Protection des données : quand l'entreprise est l'unique responsable

Les citoyens sont concernés par la protection de leurs données, les entreprises aussi. La sécurité et la protection des données sont des sujets largement sous-estimés par les utilisateurs des services cloud et leurs employeurs. Certaines de ces sociétés du cloud ne respectent pas les règles de l’éthique et peuvent même s’extraire de la loi européenne assez facilement. Pour faire le point sur ce sujet, j’ai interviewé le meilleur expert français du domaine, Maître Olivier Iteanu, avocat à la cour d’appel de Paris, qui a animé un Webinaire intitulé « la protection des données à l’ère du cloud computing » le jeudi 14 Avril dernier.


Voir la vidéo sur Youtube

Pour regarder cette vidéo, vous devez consentir aux Cookies de notre partenaire Youtube

Ces cookies permettent de partager ou réagir directement sur les réseaux sociaux auxquels vous êtes connectés ou d'intégrer du contenu initialement posté sur ces réseaux sociaux. Ils permettent aussi aux réseaux sociaux d'utiliser vos visites sur nos sites et applications à des fins de personnalisation et de ciblage publicitaire.

L’entreprise responsable de ses données

Si la technologie avance vite, la connaissance et la conscience des utilisateurs et des entreprises en matière de sécurité des données n’est pas toujours au rendez-vous. Les risques encourus sont nombreux, à l’ère du cloud computing et du Shadow IT. Le stockage des données en dehors de l’Union Européenne « est un risque juridique encouru non pas par le prestataire, mais par le client final », en particulier lorsqu’il les confie à un prestataire peu fiable sur les questions de sécurité de la donnée. Selon Olivier Iteanu, ces risques sont parfois pris inconsciemment, « à cause de prestataires qui leur mentent ». Des pratiques peu scrupuleuses qui présentent un danger conséquent pour l’entreprise.

La fracture juridique européenne

Alors que tous les regards se portent sur les Etats-Unis suite au scandale de la NSA, traverser la Manche suffit pour trouver en Irlande, un mode de fonctionnement similaire. Selon Maître Iteanu, « la culture anglo-saxonne n’a pas le même regard sur la vie privée que celui de l’Europe continentale ». Ceci met en évidence une fracture au sein même de l’Union Européenne sur la question de la protection des données.

Eviter des accidents lourds de conséquences

En France, l’exportation de données à caractère personnel en dehors de l’Union Européenne nécessite un accord express de la CNIL. Si cette démarche n’est pas respectée, « la sanction encourue peut s’élever à 5 ans de prison et 300 000 euros d’amende », précise notre expert. Les DSI commencent désormais à prendre conscience des risques juridiques qu’ils prennent en confiant (ou en laissant leurs employés confier) leurs données à des prestataires en marge de la loi. On peut ainsi citer trois types de risques :

  1. le risque juridique, via un contrôle de la CNIL : ce n’est pas le risque le plus lourd, l’autorité réalisant entre 300 et 400 contrôles par an. Des contrôles encore trop peu nombreux à cause d’un manque de moyens ;
     
  2. le risque d’un accident industriel ou d’une cyber-attaque avec des conséquences bien plus lourdes, car dans ce cas l’activité de l’entreprise peut être mise en péril (pertes de données, d’argent, de confiance…) ;
     
  3. le risque d’espionnage industriel : l’acte délictueux est commis « soit par des acteurs privés, soit, plus grave encore, par des États via des services comme la NSA ». Les grandes entreprises européennes doivent ainsi faire preuve d’une précaution extrême dans le stockage de leurs données.

Votre hébergement acheté en France est-il vraiment français ?

Mais il y a encore plus pernicieux : confier ses données à un prestataire français ne garantit pas un hébergement situé à 100 % en France : « certains petits hébergeurs locaux, sans le signaler à leurs clients, ont recours à Amazon en sous-traitance », met en garde Maître Iteanu. L’importance du choix d’un hébergeur français irréprochable est donc central dans la gestion des données d’une entreprise.

Une législation européenne sous influence américaine

Reste encore une question majeure : conscients de l’effort entrepris par l’Europe pour protéger et sécuriser les données de ses entreprises, nous ne pouvons qu’être surpris de voir les parlementaires européens négocier une nouvelle version du Safe Harbor (cadre juridique permettant aux entreprises américaines de se conformer à la directive européenne sur la protection des données personnelles). Oliver Iteanu exprime sa consternation : « c’est incompréhensible, en négociant ce type d’accord, l’Europe donne un avantage concurrentiel aux non-européens ». Des éléments de réponse se situent probablement dans le fonctionnement de l’Union Européenne : la cohabitation de différentes doctrines et modes de vie, la présence de puissants lobbys américains à Bruxelles, ou encore des parlementaires européens qui manquent de vision car trop éloignés des réalités. Cependant, la véritable raison se situe plus certainement dans la politique commerciale entre L’Union Européenne et les Etats-Unis qui regroupent à eux seules près de la moitié du PIB mondial.

Yann

Pour aller plus loin

S’inscrire au webinaire animé par Maître Olivier Iteanu : « La protection des données à l’ère du cloud computing » - Jeudi 14 avril 2016 à 14 h 00 

Le cloud expliqué à votre DSI

Webinathon n° 6 : le programme en détail et s’inscrire 

Yann Gourvennec

Je suis spécialiste en systèmes d'information, marketing de la highTech et Web marketing. Je suis auteur et contributeur de nombreux ouvrages et Directeur Général de Visionary Marketing. A ce titre,  je contribue régulièrement sur ce blog pour le compte d'Orange Business sur les sujets du cloud computing et du stockage dans le cloud.