Quels sont les impacts du RGPD et du CLOUD-ACT sur les solutions SaaS du marché ?

les lois RGPD et Cloud-Act promulguées a quelques semaines d'intervalle. 



Avec l’arrivée du RGPD (le nouveau Règlement Européen sur la Protection des Données Personnelles paru au journal officiel de l’Union européenne et entré en application le 25 mai 2018), vous vous posez certainement des questions sur les solutions SaaS que vous utilisées.
Si ce n'est pas le cas, il a surement matière à vous interroger sur le Cloud Act, surtout si le prestataire de votre solution SaaS semble y être exposé.

Cette loi américaine promulguée à quelques semaines de la loi européenne sur la protection des données (RGPD) qui stipule que toutes les entreprises qui collectent des données auprès des citoyens européens doivent se conformer aux règles de l’Union, met les deux lois en totale contradiction. Cela vous préoccupe ? Vous n’êtes pas seul dans ce cas.

100% des DSI du CAC 40 préoccupés par le CLOUD-ACT.

100% des Directeurs des systèmes d’information des sociétés du CAC 40 et du Top 100 sont préoccupés par le « Cloud-Act » et les possibles indiscrétions de leurs prestataires. Il y a une véritable prise de conscience autour de la souveraineté de la donnée.

Le Cloud Act (pour Clarifying Lawful Overseas Use of Data Act, en français loi clarifiant l'utilisation illégale des données à l'étranger) répond à un problème qui a été soulevé lorsque Microsoft en 2013 a refusé de fournir au FBI l'accès à un serveur en Irlande dans le cadre d'une enquête, affirmant qu'elle ne pouvait être contrainte à produire des données stockées en dehors des États-Unis.

Tous les DSI des grands groupes se posent des questions sur la confidentialité et la souveraineté des données de l’entreprise dont ils ont la charge. Et ce, même si par ailleurs ils accompagnent les équipes métiers vers la mise en oeuvre de solutions en mode SaaS.

Les entreprises savent qu’il ne suffit plus de dire que les données sont localisées en France ou en Europe pour échapper à cette loi extraterritoriale américaine. Difficile en effet pour un prestataire  américain (éditeurs, hébergeurs de solutions SaaS) de s’opposer aux requêtes de la justice et aux instances gouvernementales américaines, malgré la qualité et l'état de l'art des prestations fournies en matière d'hébergement et de sécurité.

En vertu de la loi, tous les fournisseurs de services cloud américains (entendez "et de solutions SaaS"), de Microsoft à IBM en passant par Amazon et autres prestataires éditeurs de services SaaS ayant des liens capitalistiques avec une société américaine, doivent, lorsqu’ils en reçoivent l’injonction, fournir aux autorités américaines des données stockées sur leurs serveurs, quel que soit leur emplacement.
Étant donné que ces fournisseurs représentent un poids de plus en plus important sur le marché du SaaS (Cloud) en France et en Europe, la loi peut donner potentiellement aux États-Unis le droit d'accéder à des informations d’entreprises et de personnes sur notre territoire.

LA riposte européenne et française ? 


L’extraterritorialité de la loi américaine inquiète l’Union européenne, un problème qui est susceptible de prendre de l’ampleur au même rythme que les relations transatlantiques se détériorent et que l’Europe considère le Président D. Trump comme un allié de moins en moins fiable. La guerre économique et les nombreuses attaques emblématiques contre l'entreprise Huaiwei, et les entreprises chinoises de façon générale, sont une démonstration de l'arsenal politico-juridique dont les américains savent faire l'usage. L’Europe et les entreprises européennes pourraient subir prochainement les mêmes pressions afin de plier face aux demandes de renégociations des accords commerciaux, visant à préserver les intérêts économiques américain, partout dans le monde, d'autant plus en période pré-électorale outre-atlantique et en plein Brexit. 

Dans l’attente de la réponse de l’UE, certains pays préparent la leur, la France en tête. Les équipes du Président Emmanuel Macron préparent des mesures juridiques et techniques pour protéger le pays et ont désigné quatre responsables gouvernementaux : le bureau du président, le ministère des Finances et l'agence de cybersécurité de l'État et l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information).

« Plus nous nous intéressons au Cloud Act, plus il nous inquiète », a déclaré Guillaume Poupard, responsable de l'ANSSI. « C'est un moyen pour les États-Unis d'entrer dans des négociations ... mais cela a un effet extraterritorial immédiat qui est insupportable ».

Les déclarations récentes de Microsoft France ne sont pas de nature à rassurer et sonnent même comme un aveu d’échec face aux requêtes des instances américaines, en violation du droit européen : « Nous continuerons d’aller en justice pour défendre les droits de nos clients lorsqu’ils sont violés par le gouvernement américain selon leur droit local ».
Microsoft appelle à ce que les accords internationaux (au sein du Cloud Act) ne soient pas en contradiction avec les lois locales (comme le RGPD). ». A ce jour, aucun accord n’a été signé avec les Etats-Unis.


En attendant que la situation se clarifie (en espérant qu'elle ne soit pas d'ores et déjà insoluble), la France se pose à l'avant-garde de la prévention et de la préservation des intérêts économiques de ses entreprises, en préconisant la mise en oeuvre de bonnes pratiques contre les injonctions extraterritoriales des Etats-Unis.
Le gouvernement français a organisé des réunions avec des banques, des sous-traitants de la défense, des services publics de l'énergie et d'autres acteurs, leur demandant d'utiliser des fournisseurs de données « Cloud Act-safe ».

Sources :
- https://www.cnil.fr/fr/reglement-europeen-protection-donnees
- https://www.straitstimes.com/world/europe/as-huawei-frightens-europes-data-protectors-america-does-too
- Cloud Act : la loi américaine qui donne aux USA un accès aux données stockées en UE inquiète l'Europe
- La France prépare des mesures pour se protéger
CLOUD Act & PATRIOT Act : tous les DSI des groupes français sont préoccupés

Nouveau call-to-action



partager cet article

CET ARTICLE A ÉTÉ POSTÉ AVEC LES TAGS: Actualités, conformité et réglements, contrôle, Risques financiers, Direction Juridique, DPO, gestion des risques, IT, projet, RGPD, sécurité, Sécurité & IT, Trésorerie, cloud-act, cloud-act safe

CET ARTICLE VOUS A PLU

Abonnez-vous à InFinance le blog

Recevez par email les dernières actualités de la trésorerie d’entreprise.

DÉCOUVREZ TITAN TREASURY

« Découvrez la nouvelle solution de trésorerie dédiée à la gestion de tous les risques financiers. »

Titan Treasury Télechargez la présentation

NOS DERNIERS ARTICLES