Gouvernance

Protection des données européennes aux Etats-Unis

Par La rédaction, publié le 08 septembre 2014

LES FAITS
Dans le cadre d’une procédure criminelle, un juge américain donne injonction à Microsoft de communiquer les e-mails d’un de ses clients stockés sur un serveur en Irlande. Microsoft sollicite la nullité de ce mandat estimant échapper à l’application de la loi américaine en raison de la localisation de son serveur en Europe. La demande Microsoft est rejetée.

La demande de Microsoft est rejetée au motif que le mandat vise une société contrôlant et assurant la maintenance de comptes de messagerie électronique du territoire américain sur lequel elle a son siège social. Ainsi, les prestataires américains resteraient soumis à la loi des États-Unis, quel que soit le lieu d’implantation de leurs serveurs. Microsoft a annoncé son intention d’interjeter appel. L’enjeu est de taille pour les prestataires américains qui, à peine remis de l’affaire Snowden, s’exposent à une nouvelle désaffection des clients européens en raison du manque de confidentialité des données qu’ils hébergent.

UNE RÉGLEMENTATION EUROPÉENNE STRICTE…

Cette affaire est l’occasion de rappeler la réglementation protectrice applicable en Europe. L’article 68 de la loi du 6 janvier 1978 modifiée et le décret du 20 octobre 2005 interdisent par principe l’hébergement des données hors de l’UE. Toutefois, des exceptions existent. Les transferts des données en dehors de l’UE sont autorisés si le pays destinataire est reconnu par la CNIL comme assurant un niveau de protection adéquat ; ou, si ce n’est pas le cas, si l’entreprise importatrice encadre l’hébergement des données par l’adoption de clauses contractuelles types adoptées par la CNIL notamment. Lorsque l’entité importatrice est basée aux États-Unis, la CNIL impose que celle-ci adhère au principe du Safe Harbor. En effet, des principes de protection des données ont été négociés par la commission européenne et le département du commerce américain, dits « Safe Harbor » (Sphère de sécurité) auxquels les entreprises américaines peuvent adhérer volontairement. Il s’agit d’une forme d’auto-certification par laquelle les entreprises s’engagent publiquement à respecter ces principes protecteurs des données. Microsoft , en l’occurrence, adhère au Safe Harbor et a également choisi de proposer des garanties européennes supplémentaires par la signature de clauses contractuelles renforçant la confidentialité des données et évaluées positivement par le G29. Ce dernier déclarait ainsi récemment que « Microsoft a pris suffisamment de précautions contractuelles pour encadrer ses flux internationaux de données ».

… MAIS BAFOUÉE

Pourtant, suite à la décision rendue le 25 avril 2014 par la justice américaine, ces clauses ainsi que l’adhésion au Safe Harbor s’avèrent manifestement inefficientes dès lors que le prestataire contrôle lui-même les données depuis les États-Unis, quel que soit leur lieu d’hébergement. Cette décision de justice pose clairement la question de la sécurité et de la confidentialité des données stockées par les clouds américains.

CE QU’IL FAUT RETENIR
La localisation des données traitées dans le cadre de projets de cloud computing est un élément essentiel à vérifier par l’entreprise puisqu’il existe des contraintes juridiques encadrant leur transfert. Dorénavant, il convient également de s’intéresser à la domiciliation du prestataire qui peut affecter le cadre légal applicable au traitement des données, notamment au regard d’un éventuel accès par les autorités américaines.

Dans l'actualité

Verified by MonsterInsights