Suite aux échecs du Safe Harbor (en 2015) et du Privacy Shield (en 2020), que doivent faire les entreprises européennes qui souhaitent la pleine souveraineté de leurs données ? Attendre la finalisation du dernier accord de mars dernier ? Ou chiffrer dès maintenant leurs données sensibles ? La réponse de Sébastien Roques-Shaw, directeur des partenariats stratégiques internationaux de Virtru.
Les entreprises européennes sont confrontées à un dilemme numérique : elles veulent tirer parti des avantages de productivité et de sécurité des principales plateformes mondiales de Cloud, et préserver la propriété intellectuelle, les informations confidentielles et autres données sensibles en toute confidentialité et sécurité, mais elles craignent d’être confrontées à des obligations légales contradictoires et changeantes, voire de mettre en danger la vie privée de leurs clients.
Car oui, les entreprises européennes peuvent être contraintes de transmettre leurs données et celles de leurs clients au gouvernement américain, car les principaux fournisseurs de services Cloud sont basés aux États-Unis et soumis à diverses lois exigeant une coopération avec l’appareil de sécurité nationale et intérieure américain, et car il n’existe actuellement aucun cadre multilatéral de protection de la vie privée.
Le point sur le paysage politique actuel
L’Union européenne a adopté de fortes protections de la vie privée pour ses citoyens européens avec le RGPD. Les États-Unis eux, ont adopté une législation de grande portée, le leadership en matière de protection de la vie privée se situant au niveau des États. En particulier, la loi américaine Clarifying Lawful Overseas Use of Data (CLOUD Act de 2018) a codifié que lorsque les données sont hébergées par des fournisseurs de Cloud basés aux États-Unis, même si leurs serveurs sont situés en dehors des États-Unis, ils peuvent toujours être contraints de remettre toutes les données au gouvernement américain.
Et les accords entre l’UE et les USA comme le Safe Harbor (en 2015) et le Privacy Shield (en 2020) n’ont pas tenu longtemps, ayant été invalidés respectivement à la suite de l’arrêt Schrems I et Schrems II par la Cour de justice de l’Union européenne (CJUE).
Alors, doit-on attendre la concrétisation de l’accord transatlantique annoncé le 25 mars 2022 sur le transfert des données personnelles entre les deux continents, annoncé par Ursula von der Leyen, la présidente de la Commission européenne, et Joe Biden, le président américain ?
Cette troisième tentative sera-t-elle la bonne ? Alors que le contenu et les détails juridiques ne sont pas encore connus ! Oui, ce nouvel accord est un signe positif, mais il y existe toujours des inquiétudes concernant la confidentialité et la sécurité des données partagées.
Bénéficier grâce au chiffrement d’un contrôle complet de ses données sensibles dans le cloud
Pour être certain de conserver la pleine souveraineté sur ses données et celles de ses clients, il existe un seul moyen : le chiffrement de bout en bout des données. Le chiffrement de bout en bout peut non seulement protéger les données contre les accès non autorisés, mais il offre également un contrôle total sur ces données lorsqu’elles voyagent et sont partagées.
Grâce au chiffrement de bout en bout, les entreprises peuvent :
• Adopter des services Cloud mondiaux tout en respectant les exigences de souveraineté des données.
• Protéger les droits de confidentialité des clients.
• Garder le contrôle total des données qui leur ont été confiées.
• S’assurer que les concurrents, les gouvernements étrangers et les autres entités qui ne devraient pas y avoir accès ne peuvent pas accéder à leurs informations exclusives ou autrement sensibles.
D’ailleurs, le Comité Européen de la Protection des Données (EDPB) a identifié le chiffrement de bout en bout comme un moyen efficace de sécuriser les données tout en travaillant avec un fournisseur de services d’un pays tiers, tant que ce chiffrement et son algorithme sont robustes ; que le cryptage est appliqué pendant toute la durée pendant laquelle les données doivent rester confidentielles ; que les clés sont gérées de manière fiable et contrôlées par le propriétaire des données.
Alors, pour être assuré que vos données restent complètement sécurisées et sous votre contrôle, pourquoi attendre la finalisation d’un 3ème accord entre l’UE et les USA ? N’attendez plus, quel que soit votre fournisseur de cloud, chiffrez-les !