Close

Peu de services Cloud conformes au futur droit européen sur les données

Les fournisseurs de Cloud ne sont pas prêts à répondre aux exigences fixées par le paquet européen sur la protection des données en cours d’adoption, d’après Skyhigh Networks.

Les prestataires de services Cloud actifs en Europe semblent encore ignorer l’impact du paquet réglementaire européen relatif à la protection des données sur leur activité, en témoigne une nouvelle étude de Skyhigh Networks basée sur un réseau de 7 000 services Cloud, de Microsoft Office 365 à Cisco WebEx. Seul 1 fournisseur de Cloud sur 100 respecterait le futur règlement européen.

Des garde-fous au transfert de données hors UE

Contesté par les lobbies industriels, le paquet sur la protection des données introduit des garde-fous au transfert de données de citoyens européens aux pays tiers. Les entreprises devront notamment recevoir l’autorisation préalable d’une autorité nationale de protection des données avant de transmettre toute information hors de l’Union européenne. Elles devront également informer les personnes concernées et respecter le « droit à l’effacement de données » des internautes de l’UE, une sorte de droit à l’oubli dénoncé par différents acteurs.

Une organisation utilise en moyenne 738 services de Cloud Computing, d’après Skyhigh Networks, spécialiste américain de la sécurité des services hébergés. Se conformer aux nouvelles exigences européennes en matière de protection, localisation et sécurité des données pose donc de sérieux défis. Le problème est que 63% des fournisseurs de Cloud conservent les données indéfiniment ou n’ont pas de politique de suppression de données. Et 23% maintiennent toujours le partage de données avec des tiers dans leurs termes et conditions d’utilisation. L’effacement de données sera plus difficile à appliquer dans ce cas.

Une localisation mal digérée des deux côtés de l’Atlantique

Le règlement européen exige qu’une organisation ne stocke ou ne transfert pas de données dans des pays aux normes moins strictes que celles de l’UE en matière de protection des données. Cette mesure en faveur de la localisation s’applique aux fournisseurs de Cloud qui exploitent des data centers dans le monde entier, y compris dans des pays qui ne répondraient pas aux exigences européennes… Or, seuls 11 pays hors UE répondent à ces exigences à l’heure actuelle, observe Skyhigh. Les États-Unis, où 67% des fournisseurs de services de Cloud Computing ont leur siège social, sont les grands absents de cette liste. Toutefois, l’accord Safe Harbor conclu en 2001 entre les autorités américaines et la Commission européenne autorise certaines exceptions concernant le transfert de données personnelles.

Enfin, malgré le scandale des écoutes massives pratiquées par la NSA américaine, 72% des services Cloud utilisés en Europe aujourd’hui hébergent les données aux États-Unis. Par ailleurs, à l’heure où la France met au point un référentiel d’exigences applicables aux prestataires de services Cloud en matière de sécurité, on apprend que seuls 12% des services proposés en Europe utilisent le cryptage des données. Et 5% sont certifiés ISO/IEC 27001, norme relative aux systèmes de management de la sécurité des informations.

Jusqu’à 100 millions d’euros d’amende

Le paquet européen sur la protection des données inclut deux projets, l’un de règlement – traitement des données personnelles – et l’autre de directive – volet infractions et application des peines –. Le texte, qui va se substituer à la directive de 1995, devrait être définitivement adopté cette année pour entrer en vigueur en 2015.

La responsabilité en cas de violation de données serait partagée entre l’organisation qui possède les données et le prestataire chargé de leur traitement, tels que les fournisseurs de Cloud. Les amendes infligées aux entreprises qui ne respecteraient pas ces règles pourraient atteindre jusqu’à 100 millions d’euros ou 5% de leur chiffre d’affaires annuel mondial.

La confiance se construit Adhérer