Protection des données de cloud dans l’UE : sortir de la servitude

Dans un article récent, j’ai parlé de l’influente Directive sur la protection des données de 1995 de l’Union européenne, et de ses mises à jour dans le domaine de la confidentialité qui prendront bientôt effet. Cet été, l’Article 29 Working Group, qui est un organisme consultatif pour la DPD, a publié un ensemble de règles qui clarifient la structure réglementaire s’appliquant aux fournisseurs de cloud. Tandis que les États-Unis travaillent encore à leur réglementation sur la confidentialité des consommateurs, cette récente réglementation de l’UE place la barre assez haut pour la sécurité des données des consommateurs : les entreprises de l’UE ne peuvent pas se débarrasser des droits de confidentialité élémentaires en stockant les données personnelles de leurs clients dans le cloud.

Dans les termes de la DPD, le Working Group considère les fournisseurs de cloud comme des « sous-traitants de données ». Une fois établie cette désignation, le reste du cadre existant de la DPD se met naturellement en place. Et les obligations de la DPD liées aux protections de sécurité, à l’exactitude et aux limites de la rétention des données restent donc effectives.

Une entreprise (responsable du traitement des données dans le jargon de la DPD) qui cherche un fournisseur de cloud n’est autorisée à travailler avec lui que s’il « garantit la conformité avec la législation [de l’UE] sur la protection des données ».

Comme les entreprises de l’UE sont responsables en dernier ressort (et ont à assumer la plupart voire toutes les conséquences de défaillances) de la protection des données des consommateurs, c’est à elles de rédiger en conséquence les contrats qui les lient à leurs fournisseurs. Voici quelques unes de ces dispositions contractuelles essentielles du document du Working Group :

• SLA : ils doivent être « objectifs et mesurables » et indiquer les « pénalités pertinentes (financières ou autres, y compris la possibilité de poursuivre le fournisseur [de cloud] en cas de non-conformité) ».
• Autorisation : le « sous-traitant [fournisseur de cloud] doit suivre les instructions du responsable du traitement des données ».
• Accès aux données : « seules les personnes [chez le fournisseur de cloud] autorisées doivent avoir accès aux données ».
• Droits d’accès du consommateur : le fournisseur de cloud doit « assister le client pour faciliter l’exercice par les sujets de données [consommateurs] de leurs droits d’accès, de correction et d’effacement de leurs données ».
• Journalisation et audits : « le client doit exiger la journalisation des opérations de traitement effectuées par le fournisseur » et le client « doit être en mesure d’auditer ces opérations de traitement ».
• Mesures techniques : série d’exigences techniques, principalement en lien avec la disponibilité, l’intégrité, la confidentialité (c’est-à-dire le cryptage) et la portabilité des données.

Cette norme contractuelle est spécialement importante dans la mesure où les entreprises de cloud peuvent se trouver n’importe où dans le monde, et en particulier au-dehors de l’UE. Ainsi, les entreprises européennes qui recueillent des données de consommateurs citoyens de l’UE ne peuvent exporter ces données et les traiter dans un environnement moins exigeant en matière de sécurité des consommateurs : le fournisseur de cloud doit satisfaire aux normes de protection des données de la DPD.

Vous vous demandez peut-être si la DPD régit les fournisseurs de cloud américain, par exemple Amazon ou Google. La réponse, jusqu’à la publication par le Working Group de ce document de règles concernant le cloud, a été oui avec quelques nuances.  Les sous-traitants de données américains ont joui d’une relation avec l’UE comportant des clauses libératoires uniques. S’ils travaillent avec une entreprise de l’UE, ils sont autorisés à s’auto-certifier pour ce qui est du respect de sept principes qui reflètent les règles de la DPD pour les sous-traitants de données européens.

Cependant, les nouvelles règles du Working Group stipulent que les entreprises européennes doivent obtenir des preuves directes des fournisseurs américains que « les auto-certifications libératoires existent [c’est moi qui souligne] et que les principes sont respectés. »

Amazon, Google, GoDaddy et autres fournisseurs de cloud américains : vous êtes prévenus !

Sur le sujet des pratiques des fournisseurs de cloud américains en matière de confidentialité des données, Rob a publié un article intéressant montrant comment la commodité du cloud computing a endormi les consommateurs et les entreprises dans une relation unilatérale. Et au moins un spécialiste de la sécurité a parlé à ce sujet d’un contrat de licence d’utilisateur final entre serf et seigneurs. Indice : les fournisseurs de cloud sont les seigneurs.

Les pays de l’UE ont fait un pas de géant pour équilibrer le rapport de puissance dans l’ère numérique entre fournisseur de cloud et entreprises. Une des conséquences est que les fournisseurs de cloud américains devront modifier leurs pratiques en matière de confidentialité, du moins s’ils souhaitent travailler dans l’UE.

S’il est vrai que les relations féodales n’ont jamais prévalu en Amérique du Nord, j’ajouterais que certaines des idées de la DPD permettraient de bonnes pratiques commerciales dans les transactions à l’intérieur des États-Unis.

The post Protection des données de cloud dans l’UE : sortir de la servitude appeared first on Varonis Français.