Maddyness

Safe Harbor / Patriot Act : des risques mal maîtrisés en matière de protection des données ?

Comments
Partager :
Up
Partie précédente
1 —
Partie suivante
Down
Maddyness
Up
Menu
Partie 1
Down
Business

Safe Harbor / Patriot Act : des risques mal maîtrisés en matière de protection des données ?

Pepper Pepper Pepper
207 - trending  |  
Comments
Par MBAMCI - 10 décembre 2015 / 00H00 - mis à jour le 22 mars 2018

Les entreprises françaises utilisent de plus en plus massivement les solutions SaaS de grands groupes américains, mais qu’en est-il de la protection de leurs données ? Le point sur le Safe Harbor européen et le Patriot Act américain et sur les startups de la French Tech, alternative plus que valable aux géants américains.


Les entreprises privées et publiques françaises se dotent de plus en plus volontiers d’outils digitaux pour gérer leurs activités. D’après le CloudIndex de PAC (décembre 2014) 54% des entreprises françaises utilisent des solutions SaaS (Software as a Service). Les logiciels en cloud fournissent aujourd’hui des services puissants, flexibles et qui s’adaptent vite aux demandes des utilisateurs et aux évolutions technologiques. Ventes, relation client, gestion documentaire, ressources humaines, marketing, gestion financière et administrative…. tous les départements de l’entreprise adoptent progressivement des solutions SaaS. Le SaaS apporte aux entreprises des gains de productivité dans leur gestion interne et des améliorations de service pour leurs clients. L’utilisation de logiciels en cloud est un outil non négligeable dans la compétitivité des entreprises.

Les entreprises françaises utilisent principalement des solutions SaaS américaines

Or qui dit SaaS dit stockage de données sur des serveurs extérieurs à l’entreprise par une entreprise tierce. Les entreprises ont donc un véritable enjeu : trouver un prestataire de confiance qui puisse leur assurer la sécurité et la confidentialité des données qu’elles lui confient. D’autant que « près de 80% des organisations considèrent au moins une application SaaS comme stratégique pour leur business. » (source : CloudIndex de PAC, décembre 2014). Par voie de conséquence, les entreprises ont le réflexe de se tourner vers des géants du secteur qui ont déjà fait leurs preuves comme Google, Dropbox, Salesforce ou Microsoft.

La localisation des données : des enjeux mal maîtrisés

Beaucoup d’entreprises françaises qui prennent de nombreuses précautions en interne pour assurer la confidentialité de leurs documents, stockent ainsi des données stratégiques sans aucune crainte sur des serveurs américains ! L’hébergement de données confidentielles et stratégiques sur le territoire américain est une contradiction dont la majorité des entreprises françaises n’ont pas encore pris pleinement conscience. Comme Snowden l’a révélé au grand public en juin 2013, la NSA (National Security Agency) surveille massivement et arbitrairement les conversations des entreprises et des particuliers. Les révélations Wikileaks ont montré que les entreprises françaises opérant sur des secteurs stratégiques ou passant de volumineux contrats internationaux faisaient l’objet de surveillance systématique et de rapports auprès de différents organismes publics américains. Mais malgré le retentissement médiatique des révélations Snowden,  le contexte juridique, qui remonte à déjà 15 ans, n’est pas forcément bien compris des dirigeants d’entreprises.

[quote]

Entretien avec Gilles Rouvier, avocat au Barreau de Paris, associé du cabinet Lawways

Que recouvre précisément la notion de « Safe Harbor » ?

Au cours de l’année 2000, la Commission Européenne et le Département Américain du Commerce ont conclu un accord afin d’encadrer les transferts des données personnelles des citoyens européens vers les Etats-Unis. Un tel accord était nécessaire du fait d’une directive européenne de 1995 (Directive 95/46/CE du Parlement et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) qui prévoit que le transfert de données personnelles de l’Union Européenne vers un pays tiers ne peut avoir lieu que si le pays tiers concerné assure un niveau de protection adéquat à ces données. Des principes de sécurité relatifs à la protection de la vie privée ont donc été négociés entre l’Union Européenne et les Etats-Unis, et annexés à une décision de la Commission Européenne en date du 26 juillet 2000. L’ensemble, qualifié de Safe Harbor (ou « Sphère de Sécurité ») prévoit que les entreprises (plus de 5000 actuellement) qui dans le cadre d’une auto-certification s’engagent à respecter ces principes peuvent légalement recevoir des données personnelles en provenance de l’Union Européenne.

Et le Patriot Act, de quoi s’agit-il?

Un peu plus d’un an après l’adoption du Safe Harbor, survenaient les attentats du 11 septembre 2001 à New York. Et en réaction le Patriot Act était adopté le 26 octobre 2001 par les Etats-Unis. Cette loi crée l’obligation pour les sociétés américaines et leurs filiales ainsi que pour les sociétés non américaines ayant des serveurs localisés aux Etats-Unis, de laisser accéder les services de sécurité américains aux données stockées dans leurs serveurs, y compris celles qui sont stockées en Europe par des sociétés américaines. L’Agence Nationale de la Sécurité Américaine (dont l’acronyme anglais est « NSA ») bénéficie ainsi de l’accès direct aux informations stockées sur les serveurs américains. Le Patriot Act avait vocation à être temporaire mais le 2 juin 2015 le Congrès américain a voté le Freedom Act qui amende et prolonge certaines de ses dispositions jusqu’au 15 décembre 2019.

L’invalidation du Safe Harbor a fait couler beaucoup d’encre

Ce sont ces possibilités excessives offertes aux services de renseignement américains qui ont conduit le 6 octobre 2015 la Cour de Justice de l’Union Européenne à invalider le Safe Harbor. Ce jugement d’invalidation est intervenu dans le cadre d’une action intentée par un citoyen autrichien, Maximilian Schrems, utilisateur de Facebook. Celui-ci avait déposé une plainte auprès de l’autorité Irlandaise de protection des données personnelles, considérant que, suite aux révélations d’Edward Snowden concernant les activités de la NSA, les Etats-Unis n’offraient pas de protection suffisante aux données transférées vers ce pays. L’autorité Irlandaise avait rejeté la plainte, suite à quoi l’affaire avait été portée devant la Haute Cour de justice Irlandaise, puis devant la Cour de justice de l’Union Européenne.

A la suite des révélations d’Edward Snowden, il apparaissait que les exigences relatives à la sécurité nationale, à l’intérêt public des Etats-Unis l’emportaient sur le Safe Harbor et que des entreprises américaines pouvaient être amenées à écarter les règles protectrices du Safe Harbor en cas de conflit avec de telles exigences. Dès lors, les autorités américaines pouvaient accéder aux données personnelles des citoyens européens transférées vers les Etats-Unis et les traiter d’une manière incompatible avec les finalités de leur transfert et au-delà ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale (voir communiqué de presse de la Cour de justice de l’Union Européenne du 6 octobre 2015). Or, en droit de l’Union Européenne, une réglementation n’est pas limitée au « strict nécessaire » si elle autorise de manière généralisée la conservation des données personnelles sans opérer de différentiation, limitation ou exception. En outre, la Cour a relevé que les justiciables ne disposaient pas de voies de recours leur permettant d’accéder à leurs données personnelles et d’obtenir, le cas échéant, leur rectification ou suppression. La Cour a donc invalidé le Safe Harbor.

Il s’agit d’un bouleversement sans précédent dans la gestion d’une partie très importante des flux de données transatlantiques précédemment encadrés par le Safe Harbor qui sont devenus illégaux depuis le 6 octobre 2015. Ces flux ne se sont néanmoins pas arrêtés. Et il est probable que des plaintes individuelles ou collectives de personnes (salariés, consommateurs, etc.) dont les données continuent d’être utilisées et/ou gérées dans ce cadre désormais illégal pourraient rapidement être initiées devant les tribunaux européens. Et, en parallèle, des sanctions pourraient également être prononcées par les autorités nationales de protection des données personnelles, similaires à la CNIL, dans chaque état membre. [/quote]

Dans ce contexte, la French Tech offre des alternatives

Les entreprises ont donc tout intérêt à réfléchir à deux fois avant d’héberger leurs données sur le sol américain, directement ou par l’intermédiaire d’un sous-traitant. C’est pourquoi, il semble préférable de les faire héberger dans l’Union Européenne, voire en France, par un data center d’une société européenne, à condition toutefois qu’il ne s’agisse pas d’une filiale d’un groupe américain, faute de quoi, le droit US aurait de nouveau vocation à s’appliquer et autoriserait ainsi une atteinte extrêmement préjudiciable à la sécurité et à la confidentialité de données stratégiques des entreprises.

La French Tech regorge de startups dynamiques qui offrent des alternatives compétitives et tout aussi fiables que les géants américain. Outre le bénéfice pour l’entreprise de sécuriser ses données sur le sol français, l’utilisation des solutions françaises contribue au dynamisme économique de la French Tech et à la création d’emplois en France.

A titre d’exemple, nous listons ci-après quelques solutions SaaS françaises déjà massivement utilisées et ayant prouvé leur fiabilité. Celles que nous citons ici répondent à la double sécurité  i) d’être éditées par des sociétés françaises et ii) d’héberger leur données en France.

wisemblySolution web & mobile pour préparer, d’animer et d’assurer le suivi de réunion (www.wisembly.com)Créé en 2010,
Hébergeur français Oxalide
sellsyCRM collaboratif et mobile (www.sellsy.fr)Créé en 2009,
Hébergeur Telehouse Paris Voltaire
wimiPlateforme collaborative tout-intégrée pour le travail en équipe et la gestion de projets (www.wimi-teamwork.com)Créé en 2010, Hébergeur français OVH
azendooPlateforme collaborative de gestion de projets (www.azendoo.fr)Créé en 2010,
Hébergeur Orange Business Services
iadvizePlateforme d’engagement client en temps réel (www.iadvize.com)Créé en 2010,
Hébergeur français Ikoula
advanseezApplication collaborative d’aide à la prise de décision et au suivi de plans d’actions (www.advanseez.com)Créé en 2011,
Hébergeurs français OVH et Ikoula

Vous connaissez d’autres solutions françaises hébergées en France ?

Faites nous les connaitre en commentaires.

Article rédigé par Sophie Gerlin. Merci à Gilles Rouvier pour sa contribution.
Crédit photo : Shutterstock
Par

MBAMCI

10 décembre 2015 / 00H00
mis à jour le 22 mars 2018
Articles les plus lus du moment

Entrepreneur, j’ai essayé de me lever à 5h tous les matins

Entrepreneurs
Par Tristan Laffontas, MoiChef - 09H00dimanche 08 septembre 2019
Next

Les 5 erreurs que commettent les entrepreneurs français

Entrepreneurs
Par Antoine Guo - 08H04vendredi 13 septembre 2019
Next

Shine dévoile sa grille de salaires

Business
Par Mathilde Callède - 08H02jeudi 05 septembre 2019
Next
Business
Menu
Entrepreneurs
Menu
Finance
Menu
Innovation
Menu
Technologies
Menu
MaddyShop
MaddyShop
Agenda
Agenda
MaddyEvent
MaddyEvent
MaddyJobs
MaddyJobs
MaddyStudio
MaddyStudio
Search
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Articles les plus consultés
Les guides
Entreprises Structures d’accompagnement MaddyBasics
S'abonner à notre newsletter
À propos
Mentions Légales
Search
Nos services
Les catégories
Maddynews
Hmm... Il y a visiblement eu un soucis :(
Maddyness

Comme vous le savez, Maddyness est à la pointe de l'innovation.
Malheureusement il semble que votre navigateur ne le soit pas encore...

Pour une bonne expérience de navigation
(et être au top de la modernité) pensez à passer sur :
Chrome
Chrome
Safari
Safari
Firefox
Firefox
Edge
Edge