Résultats de recherche pour : privacy shield

Transfert des données hors Europe : toujours pas de solution en vue

Depuis l’invalidation par la Cour Européenne de Justice l’été du Privacy Shield (qui définissait le cadre légal de sortie des données de l’Europe vers les USA), considéré comme insuffisant en termes de protection des données personnelles vis à vis de la loi américaine, la sortie des données depuis le territoire européen vers les USA se fait dans un flou total. En effet, en l’absence d’une réglementation remplaçant le Privacy Shield les entreprises qui envoient les données de résidants européens vers d’autres pays s’exposent à des actions en justice puisqu’aucun support légal ne le permet, et donc au cas par cas il faut identifier si le pays destinataire (ou ceux en transit) offrent un cadre légal qui protège aussi bien que celui de l’Europe. Sachant qu’en l’état, ni les USA ni de nombreux autres pays n’offrent ces garanties…

Les avis de l’European Data Protection Board (EDPB) ou Comité Européen de Protection des Données (CEPD) sont donc attendus pour essayer d’y voir plus clair. Le CEPD est l’autorité chargée de la protection des données pour les institutions, organes et organismes de l’Union européenne, et elle a été institué dans le cadre de la mise en place du RGPD. Le 10 novembre dernier, le CEPD vient de publier ses « Recommandations 01/2020 sur les mesures qui complètent les outils de transfert pour assurer le respect du niveau européen de protection des données à caractère personnel« , qui définit le cadre dans lequel des données peuvent être échangées, en garantissant le respect de la loi européenne. Et ces recommandations semblent loin d’apporter les clarifications attendues pour sortir du flou. Les recommandations du CEDP portent à la fois sur les aspects contractuels, organisationnel et surtout des mesures techniques drastiques, en particulier liées au cryptage (obligatoire) et à la pseudonymisation des données. Ainsi pour certains experts (voir ici l’analyse de Theodore Christakis, professeur de droit international et européen à l’Université de Grenobl, sur son blog), les possibilités de transfert sont en l’état quasi impossibles.

En résumé, les orientations de l’EDPB indiquent clairement qu’aucun transfert de données ne doit avoir lieu vers des pays non adéquats/non équivalents, à moins que les données ne soient cryptées ou pseudonymisées de manière si complète qu’elles ne puissent être lues par personne dans le pays destinataire, même pas par le destinataire prévu.

Theodore Christakis

Bref, la sortie du tunnel ne semble pas pour tout de suite ….

Alliance OVH / Google Cloud EN EUROPE

Google Cloud et OVH Cloud viennent d’annoncer hier 9 novembre 2020 la mise en place d’un » partenariat stratégique pour co-construire une solution de confiance en Europe. Il s’agit d’une belle réussite pour la société familiale de Roubaix qui affiche ainsi un accord avec un des géants du cloud mondial.

Ce partenariat s’inscrit d’une part dans la stratégie de Google pour remonter sur le duo de tête du cloud d’entreprise, AWS et Microsoft. Depuis maintenant plusieurs années, Google a affiché sa volonté de diversifier son activité au-delà de la publicité (qui représente encore 81% sur le dernier trimestre publié – juillet à septembre 2020), et de ne pas laisser seuls AWS et Microsoft sur le terrain du cloud d’entreprises. Par ailleurs, la remise en cause l’été dernier du Privacy Shield par la Cour de Justice Européenne, est en passe de rebattre les cartes du cloud en Europe. La pression de la Commission Européenne sur Google, Microsoft et AWS, avec notamment au coeur des débats la protection des données personnelles, incite les géants à nouer des accords avec des acteurs plus petits, ex concurrents, mais qui ont le grand mérite d’être des locaux…

OVHcloud proposera une nouvelle offre Hosted Private Cloud alliant la technologie Anthos de Google Cloud, compatible avec les technologies Open source, depuis sa propre infrastructure dédiée, hyper évolutive qui sera entièrement exploitée et gérée en Europe, par les équipes OVHcloud.

Source : OVH

Quant à l’intérêt d’OVH il est clair aussi. Grâce à ce partenariat, l’entreprise française accède à une visibilité et une technologie qui jusqu’à présent lui manquait (avec tout les respect dû à la success story de Roubaix).

Microsoft Cloud for Healthcare disponible

A l’heure où le microcosme du cloud français s’agite autour de l’hébergement de certaines données de santé (françaises) chez Microsoft, ce dernier vient d’annoncer la disponibilité générale de son cloud spécialisé pour le monde de la santé : Microsoft cloud for Healthcare, qui fédère Azure, Microsoft 365, Dynamics 365, et Power Platform. Annoncé en mai dernier, ce cloud spécialisé est donc maintenant ouvert à tous les acteurs du domaine (professionnels de santé, patients, assureurs …), pour construire et héberger des solutions. Avec cette nouvelle brique, Microsoft compte bien renforcer ses positions sur un marché crucial, en particulier dans cette période de pandémie mondiale.

Ce qui suscite le débat en France, c’est le choix en juin dernier de Microsoft comme hébergeur du Health Data Hub (ou Plateforme des données de santé), la plate-forme créée fin 2019, pour centraliser des données de santé de Français à des fins de recherche médicale, choix effectué au détriment du français OVH. Cette plateforme se veut un point focal pour le stockage des données de santé des français, qu’elles soient administratives ou cliniques. Dans le domaine des données de santé, la France a défini des objectifs ambitieux avec, dès 2016, la création du SNDS (Système National des Données de Santé), première tentative de plateforme fédérant des données de santé de différentes sources (assurance maladie, hôpitaux …). Le Health Data Hub est le dernier produit de cette démarche, et le choix d’un acteur américain, Microsoft, pour fournir l’infrastructure de la plateforme a suscité des réactions fortes de l’écosystème français, s’appuyant en particulier sur l’invalidation en juillet 2020 par la Cour Européenne de Justice du Privacy Shield, accord qui régissait les transferts de données entre l’Europe et les USA. Le Conseil d’Etat saisi par plusieurs organisations, a rendu une décision le 13 octobre dernier, qui si elle n’invalide pas le choix Microsoft, confirme l’existence de risques de fuites de données et demande des garanties supplémentaires. La recherche de telles garanties auprès de Microsoft sera t’elle positive ou bien le gouvernement devra t’il sélectionner un autre fournisseur ? Pour l’instant, pas de réponse à cette question, mais il est clair que les retards/absence total d’acteurs d’envergure, français ou européens, pour offrir des alternatives cloud crédibles face aux géants Microsoft, Google ou AWS, va peser lourd dans la réponse.

Un nouvel accord pour remplacer Safe Harbor

Safe Harbor, qui définissait le cadre des transferts de données des utilisateurs européens de services cloud vers les USA, avait été invalidé en octobre dernier par une décision de la Cour Européenne de Justice. Cette décision avait laissé le flou (ou plus de flou) s’installer dans ce domaine crucial pour beaucoup d’entreprises européennes qui avaient déjà sauté le pas vers des solutions clou US ou qui envisageaient de le faire. 

Safe Harbor est mort donc, vive Privacy Shield. Ce nouvel accord est le fruit d’intenses discussions pour combler le vide laissé par la disparition de Safe Harbor. Il représente un compromis entre 2 positions très différentes : d’un côté celle des défenseurs de la vie privée qui avaient contribué au sort de Safe Harbor et qui souhaitaient renforcer la protection des données personnelles, et de l’autre celle de l’industrie du cloud qui redoutait une réglementation trop stricte en Europe. Au final, les réactions des uns et des autres sont plus « tièdes » que prévues, chaque camp estilant que ce nouvel accord constitue un pas dans la bonne direction. 

L’accord a été pré annoncé par la Commissaire européenne en charge du dossier (Vera Jourova) en février et était soumis à l’avis du G29, un groupe de travail regroupant les représentants des différentes CNIL européennes. Le G29 s’est donc exprimé hier par la voix d’Isabelle Falque-Pierrotin sa présidente (et par ailleurs présidente de la CNIL française), qui considère que « des efforts ont été faits pour mieux définir les droits et encadrer le transfert des données personnelles ». Les Facebook, Google, Microsoft, Apple et toutes les entreprises qui s’appuyaient (entre autres) sur Safe Harbor pour leur choix cloud vont pouvoir respirer.