Comment gérer la souveraineté des données dans le cloud après le Brexit et la fin du Privacy-Shield ?

Pour les multinationales, la fin du Privacy-Shield appelle une série de questions, surtout à l'approche de Brexit. Que doivent-elle surveiller dans les débats sur la souveraineté des données ? Comment devraient-elles modifier leur stratégie de cloud ?

À l'aube de l'ère de l'information, les optimistes et les techno-utopiens pensaient qu'Internet allait faire tomber toutes les restrictions concernant les échanges internationaux d'informations. Les nombreuses préoccupations relatives à la vie privée qui sont apparues au cours des deux dernières décennies ont mis cet optimisme à l'épreuve, ce qui a abouti à l'introduction de lois telles que le règlement général sur la protection des données (RGPD) de l'UE.

En effet, des règlements tels que celui-ci, tout en empêchant les gouvernements et les entreprises d’empiéter sur la vie privée, créent indirectement un obstacle à la libre circulation des données à travers les frontières.

Si les règlements relatifs à la protection de la vie privée n’entravent pas le transfert de données au sein d’une juridiction, ils posent de nouveaux problèmes lors d’échanges entre des juridictions ayant règles différentes. Le problème le plus récent - et l’un des plus notables - s’est produit entre le gouvernement des États-Unis d’Amérique et l’application TikTok. Cette dernière est désormais interdite aux États-Unis car le législateur craint que les dispositions chinoises en matière de protection de la vie privée soient plus faibles, et permette au gouvernement d’accéder aux données des utilisateurs. Même entre des pays ayant une réglementation relativement solide en la matière, de nouvelles préoccupations "protectionnistes" ont vu le jour autour de la souveraineté des données. On a par exemple vu récemment la Cour européenne de justice annuler le mécanisme de protection de la vie privée entre l’UE et les États-Unis pour le partage des données, en raison des craintes d’un dépassement de la part du gouvernement américain.

Pour les organisations multinationales, cette décision appelle toute une série de questions, surtout à l’approche de Brexit. Que doivent-elle surveiller dans les débats sur la souveraineté des données ? Comment devraient-elles modifier leur stratégie en matière de cloud computing ?

Évolution de la souveraineté des données

Depuis un certain temps, le Brexit est devenu la principale préoccupation en ce qui concerne les flux de données au sein du Royaume-Uni et de l’UE. La loi britannique sur la protection des données, appliquée depuis 2018, complète le RGPD au Royaume-Uni. Certains craignent qu’à la fin de la période de transition de Brexit, c’est-à-dire le 31 décembre prochain, le stockage des données entre l’Europe et la Grande-Bretagne ne s’effondre.

Toutefois, ce scénario est très peu probable. En ce qui concerne les transferts de données du Royaume-Uni vers l’UE, la Grande-Bretagne n’a pas prévu d’appliquer de restrictions. Mais dès l’application du Brexit, la Commission Européenne évaluera la loi britannique sur la protection des données avant d’autoriser l’envoi de données personnelles outre-manche. Il est presque certain que la Grande-Bretagne passera un tel test d’adéquation, ayant au préalable transposé le RGPD dans son droit.

En réalité, la préoccupation majeure aujourd’hui concerne les transferts de données de l’UE vers les États-Unis. Jusqu’à récemment, les transferts de données entre les États-Unis et l’UE (en plus de la Suisse) étaient protégés par le Privacy Shield. Mais en juillet dernier, la Cour européenne de justice a rendu une décision le considérant inefficace comme moyen de se conformer aux exigences de l’UE. En septembre, les tribunaux suisses rendaient une décision similaire. Désormais, les organisations qui transfèrent des données de l’Union européenne vers les États-Unis doivent se fonder sur les clauses contractuelles types (Standard Contractual Clauses - SCCs).

Intégrer la souveraineté des données dans votre stratégie de gestion du cloud

Les SCCs supposent que la protection des données accordée aux entreprises ne valent que si un fournisseur de services en ligne particulier est prêt à l’offrir. Cela implique que les entreprises de l’UE, pour garantir le respect des normes communautaires, s’assurent du stockage de leurs données dans des buckets, eux-mêmes hébergés dans un datacenter européen conforme au RGPD.

Bien entendu, de nombreux datacenters européens appartiennent à des sociétés américaines ou en sont partenaires. Les entreprises devront donc veiller à ce que leur contrat avec leur fournisseur de services cloud garantisse que leurs données ne seront pas copiées ou déplacées aux USA. La conservation des données européennes en Europe est une pratique établie, mais avec l’expiration du Privacy Shield, la vigilance est de rigueur.

Bien que le Privacy Shield ne soit plus considéré comme un cadre juridique entre les États-Unis et l’UE, il reste une norme que les fournisseurs peuvent suivre dans leur architecture et dont ils peuvent adopter l’éthique. Quand bien même cette norme n’a pas la valeur d’une loi, elle témoigne de l’engagement d’un fournisseur à respecter la norme de confidentialité des données qu’attendent ses clients. Si le respect de la vie privée et la souveraineté des données sont prioritaires pour une entreprise, les récents débats laissent penser que la meilleure option se trouve dans le choix d’un fournisseur de cloud computing qui s’engage à respecter les valeurs reflétées par les lois en vigueur dans la juridiction concernée.