Safe Harbor, Privacy Shield, Brexit… Comment suivre la valse réglementaire

Législation : Dans un contexte de négociations tendues sur la protection des données, générateur de normes de plus en plus complexes à appréhender, sur quel référentiel s’appuyer pour ne pas se mettre en défaut vis-à-vis du régulateur et bâtir l’avenir ?

Le couperet est tombé le 6 octobre 2015. Deux ans après les révélations d’Edward Snowden sur les pratiques de surveillance de l’Agence Nationale de Sécurité américaine (NSA), la Cour de Justice européenne met un terme au Safe Harbor. Cet accord entre les États-Unis et l’Union européenne permettait aux entreprises américaines de transférer sur leur sol des données d’entreprises et de citoyens européens, à condition qu’elles respectent un niveau de protection et de confidentialité conforme aux normes européennes.

Pour le remplacer, le Privacy Shield est entré en vigueur en juillet 2016. Le principe général est une fois encore d’inciter les sociétés américaines à respecter les pratiques européennes en termes de « privacy », mêmes lorsque les données traversent l’Atlantique. Ce dernier intègre toutefois de nouvelles dispositions concernant l’accès aux données par l’administration américaine et renforce le pouvoir de contrôle et de sanction de la FTC (Federal Trade Commission, équivalent américain de la DGCCF française).

Cloud de proximité

Cet exemple de revirement réglementaire illustre toute la difficulté pour les entreprises européennes de confier leurs données à des fournisseurs américains. La question du traitement des données à l’extérieur des frontières de l’UE est toujours une préoccupation centrale et un frein majeur à l’adoption de technologies pourtant bénéfiques pour de nombreux professionnels. Et si la présence du fournisseur dans la Privacy Shield List reste pour l’heure une certification de référence pour les entreprises, des incertitudes demeurent quant à sa pérennité. Dès lors, à une époque où les données sont de plus en plus mobiles et hébergées dans le cloud, quelle stratégie adopter ? La réponse tient en un mot : localisation.

C’est en effet un argument de poids pour tout acteur du cloud : la possibilité pour le client de choisir l’emplacement géographique où seront stockées ses données. Outre l’aspect rassurant de savoir ses informations proches de soi, la localisation des données sur le sol européen répond aux obligations de nombreux secteurs (finance, santé, assurance, banque, etc.) dont les données sensibles ne peuvent quitter le territoire de l’UE. La première recommandation lors du déploiement d’une nouvelle solution est donc de vérifier la localisation du datacenter qui hébergera les données. Pour prendre le moins de risque possible vis-à-vis des régulateurs, celui-ci doit être situé chez un voisin européen.

Conforme aujourd’hui et demain

La plupart des fournisseurs ont bien compris cet enjeu aujourd’hui et proposent différentes localisations pour leurs services. C’est le cas par exemple de Box, spécialiste de la gestion de contenus dans le cloud. Avec ses « box zones », l’entreprise américaine offre à ses clients français la liberté d’opter pour un hébergement en Allemagne (Francfort), en Irlande (Dublin) ou en Angleterre (Londres). Ces derniers ont ainsi la garantie que leurs données ne traversent pas l’Atlantique, et ce y compris dans la mise en place d’un plan de reprise d’activité. Le scénario de sauvegarde peut inclure un stockage primaire à Francfort et un site secondaire à Dublin. Les organisations qui travaillent sur des marchés plus éloignés peuvent aussi accéder à des infrastructures au Japon, à Singapour, en Australie ou au Canada. Une possibilité qui, en plus d’offrir aux utilisateurs de faibles temps de latence pour accéder à leurs documents, permet également de prendre en compte les différentes réglementations locales.

Enfin, un autre point important à vérifier est la réversibilité. Pour être prêt à réagir rapidement à une évolution plus ou moins soudaine des réglementations, il convient de préciser avec son fournisseur les conditions de réversibilité dans le contrat de service. Car ce qui était conforme hier peut ne plus l’être demain. Le Brexit, par exemple, pourrait remettre en cause le Privacy Shield dans le Royaume-Uni. Dans un tel cas de figure, votre prestataire doit pouvoir vous accompagner dans la migration de vos données. Faire appel à un partenaire disposant d’infrastructures dans différents pays permettra de faciliter le transfert des informations vers une destination qui correspondra davantage à vos exigences.

Safe Harbor, Privacy Shield, Brexit… Comment suivre la valse réglementaire

Source : L’article << Safe Harbor, Privacy Shield, Brexit… Comment suivre la valse réglementaire >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

rester-informer
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

Par | 2017-06-01T06:11:38+00:00 juin 1st, 2017|Actualité|0 commentaire

Laisser un commentaire