géographiquement" des utilisateurs. Seule une analyse technique et contractuelle peut apporter une réponse exhaustive.
Qui a accès à mes données ?
L'analyse détaillée montre souvent de nombreuses failles de sécurité ou d'organisation qui permettent à des personnes non-autorisées d'accéder, malgré tout, à des données d'un certain niveau de confidentialité.
Que signifie "transfert de données" ?
Tout dépend des services/applications concernées, mais on peut considérer qu'une copie pour réplication dans un DataCenter américain ou la simple consultation d'un fichier, stocké dans l'UE, par un utilisateur situé aux États-Unis sont considérés comme des transferts de données.
Besoin d'un CIL / DPD
Dans le cadre de ces nouvelles réglementations, le Correspondant Informatique et Libertés (CIL) va évoluer vers le Délégué à la Protection des Données (DPD).
Et ce dernier a du boulot sur la planche !
En effet, la plupart des petites structures sont actuellement hors la loi en utilisant massivement des applications d'éditeurs hors UE, qui manipulent des données personnelles de leurs clients (Gmail, Office365, Dropbox...) et dont les contrats ne respectent pas les points énoncés par le RGPD.
La France, en avance sur d'autres pays européens, a déjà intégré dans sa réglementation un certain nombre de points à travers la loi pour une République Numérique, avec par exemple un « droit de récupération de l’ensemble des données ».
Mais à partir du 25 mai 2018, le RGPD sera applicable en France, avec notamment :
- La responsabilité des traitements à travers le DPD
- L’exigence de transparence sur la source des données traitées
- Le « droit à l’oubli » sur demande et lorsque les données ne seront plus nécessaires au traitement
- Le « droit à la portabilité » des données entre plateformes
- Des sanctions jusqu'à 20.000.000 € ou 4% du C.A mondial (10.000.000 € ou 2% du CA mondial en cas de défaut de désignation d’un DPD)
Que faire ?
A partir de ces éléments, quelle démarche adopter pour les structures ?
1. Nommer un Délégué à la Protection des Données, en interne ou externalisé, avec la possibilité de mutualisation entre plusieurs structures dans certains cas de figure
2. Sensibiliser l'organisation à la question de la protection des données à travers une charte d’utilisation des outils informatiques et une politique de sécurité (PSSI)
3. Analyser les contrats ou conditions d'utilisation des services Cloud utilisés de manière à mesurer les non-conformités avec le RGPD et les corriger
Aucun commentaire:
Enregistrer un commentaire