RGPD et les fournisseurs d’infrastructures de Cloud : il est bon d’être français

RGPD


RGPD

Il reste moins de quatre mois pour se mettre en conformité avec le règlement européen sur la protection des données, dit RGPD, (ou GDPR en anglais). C’est en effet le 25 mai prochain que ce texte majeur entrera en application. Cette nouvelle réglementation vise à harmoniser les législations des différents pays membres de l’Union européenne et à renforcer la protection des données de leurs citoyens au regard de la multiplication des échanges internationaux, de l’utilisation croissante des réseaux sociaux et des plateformes, ainsi que de la mercantilisation des données, considérées comme le nouvel « or noir ».

Le RGPD repose sur une logique de responsabilisation des entreprises, avec l’obligation de mettre en œuvre des mesures appropriées de protection des données par une approche par les risques, mais aussi l’obligation de démontrer cette conformité. Application systématique des principes de Privacy by design et de Privacy by default, réalisation d’analyses d’impact de la vie privée, tenue d’un registre des activités de traitements, notification des violations de données…Ces quelques exemples de nouvelles exigences témoignent de la nécessité de mettre en place dès à présent un programme de mise en conformité !


Mise en conformité

Or, si certaines sociétés en ont démarré un, d’autres ne l’ont pas fait, soit parce qu’elles connaissent peu ce texte ou n’en ont pas compris les termes et les enjeux, soit parce qu’elles ont le sentiment d’être déjà en conformité car elles le sont avec la réglementation française en vigueur. Or, le RGPD représente une évolution très importante par rapport à la directive européenne du 24 octobre 1995, aussi une bonne préparation est-elle nécessaire pour que la mise en conformité se passe le mieux possible.

Outre la mise en oeuvre de mesures techniques et organisationnelles en interne, les entreprises vont aussi devoir se poser la question de la mise en conformité des services fournis par leurs prestataires. Elles doivent notamment s’interroger sur les processus de stockage et de traitement des données par les fournisseurs d’infrastructures de Cloud computing, en particulier la question de la localisation des données et de leur transfert.


Transfert de données et code de conduite

Avec le RGPD, les transferts de données hors UE, y compris en ce qui concerne l’hébergement, restent possibles à condition d’être encadrés, par exemple par une décision d’adéquation d’un pays tiers, la signature des clauses contractuelles types ou encore l’adhésion à un code de conduite approuvé.

Dans ce contexte, en octobre 2016, plusieurs fournisseurs de solutions IaaS en Europe, dont Ikoula, se sont regroupés en association, le CISPE (Cloud Infrastructure Services Providers in Europe), et ont lancé le premier code de conduite relatif à la protection des données. Ils se sont ainsi engagés à offrir à leurs clients la possibilité de traiter et de stocker leurs données exclusivement en Europe. Ce code déjà en vigueur depuis plusieurs mois entend défendre de bonnes pratiques dans ce domaine et ce faisant, est conforme au RGPD tout en le complétant avec des recommandations propres à l’industrie spécifique de l’hébergement informatique. Ikoula, qui a toujours défendu de bonnes pratiques dans le stockage et la protection des données depuis près de 20 ans maintenant, est un membre déclaré en conformité avec ce code de conduite.


L'importance du lieu où sont stockées les données personnelles...

Cela étant dit, à l’heure où le secteur numérique est dominé par les géants américains, confier l’hébergement de ses données à un prestataire déclaré conforme, mais aussi dont les Datacenter et les équipes sont situés sur le territoire national, est la meilleure garantie pour les entreprises françaises d’une réelle protection de leurs données.

Depuis juin 2013 et la révélation par Edward Snowden de l’existence du programme de surveillance américain PRISM, l’actualité est riche en ce qui concerne le stockage des données des citoyens européens par des fournisseurs IaaS américains. La Cour suprême des Etats-Unis a actuellement sur son bureau le dossier judiciaire opposant Microsoft aux services de renseignement américains, concernant des données personnelles stockées en Irlande… Le Parlement américain vient de reconduire pour cinq ans la loi FISAA (« Foreign Intelligence Surveillance Act ») qui autorise la surveillance des données des citoyens non américains par les services de renseignements US… Quant à l’accord Privacy Shield signé en 2016 entre la Commission européenne et les Etats-Unis pour « sécuriser » les transferts de données personnelles, il fait l’objet de nombreuses critiques, y compris des autorités européennes de protection des données, et est par ailleurs sous le coup de deux recours en justice… On le voit bien, faire héberger ses données auprès d’un prestataire de services d’infrastructures Cloud chez « l’oncle Sam » peut créer pour les entreprises françaises à la fois des risques en termes de protection et de sécurité des données et une incertitude juridique. Recourir à un prestataire installé dans un autre pays non membre de l’UE, ou installé en France mais dont le centre support ou le centre de supervision est localisé dans l’un de ces pays, peut aussi poser problème. Par exemple, le Canada ou la Nouvelle Zélande ont bien été reconnus par la Commission européenne comme des pays offrant un niveau de protection adéquat des données, mais ils appartiennent au groupe des « Five Eyes », cinq pays reliés entre eux par un traité prévoyant la coopération entre les différents services de renseignements quant à la collecte de données télécoms et numériques.

Aussi, avant de choisir un fournisseur de services IaaS, toute entreprise souhaitant faire héberger ses données devrait se demander où elles sont stockées et se poser un certain nombre d’autres questions.


...et des autres services proposés par le prestataire

Le centre de support client est-il basé en Europe ? Les données qu’il collecte et traite dans le cadre de ses missions ne risquent-elles pas à un moment ou un autre d’être transférées en-dehors de l’UE, surtout dans le cadre de sous-traitance de second rang décidée par un fournisseur de services non européen ? Le centre de supervision est-il localisé en Europe et ses équipes sont-elles toutes installées sur notre continent ? L’utilisation de systèmes propriétaires pour la gestion des infrastructures ne risque-t-elle pas de donner lieu à des transferts de données hors UE ? A contrario, l’utilisation de l’Open Source pour gérer les infrastructures ne permet-elle pas de maitriser les échanges entre les infrastructures et les centres de supervision des éditeurs ?

La localisation en France des Datacenter, dont Ikoula est propriétaire, garantit aux clients la confidentialité et la sécurité de leurs données, mais aussi la simplicité, les entreprises étant plus à même de constater par des visites sur place, dans quelles conditions réelles leurs données seront stockées. La localisation en France des équipes de support clients et des centres de supervision des infrastructures permet elle aussi une meilleure protection des données. De même, l’utilisation de l’Open Source pour gérer les infrastructures permet de maitriser les échanges entre ces infrastructures et les centres de supervision des éditeurs.

Data centers et équipes en France, Open Source, autant de choix faits par la société Ikoula, initiateur du « Cloud Gaulois », pour être au plus près des exigences du nouveau règlement européen tout en garantissant une innovation, une simplicité et une satisfaction client au cœur de ses solutions.

RGPD | Protection des données | Ikoula

Ajouter un commentaire