EasyVista : le Patriot Act, risque pour les données confidentielles dans le cloud
Dans quelle mesure le Patriot Act remet-il en question la sécurité des données dans le cloud ? Une tribune libre de Jamal Labed, DG d’EasyVista, avec le concours du cabinet Henri Leclerc & Associés.
Le « Safe Harbour », un dispositif caduc ?
La Commission européenne a adopté le 26 juillet 2000 une décision d’adéquation qui reconnaît que les principes de « Safe Harbour » assurent une protection adéquate pour les besoins des transferts de données à caractère personnel depuis l’Union européenne.
Cependant, la décision d’adéquation de la Commission européenne en date du 26 juillet 2000 est antérieure à la promulgation de la législation résultant de l’USA PATRIOT ACT du 26 octobre 2001.
Le secret entourant les activités des services de renseignement relevant du gouvernement des Etats-Unis empêche toute vérification du respect des principes de la Directive notamment sur les activités de recueil, de traitement, de conservation des données et empêche tout contrôle des intéressés sur ces activités.
Il en résulte l’ineffectivité du « Safe Harbour » pour garantir la confidentialité des données hébergées auprès de sociétés de droit américain ou de leurs filiales, ou dans des serveurs situés aux Etats-Unis, notamment sur des plateformes cloud.
Dans le but de pallier l’ineffectivité de « Safe Harbour », l’Union Européenne a proposé qu’au cours du premier semestre 2012, un règlement intitulé « General Data Protection Regulation » ainsi qu’une Directive intitulée « Police and Criminal Justice Data Production Directive » soient publiés.
Ces instruments prévoient dans ce domaine l’accroissement des garanties qui devront être offertes par les pays tiers destinataires de données, et notamment la prise en compte par la Commission, afin d’émettre des décisions d’adéquation comme cela a été le cas pour « Safe Harbour », de la législation relative à la sécurité publique, la défense, la sécurité nationale et la criminalité, ainsi que l’existence et l’activité effective dans le pays tiers d’une autorité indépendante de protection des données à caractère personnel en charge de ce domaine et coopérant avec les autorités de l’Union.
En l’état, il est manifeste que les dispositions du USA PATRIOT ACT ci-avant relevées – à savoir notamment les sections 215, 504, 505 et 358 – sont incompatibles avec les exigences de protection et de confidentialité de l’Union européenne.
Il convient également de considérer que la décision d’adéquation de la Commission sur laquelle s’appuie le dispositif de « Safe Harbour » est caduque, du fait de la mise en œuvre de la législation dérogatoire résultant du USA PATRIOT ACT.
En effet, cette législation met à néant tous les principes de protection de la confidentialité des données, tels que ces principes sont édictés par la législation européenne, rendant ainsi ineffective la confidentialité prétendument attachée aux traitements de données réalisés dans le cadre du dispositif de « Safe Harbour » notamment pour les données hébergées sur plate-forme Cloud.
En revanche, il semble que le USA PATRIOT ACT est impuissant pour contraindre une société européenne – même si cette dernière a une filiale aux Etats-Unis – à communiquer ou laisser accéder les autorités américaines aux données personnelles qu’elle héberge en Europe ou dans un autre pays à l’extérieur des USA.
Mais la filiale située aux Etats-Unis est soumise à l’USA PATRIOT ACT pour les données qu’elle héberge.
En d’autres termes, la présence aux Etats-Unis d’une filiale d’une société européenne, ne permet pas d’atteindre la mère ou la sœur de ladite filiale, ni les données qu’elles hébergent en dehors des USA.
Crédit photo : © James Thew – Fotolia.com