Vous cherchez un hébergeur pour vos SI et/ou vos données ou un prestataire de service informatique.
Le choix est vaste et souvent américain.
Toutefois, si vos activités sont sensibles et en concurrence forte, nous vous conseillons de trouver des partenaires européens, dont les SI sont hébergés sur le territoire de l’Union Européenne (UE).
Pourquoi ? Connaissez-vous le Patriot Act et le Cloud Act ?
Quelques réglementations à connaître pour le choix de l’hébergeur de vos SI et données.
Qu’est-ce que le Patriot Act ?
Le Patriot Act est une loi antiterroriste américaine qui autorise les autorités américaines à accéder à tout moment et sans autorisation judiciaire aux données informatiques des entreprises ou des particuliers stockées chez un hébergeur américain, sur le sol américain, même s’il s’agit d’une filiale localisée hors des Etats-Unis. De plus, les autorités américaines n’ont aucune obligation d’informer les propriétaires des données consultées.
A savoir également, l’Agence Nationale de la Sécurité Américaine (NSA) bénéficie de l’accès direct aux informations stockées sur les serveurs d’entreprise américaines (prestataires de service dont les hébergeurs), même si ces serveurs sont situés en dehors des Etats-Unis.
Donc si vos SI et données sont stockées chez un hébergeur aux Etats-Unis ou chez une société américaine quelle que soit sa localisation géographique, vous pouvez donc être espionné et vos données sensibles exploitées par les autorités américaines en toute légalité.
Qu’est-ce que le Cloud Act ?
Le Cloud Act, est une loi américaine (2019) qui autorise l’administration américaine à utiliser des données étrangères.
Les autorités américaines ont, par cette loi le droit de demander à tout opérateur numérique et prestataire de service américains de divulguer les données personnelles de leurs utilisateurs sans passer par les tribunaux et sans que les utilisateurs concernés en soient informés et sans recours possible, y compris lorsqu’elles sont stockées en dehors du territoire des Etats-Unis.
Il s’agit d’une sorte de permis d’espionnage.
Le Cloud Act s’applique, à toutes les entreprises dont les SI et données sont hébergés chez une entreprise américaine, par exemple Amazon, Google, Facebook, Microsoft, … (et leurs filiales à l’étranger) ou qui utilisent des services d’entreprises américaine, par exemple Instagram, Twitter, Linkedin, Whatsapp, Messenger, Office 365, Gmail même si les données sont stockées en Europe.
Le champ d’application du Patriot Act se limitait aux données stockées sur le territoire américain. Avec le Cloud Act, il n’y a plus de limite géographique.
En conclusion, nous vous recommandons vivement d’héberger vos SI et données chez un prestataire européen qui héberge ses SI et ses données sur le territoire de l’UE et d’utiliser des services d’entreprises européennes qui respecte le droit européen.
Quelques rappels sur le RGPD
Le RGPD (Règlement Général sur la Protection des Données personnelles) impose aux entreprises, lorsque leurs données (des données personnelles au sens du RGPD) sont traitées hors UE, et donc transférées hors UE, de s’assurer que ces données personnelles seront traitées avec des garanties adéquats (conformes au RGPD).
Certains pays hors UE ont mis en place sur leur territoire une législation offrant cette garantie adéquate, tel que le Japon, Singapour, le Canada…
Les Etats-Unis ont mis en place le Privacy Shield (suite à l’invalidation par l’UE du précédent texte, le Safe Harbor) soit le Bouclier de Protection des Données.
Le Privacy Shield est un mécanisme d’auto-certification censé permettre aux entreprises établies aux États-Unis qui satisfont à ses exigences d’être considérées comme offrant une garantie juridique adéquate quant à la protection des données personnelles, c’est-à-dire conforme au RGPD.
Cependant, à ce jour, le Privacy Shield présente, selon le CEPD (la CNIL européenne) des insuffisances.
Dans ce cas, l’entreprise doit, selon le RGPD, insérer dans le contrat de sous-traitance dont les données personnelles font notamment l’objet, ce que l’on appelle une clause contractuelle type (au sens RGPD). Cette exigence est donc peu probable avec d’éventuels prestataire de service tels que Google, Amazon…
Donc, votre meilleure option est l’hébergement de vos données personnelles en UE.
Vous aurez été prévenu !
En cas de question, contactez-nous, nous nous efforcerons de répondre dans les plus brefs délais.