Invalidation du Safe Harbor : comment se préparer au prochain accord ?

En octobre 2015, la Cour européenne de justice a décidé d’annuler l’accord Safe Harbor, conclu il y a 15 ans entre l’Union européenne et les Etats-Unis. Cet accord portait sur un mécanisme simple de transfert de données entre les deux continents. La suppression du Safe Harbor est la conséquence directe de l’audacieux recours juridique déposé par Max Schrems, étudiant en droit autrichien de 28 ans.

Max Schrems est parvenu à s’attaquer à des entreprises du secteur des technologies semblant jusque-là invulnérables, et à enregistrer une victoire au nom des droits des utilisateurs, ce qui lui a valu de nombreux applaudissements, en particulier de la part d’Edward Snowden. Bien que la décision de la cour européenne puisse paraître surprenante, elle s’inscrit dans une tendance récente au renforcement des règles en matière de confidentialité des données.

Les lois américaines dans ce domaine sont moins contraignantes que celles en vigueur dans l’Union européenne. Jusqu’à cette décision, Safe Harbor constituait un compromis entre les procédures de confidentialité américaines et européennes. En vigueur depuis l’an 2000, cet accord a permis aux sociétés américaines de rapatrier les données des citoyens européens aux États-Unis tant qu’elles respectaient le même niveau de confidentialité que les normes européennes en la matière. Ces sociétés ont dû s’engager à respecter sept principes relatifs à l’exploitation des données collectées, mais la décision de la Cour européenne de justice envoie un signal fort selon lequel les droits des utilisateurs à la confidentialité doivent être consacrés par la loi et non pas par une simple auto-certification. Depuis la fin du Safe Harbor, les entreprises des deux côtés de l’Atlantique ont dû réviser leurs procédures de collecte, de stockage, de traitement et de transfert des données personnelles des citoyens européens.

Quel sera l’impact sur les entreprises ?
Les entreprises qui dépendent du libre transfert des données entre l’Union européenne et les États-Unis se retrouveront dans une position difficile. L’analyse des conséquences de cette décision a principalement porté sur sa signification pour les réseaux sociaux américains, mais les sites américains de partage de fichiers dans le cloud, comme Dropbox (et leurs clients utilisateurs de leurs services de stockage), le fournisseur de services cloud, les grands distributeurs internationaux comptant des clients dans l’Union européenne et toutes les entreprises américaines de gestion de ces données personnelles seront concernés.

Les directeurs de la sécurité des systèmes d’information des grandes entreprises doivent désormais s’efforcer de trouver les moyens de respecter ce nouvel arrêt. Il va sans dire que la confidentialité des données des utilisateurs est extrêmement importante et doit constituer un droit fondamental, mais cette décision concerne bien plus d’entreprises que Facebook et Google. Il est plus que probable que cela modifiera les procédures de transfert de données mises en place par les entreprises entre les deux continents. Près de la moitié des échanges de données dans le monde s’effectuant entre l’Europe et les États-Unis, l’invalidation de l’accord Safe Harbor se traduira par des changements radicaux pour les petites et moyennes entreprises.

Bien qu’il ne soit pas encore possible de savoir exactement ce qui remplacera cet accord, il est clair que cela aura des conséquences sur les activités au quotidien. Il deviendra plus difficile de fournir des services et des données entre l’Union européenne et les États-Unis.

Toutes ces préoccupations autour des réglementations relatives à la confidentialité des données ne sont pas nouvelles. Quelles sont les autres règles en vigueur ?
Le principal reproche formulé à l’encontre de l’accord Safe Harbor est qu’il ne respecte pas les exigences de la directive européenne sur la protection des données. L’Union européenne semble avoir de plus en plus tendance à s’opposer à l’approche américaine en matière de confidentialité des données. La décision sur l’accord Safe Harbor, et celle sur le droit à l’oubli, constituent un signal clair que l’attitude « La prospérité maintenant, la confidentialité plus tard » n’est plus de mise en Europe.

Le General Data Protection Regulation (ou GDPR) est acté, la réglementation à proprement parler est toujours en consultation, et il y aurait donc une certaine marge de manœuvre pour y faire figurer des directives claires à l’intention de ces entreprises. Cependant, il serait juste de partir du principe que cela pourrait avoir des répercussions sur la date d’adoption envisagée (actuellement la fin de l’année).

Comment les entreprises se préparent-elles à cette législation ?
Selon un récent sondage réalisé par Ipswitch, les entreprises se préparent aux changements annoncés, mais lentement. Bien que la nouvelle réglementation soit soumise à consultation depuis près de quatre ans, ce sondage mené en septembre 2015 indique qu’un peu moins d’une entreprise française sur cinq ne sait toujours pas si elle est concernée par ces mesures alors que ces mêmes sociétés affirment stocker et traiter des données personnelles. Par ailleurs, 71% d’entre elles estiment qu’elles devront investir dans des technologies de traitement et de stockage de données conformes à ces nouvelles normes.

Que peuvent faire les entreprises pour s’assurer qu’elles sont en conformité avec le GDPR ?
Elles ne doivent pas sous-estimer la charge que représente cette nouvelle législation. Selon leurs pratiques actuelles en matière de transfert de données, la décision relative à l’accord Safe Harbor pourrait nécessiter de profonds changements et impliquer de nombreux services au sein de l’entreprise.

Voici une checklist de cinq points destinée aux services informatiques afin de leur permettre de se mettre en conformité avec les règles de confidentialité.

1/ Des responsabilités clairement délimitées
Face aux exigences croissantes de confidentialité des données auxquelles les entreprises sont confrontées, la nomination d’un Responsable Protection des Données peut être un excellent point de départ. De nombreuses entreprises ont déjà procédé à une telle nomination, et la nouvelle réglementation GDPR en cours d’élaboration devrait inciter de nombreuses autres à leur emboîter le pas. Carsten Casper, analyste du cabinet Gartner, souligne qu’« il est logique que de nombreuses sociétés aient en leur sein un chargé des questions de confidentialité indépendamment de la législation ».

Ce processus de mise en conformité nécessitera le soutien des dirigeants, une collaboration entre les services, la validation d’un budget, des ressources et des investissements technologiques. Quelle que soit la démarche adoptée par les entreprises, elles devront clairement identifier le ou les responsables de ce projet en interne.

2/ Auditez vos pratiques actuelles
Alors que les entreprises bénéficieront d’un certain délai avant d’être obligées de se mettre en conformité, il faut qu’elles commencent immédiatement à auditer leurs pratiques de partage de données, notamment l’utilisation de services américains de partage dans le cloud comme Dropbox, pour pouvoir cerner précisément où elles en sont et être prêtes à agir dès l’officialisation de nouvelles directives. Cet audit doit aussi permettre d’identifier les personnes concernées par ces changements au sein de l’entreprise et le type d’assistance nécessaire.

Il faut s’interroger sur les procédures, les stratégies ou les technologies qu’il est possible de mettre en place aujourd’hui et qui serviront les projets futurs. Une entreprise mature et agile se caractérise par la capacité de ses solutions à répondre aux besoins actuels tout en étant suffisamment souple pour s’adapter aux évolutions futures.

3 / Quels sont vos points les plus vulnérables ?
La possibilité de transférer les données en toute sécurité afin de garantir les processus opérationnels stratégiques est un point important pour les entreprises. Il n’a jamais été aussi important d’être sûr de sa politique en matière de transfert de fichiers. En l’absence de nouvelles lignes directrices concernant le remplacement du système Safe Harbor, il faut partir du principe que son remplaçant sera plus draconien et exigera des preuves.

Dans un monde où le numérique s’impose de plus en plus comme la norme, il est logique du point de vue économique de renforcer ses liens avec les partenaires, les sous-traitants ou les clients. Gérer le transfert et le stockage de tous les fichiers entre les clients, les employés, les partenaires, les systèmes de gestion, etc. peut-être une lourde tâche. La gestion des transferts de fichiers représente l’une de ces technologies facilitant l’accès aux données et la visibilité et la maîtrise complètes par le service informatique.

4 / Diffusez le message
Il ne suffit plus de mettre en place les bonnes mesures de sécurisation des transferts de données, toute entreprise se doit de garantir qu’elle a déployé les bonnes technologies de transfert de fichiers, les bons systèmes de sécurité et processus, une piste d’audit complète et, peut-être plus important encore, qu’elle a formé son personnel.

Les meilleures technologies au monde peuvent être mises en place, mais si les collaborateurs de l’entreprise ne savent pas ce que l’on attend d’eux, l’échec sera de mise. Préparer ses collaborateurs aux nouvelles exigences en matière de protection des données est aussi important que d’apprêter ses technologies.

5 / Paré à agir
Les organismes nationaux de protection des données des différents États membres de l’Union européenne sont en pleine effervescence afin d’analyser, d’intégrer et d’émettre des directives sur les procédures de traitement au quotidien par les entreprises. L’emploi de clauses contractuelles est une question débattue au sein de ces organismes nationaux. Certains experts préconisent l’usage de clauses à titre de solution provisoire en l’absence d’autres directives. Mais tous ne sont pas d’accord, L’autorité de surveillance allemande, argumente que ces clauses ne sauraient remplacer Safe Harbor. Quoiqu’il en soit, l’accent est mis sur l’anticipation de l’avenir pour que la mise en conformité puisse intervenir rapidement en temps opportun.

Si tout cela semble être un obstacle chronophage que les entreprises devront franchir, il convient de rappeler les implications de cet arrêt à propos de l’accord Safe Harbor pour tous en tant que citoyens. C’est une grande victoire pour la confidentialité des données personnelles. Il pourrait aussi se révéler être une grande victoire pour les entreprises. Pour paraphraser un principe de physique, l’innovation a horreur du vide. Le vide créé par Safe Harbor s’avérera être une opportunité d’amélioration dans un contexte où les entreprises cherchent de meilleures solutions pour renforcer le degré de responsabilité vis-à-vis des enjeux du numérique. (Par Michael Hack, vice-président senior des opérations EMEA d’Ipswitch).