Pour gérer vos consentements :

Peu de services Cloud conformes au futur droit européen sur les données

Les prestataires de services Cloud actifs en Europe semblent encore ignorer l’impact du paquet réglementaire européen relatif à la protection des données sur leur activité, en témoigne une nouvelle étude de Skyhigh Networks basée sur un réseau de 7 000 services Cloud, de Microsoft Office 365 à Cisco WebEx. Seul 1 fournisseur de Cloud sur 100 respecterait le futur règlement européen.

Des garde-fous au transfert de données hors UE

Contesté par les lobbies industriels, le paquet sur la protection des données introduit des garde-fous au transfert de données de citoyens européens aux pays tiers. Les entreprises devront notamment recevoir l’autorisation préalable d’une autorité nationale de protection des données avant de transmettre toute information hors de l’Union européenne. Elles devront également informer les personnes concernées et respecter le « droit à l’effacement de données » des internautes de l’UE, une sorte de droit à l’oubli dénoncé par différents acteurs.

Une organisation utilise en moyenne 738 services de Cloud Computing, d’après Skyhigh Networks, spécialiste américain de la sécurité des services hébergés. Se conformer aux nouvelles exigences européennes en matière de protection, localisation et sécurité des données pose donc de sérieux défis. Le problème est que 63% des fournisseurs de Cloud conservent les données indéfiniment ou n’ont pas de politique de suppression de données. Et 23% maintiennent toujours le partage de données avec des tiers dans leurs termes et conditions d’utilisation. L’effacement de données sera plus difficile à appliquer dans ce cas.

Une localisation mal digérée des deux côtés de l’Atlantique

Le règlement européen exige qu’une organisation ne stocke ou ne transfert pas de données dans des pays aux normes moins strictes que celles de l’UE en matière de protection des données. Cette mesure en faveur de la localisation s’applique aux fournisseurs de Cloud qui exploitent des data centers dans le monde entier, y compris dans des pays qui ne répondraient pas aux exigences européennes… Or, seuls 11 pays hors UE répondent à ces exigences à l’heure actuelle, observe Skyhigh. Les États-Unis, où 67% des fournisseurs de services de Cloud Computing ont leur siège social, sont les grands absents de cette liste. Toutefois, l’accord Safe Harbor conclu en 2001 entre les autorités américaines et la Commission européenne autorise certaines exceptions concernant le transfert de données personnelles.

Enfin, malgré le scandale des écoutes massives pratiquées par la NSA américaine, 72% des services Cloud utilisés en Europe aujourd’hui hébergent les données aux États-Unis. Par ailleurs, à l’heure où la France met au point un référentiel d’exigences applicables aux prestataires de services Cloud en matière de sécurité, on apprend que seuls 12% des services proposés en Europe utilisent le cryptage des données. Et 5% sont certifiés ISO/IEC 27001, norme relative aux systèmes de management de la sécurité des informations.

Jusqu’à 100 millions d’euros d’amende

Le paquet européen sur la protection des données inclut deux projets, l’un de règlement – traitement des données personnelles – et l’autre de directive – volet infractions et application des peines –. Le texte, qui va se substituer à la directive de 1995, devrait être définitivement adopté cette année pour entrer en vigueur en 2015.

La responsabilité en cas de violation de données serait partagée entre l’organisation qui possède les données et le prestataire chargé de leur traitement, tels que les fournisseurs de Cloud. Les amendes infligées aux entreprises qui ne respecteraient pas ces règles pourraient atteindre jusqu’à 100 millions d’euros ou 5% de leur chiffre d’affaires annuel mondial.

crédit photo © rvlsoft – shutterstock


Lire aussi

Accès aux données cloud hors US : Microsoft perd encore une manche

Après le scandale NSA, le Parlement européen blinde la protection des données

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

3 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

3 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

3 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

3 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

3 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

3 semaines ago