Les entreprises françaises utilisent de plus en plus massivement les solutions SaaS de grands groupes américains, mais qu'en est-il de la protection de leurs données ? Le point sur le Safe Harbor européen et le Patriot Act américain et sur les startups de la French Tech, alternative plus que valable aux géants américains.
Les entreprises privées et publiques françaises se dotent de plus en plus volontiers d'outils digitaux pour gérer leurs activités. D'après le CloudIndex de PAC (décembre 2014) 54% des entreprises françaises utilisent des solutions SaaS (Software as a Service). Les logiciels en cloud fournissent aujourd'hui des services puissants, flexibles et qui s'adaptent vite aux demandes des utilisateurs et aux évolutions technologiques. Ventes, relation client, gestion documentaire, ressources humaines, marketing, gestion financière et administrative.... tous les départements de l'entreprise adoptent progressivement des solutions SaaS. Le SaaS apporte aux entreprises des gains de productivité dans leur gestion interne et des améliorations de service pour leurs clients. L'utilisation de logiciels en cloud est un outil non négligeable dans la compétitivité des entreprises.
Les entreprises françaises utilisent principalement des solutions SaaS américaines
Or qui dit SaaS dit stockage de données sur des serveurs extérieurs à l'entreprise par une entreprise tierce. Les entreprises ont donc un véritable enjeu : trouver un prestataire de confiance qui puisse leur assurer la sécurité et la confidentialité des données qu'elles lui confient. D'autant que "près de 80% des organisations considèrent au moins une application SaaS comme stratégique pour leur business." (source : CloudIndex de PAC, décembre 2014). Par voie de conséquence, les entreprises ont le réflexe de se tourner vers des géants du secteur qui ont déjà fait leurs preuves comme Google, Dropbox, Salesforce ou Microsoft.
La localisation des données : des enjeux mal maîtrisés
Beaucoup d'entreprises françaises qui prennent de nombreuses précautions en interne pour assurer la confidentialité de leurs documents, stockent ainsi des données stratégiques sans aucune crainte sur des serveurs américains ! L’hébergement de données confidentielles et stratégiques sur le territoire américain est une contradiction dont la majorité des entreprises françaises n'ont pas encore pris pleinement conscience. Comme Snowden l’a révélé au grand public en juin 2013, la NSA (National Security Agency) surveille massivement et arbitrairement les conversations des entreprises et des particuliers. Les révélations Wikileaks ont montré que les entreprises françaises opérant sur des secteurs stratégiques ou passant de volumineux contrats internationaux faisaient l’objet de surveillance systématique et de rapports auprès de différents organismes publics américains. Mais malgré le retentissement médiatique des révélations Snowden, le contexte juridique, qui remonte à déjà 15 ans, n’est pas forcément bien compris des dirigeants d’entreprises.
Entretien avec Gilles Rouvier, avocat au Barreau de Paris, associé du cabinet Lawways
Que recouvre précisément la notion de "Safe Harbor" ?
Au cours de l’année 2000, la Commission Européenne et le Département Américain du Commerce ont conclu un accord afin d’encadrer les transferts des données personnelles des citoyens européens vers les Etats-Unis. Un tel accord était nécessaire du fait d’une directive européenne de 1995 (Directive 95/46/CE du Parlement et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) qui prévoit que le transfert de données personnelles de l’Union Européenne vers un pays tiers ne peut avoir lieu que si le pays tiers concerné assure un niveau de protection adéquat à ces données. Des principes de sécurité relatifs à la protection de la vie privée ont donc été négociés entre l’Union Européenne et les Etats-Unis, et annexés à une décision de la Commission Européenne en date du 26 juillet 2000. L’ensemble, qualifié de Safe Harbor (ou « Sphère de Sécurité ») prévoit que les entreprises (plus de 5000 actuellement) qui dans le cadre d’une auto-certification s’engagent à respecter ces principes peuvent légalement recevoir des données personnelles en provenance de l'Union Européenne.
Et le Patriot Act, de quoi s’agit-il?
Un peu plus d’un an après l’adoption du Safe Harbor, survenaient les attentats du 11 septembre 2001 à New York. Et en réaction le Patriot Act était adopté le 26 octobre 2001 par les Etats-Unis. Cette loi crée l’obligation pour les sociétés américaines et leurs filiales ainsi que pour les sociétés non américaines ayant des serveurs localisés aux Etats-Unis, de laisser accéder les services de sécurité américains aux données stockées dans leurs serveurs, y compris celles qui sont stockées en Europe par des sociétés américaines. L’Agence Nationale de la Sécurité Américaine (dont l’acronyme anglais est « NSA ») bénéficie ainsi de l’accès direct aux informations stockées sur les serveurs américains. Le Patriot Act avait vocation à être temporaire mais le 2 juin 2015 le Congrès américain a voté le Freedom Act qui amende et prolonge certaines de ses dispositions jusqu’au 15 décembre 2019.
L’invalidation du Safe Harbor a fait couler beaucoup d’encre
Ce sont ces possibilités excessives offertes aux services de renseignement américains qui ont conduit le 6 octobre 2015 la Cour de Justice de l’Union Européenne à invalider le Safe Harbor. Ce jugement d’invalidation est intervenu dans le cadre d’une action intentée par un citoyen autrichien, Maximilian Schrems, utilisateur de Facebook. Celui-ci avait déposé une plainte auprès de l’autorité Irlandaise de protection des données personnelles, considérant que, suite aux révélations d’Edward Snowden concernant les activités de la NSA, les Etats-Unis n’offraient pas de protection suffisante aux données transférées vers ce pays. L’autorité Irlandaise avait rejeté la plainte, suite à quoi l’affaire avait été portée devant la Haute Cour de justice Irlandaise, puis devant la Cour de justice de l’Union Européenne.
A la suite des révélations d’Edward Snowden, il apparaissait que les exigences relatives à la sécurité nationale, à l’intérêt public des Etats-Unis l’emportaient sur le Safe Harbor et que des entreprises américaines pouvaient être amenées à écarter les règles protectrices du Safe Harbor en cas de conflit avec de telles exigences. Dès lors, les autorités américaines pouvaient accéder aux données personnelles des citoyens européens transférées vers les Etats-Unis et les traiter d’une manière incompatible avec les finalités de leur transfert et au-delà ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale (voir communiqué de presse de la Cour de justice de l'Union Européenne du 6 octobre 2015). Or, en droit de l’Union Européenne, une réglementation n’est pas limitée au « strict nécessaire » si elle autorise de manière généralisée la conservation des données personnelles sans opérer de différentiation, limitation ou exception. En outre, la Cour a relevé que les justiciables ne disposaient pas de voies de recours leur permettant d’accéder à leurs données personnelles et d’obtenir, le cas échéant, leur rectification ou suppression. La Cour a donc invalidé le Safe Harbor.
Il s’agit d’un bouleversement sans précédent dans la gestion d’une partie très importante des flux de données transatlantiques précédemment encadrés par le Safe Harbor qui sont devenus illégaux depuis le 6 octobre 2015. Ces flux ne se sont néanmoins pas arrêtés. Et il est probable que des plaintes individuelles ou collectives de personnes (salariés, consommateurs, etc.) dont les données continuent d’être utilisées et/ou gérées dans ce cadre désormais illégal pourraient rapidement être initiées devant les tribunaux européens. Et, en parallèle, des sanctions pourraient également être prononcées par les autorités nationales de protection des données personnelles, similaires à la CNIL, dans chaque état membre.
Dans ce contexte, la French Tech offre des alternatives
Les entreprises ont donc tout intérêt à réfléchir à deux fois avant d'héberger leurs données sur le sol américain, directement ou par l’intermédiaire d’un sous-traitant. C’est pourquoi, il semble préférable de les faire héberger dans l’Union Européenne, voire en France, par un data center d’une société européenne, à condition toutefois qu’il ne s’agisse pas d’une filiale d’un groupe américain, faute de quoi, le droit US aurait de nouveau vocation à s’appliquer et autoriserait ainsi une atteinte extrêmement préjudiciable à la sécurité et à la confidentialité de données stratégiques des entreprises.
La French Tech regorge de startups dynamiques qui offrent des alternatives compétitives et tout aussi fiables que les géants américain. Outre le bénéfice pour l'entreprise de sécuriser ses données sur le sol français, l'utilisation des solutions françaises contribue au dynamisme économique de la French Tech et à la création d'emplois en France.
A titre d'exemple, nous listons ci-après quelques solutions SaaS françaises déjà massivement utilisées et ayant prouvé leur fiabilité. Celles que nous citons ici répondent à la double sécurité i) d’être éditées par des sociétés françaises et ii) d’héberger leur données en France.
 |
Solution web & mobile pour préparer, d'animer et d'assurer le suivi de réunion (www.wisembly.com) | Créé en 2010, Hébergeur français Oxalide |
 |
CRM collaboratif et mobile (www.sellsy.fr) | Créé en 2009, Hébergeur Telehouse Paris Voltaire |
 |
Plateforme collaborative tout-intégrée pour le travail en équipe et la gestion de projets (www.wimi-teamwork.com) | Créé en 2010, Hébergeur français OVH |
 |
Plateforme collaborative de gestion de projets (www.azendoo.fr) | Créé en 2010, Hébergeur Orange Business Services |
 |
Plateforme d'engagement client en temps réel (www.iadvize.com) | Créé en 2010, Hébergeur français Ikoula |
 |
Application collaborative d'aide à la prise de décision et au suivi de plans d'actions (www.advanseez.com) | Créé en 2011, Hébergeurs français OVH et Ikoula |
Vous connaissez d’autres solutions françaises hébergées en France ?
Faites nous les connaitre en commentaires.
Article rédigé par Sophie Gerlin. Merci à Gilles Rouvier pour sa contribution.
Crédit photo : Shutterstock
