La Cour de Justice de l’Union Européenne (CJUE) a rendu publique le 6 octobre 2015 un décision qui invalide le Safe Harbor.
Comprendre
Pour faire très simple, le Safe Harbor est accord sur le transfert de donnée personnel hors de l’union européenne. C’est une sorte version très légère de déclaration Cnil Française.
Au début de l’histoire il y a Edward Snowden qui a révélé l’espionnage industriel des données réalisées par la NSA. Même si cela a fait grand bruit, la tempête est rapidement tombée pour des raisons de sécurité lié au térrorisme.
Ensuite Maximilian Schrems a attaqué Facebook parque il estimait que la surveillance de la NSA sur les données de Facebook affectait sa vie privé. C’est suite à cette plainte que la CJUE a du pronocer un jugement sur le Safe Harbor.
Avis de tempête sur le cloud
Pour comprendre l’impact sur le Cloud, il faut savoir que aujoud’hui presque 90 % des services cloud qu’utilise les PME sont gérer par des sociétés américaine. Même si les données sont stockées en Europe, la NSA peut ou a accès a ses données. Pour mémoire l’affaire Microsoft du 25 avril 2014 qui a du fournir des données d’un client hébergé à Dublin.
Le Safe Harbor permet de transmettre des données a caratère privé hors du l’UE. Par exemple l’adresse email est une donnée a caractère privée. Donc depuis le 6 octobre sont transfert hors de l’UE est maintenant interdit.
Aussi tout service qui héberge des données Hors UE devient illégale sauf a demander l’accord a chaque personne pour autoriser le transfert. L’autre alternative est de mettre en place BCR (Binding Corporate Rules) ou règles d’entreprise interne dans lesquelles la société s’engage contractuellement a garantir un niveau de protection suffisant. OVH, Ebay et des groupes bancaires on déjà établie un BCR.
Le problème en fait, est que l’analyse de la NSA est faite en amont, ou directement dans les datacenters des sociétés américaines. Le BCR ne peut exclure l’accès secret de la NSA. Secret puisque chaque société n’a pas l’autorisation de communiquer sur ce sujet.
Adieu Facebook, Gmail, Amazon, Linkedin, Viadao, Mailchip ?
La fin du Safe Harbor est il la fin du cloud ?
Sans doute non, les services n’ont pas fermés aujourd’hui et ne fermerons pas demain. Sans doute bientôt un changement des conditions d’accès avec une case a cocher dans laquelle vous reconnaisser que les données que vous avez saisie peuvent être exporté Hors UE.
Et le cloud Français
La loi sur le renseignement voté cette année, est elle aussi non corforme a la législation qui vient d’être voté. Car le principe du Safe Harbor était mutuelle entre l’UE et les Etats Unis. Donc si une société stocke des informations de personnes américaines, celle ci deviennent aussi hors la loi.
Rien ne va changer demain, si ce n’est sans doute les logiciels libres qui pourront se servir de ce nouvel arguement pour leur solution auto hébergé.
Pour en savoir plus sur les mécanismes BCR, vous pouvez lire l’article de Numérama
Laisser un commentaire