En matière de confidentialité, les clients au secours des fournisseurs

En ce qui concerne la protection des données et leur confidentialité nous disposons de ce côté de l’Atlantique du règlement RGPD (règlement général sur la protection des données) qui impose que toutes les données à caractère personnel soient sauf exception conservées sur le territoire européen et soient accessibles sous contrainte uniquement au regard du droit de l’Union ou du droit d’un État membre.

De l’autre côté de l’Atlantique il existe le Cloud Act (Clarifying Lawful Overseas Use of Data Act), loi fédérale américaine promulguée le 23 mars 2018. Cette loi permet désormais aux forces de l’ordre ou aux agences de renseignement américaines d’obtenir des opérateurs télécoms et des fournisseurs de services de Cloud des informations conservées sur leurs serveurs qu’ils soient situés aux États-Unis ou à l’étranger !

En matière de services en mode SaaS cela pose un véritable problème pour les fournisseurs US qui factuellement ne peuvent satisfaire les deux règlementations simultanément ! Bien évidemment, tous les services ne présentent pas le même niveau de sensibilité et on peut difficilement comparer la réservation d’une chambre d’hôtel avec la signature électronique de documents hautement confidentiels.

La réponse pourrait a priori venir des clients eux-mêmes et de leur plus grande sensibilisation à ce genre de problématique afin d’exiger des garanties réelles et éviter de se satisfaire de bonnes intentions de la part des fournisseurs qui vous expliqueront que leurs serveurs se trouvent sur le territoire européen mais qui oublieront de préciser qu’ils sont soumis au Cloud Act et que ce faisant, ils se doivent d’autoriser l’accès aux données en cas de demande de leur administration, même en Europe !

Il y aurait ainsi lieu de vraiment informer les entreprises sur ces problématiques de confidentialité et ne pas se limiter aux données à caractère personnel. De plus il existe des solutions techniques comme par exemple avec la signature électronique. En effet, pourquoi envoyer l’intégralité du document à signer sur la plate-forme du fournisseur, ne serait-ce pas tout aussi efficace de transmettre uniquement l’empreinte du document et par la même occasion préserver la confidentialité de ce dernier ?

Attention enfin à l’attitude de certaines entreprises qui n’hésitent pas à faire un arbitrage entre l’efficacité d’un service et le risque encouru vis-à-vis de la règlementation. Dans pareille situation, l’évaluation du risque est souvent incomplète et les conséquences peuvent vite devenir désastreuses.

Répondre

Saisissez votre commentaire
Saisissez votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.