Les données personnelles sont protégées par quelques grands principes

En France, à l’instar des autres pays de l’Union européenne, l’utilisation des données personnelles doit se faire en conformité avec la Loi Informatique et libertés qui énonce plusieurs grands principes protecteurs de la vie privée.

Le traitement de ces données personnelles doit répondre à certains objectifs de qualité. Les formalités préalables auprès de la CNIL ont pour objet de rendre compte des moyens alloués pour atteindre cette qualité minimale dans le traitement des données, en particulier concernant :

  • La licéité du traitement par rapport aux finalités de celui-ci, qui doivent être adéquates, pertinentes et non excessives
  • La proportionnalité des informations collectées vis-à-vis des finalités poursuivies
  • La correction et les mises à jour des données traitées, voire la suppression de celles-ci lorsque leur usage n’est plus requis
  • L’interdiction d’exportation des données personnelles vers des pays ne présentant pas un degré équivalent de protection

Le droit américain chahute ces principes à double titre

En effet, le degré de protection des données personnelles aux Etats-Unis n’est pas considéré comme équivalent du fait de l’absence de texte spécifiquement dédié à ce sujet et au vu des divergences qui existent entre les conceptions américaine et européenne de la vie privée.

De plus, par une décision du 25 avril, un juge américain, James C. Francis IV, a pour la première fois ordonné la saisie de données d’un non-américain, stockées sur un serveur basé en Irlande d’une entreprise américaine, sur la base du Store Communication Act de 1986, qui peut s’appliquer dans le cadre de tous types d’enquêtes judiciaires. Cela au motif que le lieu de stockage des données importe peu, seul le contrôle effectif par une société américaine ou ayant des « liens suffisants » avec l’Etat américain, est de nature à entrainer où non la compétence du juge américain. Au cours de cette procédure, le 4e amendement qui protège contre les perquisitions arbitraires, fut écarté en matière de cloud computing. Le juge américain s’arroge ainsi de fait un droit d’accès, exportation et sauvegarde de données personnelles d’un ressortissant européen. Cette décision fut confirmée au cours d’une procédure orale en date du 31 juillet 2014.

Il existe donc un risque fort de saisie de données de tous types lorsque celles-ci sont hébergées dans les serveurs d’une entreprise américaine. Si ces pratiques s’inscrivent dans le cadre de procédures judiciaires, ces saisies extraterritoriales couplées aux pratiques de la NSA, font craindre aux entreprises européennes un risque pour la sécurité de leurs données.

Cela créée donc un avantage pour les acteurs européens du cloud, qui sont épargnés par de ces saisies intempestives (extraterritoriales).

La création d’un environnement de confiance

Face à ce besoin des entreprises d’une plus grande sécurité des données stockées dans le cloud, l’initiative Cloud confidence représente une alternative intéressante.

Cette association française, à vocation européenne, a pour but de proposer une certification basée sur deux prérequis essentiels :

  • L’entreprise doit proposer un niveau de sécurité des données équivalent ou supérieur à celui requis dans le projet de règlement européen sur la protection données personnelles 
  • L’entreprise doit s’engager à ne pas être soumise à une législation d’un pays non membre de l’Union Européenne, en particulier  relative à la surveillance de masse, type USA Patriot Act, et donc empêcher l’accès direct aux données dans le cadre d’une procédure administrative ou judiciaire d’un pays non membre de l’UE.

Ces prérequis sont vérifiés après audits réguliers.

L’objectif de cette association est donc d’établir un véritable cadre de référence (normatif) et  a vocation à étendre ses réflexions sur des sujets connexes.

Cette initiative parmi d’autres, montre que les européens ne sont pas totalement démunis face aux géants américains et sont prêts à proposer des solutions alternatives.