La Commission européenne et les Etats-Unis sont parvenus à un accord sur le nouveau régime devant succéder au Safe Harbor. De nouvelles garanties ont été apportées quant à la protection des données personnelles des citoyens européens qui sont transférées vers les Etats-Unis. Pourtant l’application de l’accord Safe Harbor 2.0 ou Privacy Shield pose à nouveau aux entreprises le délicat problème du suivi et du contrôle des flux de données intégrant des informations personnelles.

Axway, leader du marché des solutions d’accompagnement à la transformation digitale des entreprises aborde le sujet.

Pour de nombreuses entreprises et notamment les plus grands groupes disposant d’infrastructures IT complexes, l’enjeu réside dans la maîtrise du système d’information et des flux de données. Comment relever ce défi dans un monde hyperconnecté, où des centaines d’applications d’entreprise échangent des milliers d’information sous différents formats. D’autant qu’une partie des transferts de données et des échanges échappe désormais au contrôle des services informatiques (Shadow IT).

Un seul mot d’ordre : le contrôle

L’objectif : bénéficier en temps réel d’une vision consolidée des transferts de données.

Plusieurs étapes sont nécessaires pour placer son système d’échange de données sous contrôle.

1. Cartographier les échanges qui rentrent dans le cadre de l’accord Safe Harbor2.0 et identifier les flux qui vont les supporter. Il peut s’agir de flux applicatifs ou d’échanges de données entre personnes, sous différents formats (messages, fichiers, flux http, .pdf…).
2. Structurer chaque flux et chaque échange et leur attribuer des règles de sécurité. Les mécanismes de transfert, de partage et de synchronisation doivent être associés à des droits utilisateurs régulièrement contrôlés. L’idéal serait de bâtir un référentiel des échanges à minima par grand type de flux (flux fichiers, flux messages, échanges via API Rest etc.) fournissant une vision consolidée de ce qui est exécuté et des droits utilisateurs associés.
3. Mettre en place un suivi des échanges afin de créer une piste d’audit permettant de retracer ce qui a été échangé, à quelle date et avec quel partenaire. Un suivi régulier permet d’analyser les manques et corriger les problèmes rencontrés (par exemple un fichier contenant des données en clair sur un serveur, un utilisateur créant un répertoire partagé non autorisé etc.)

Si les solutions de contrôle existent (ESB, MFT, EFSS, solutions de gestion des APIs…),qu’elles soient dans le Cloud ou « on premise », leur fragmentation créée des silosqui empêchent les directions informatiques de bénéficier d’une vision d’ensemble.

Le tumulte (justifié) autour du Safe Harbor

Nombreuses sont les entreprises qui vont devoir repenser leur infrastructure informatique et la rendre plus agile afin de garantir la protection des données. L’une des possibilités consiste à séparer, à l’avance et sur le plan technique, les infrastructures pour les différents pays ou les infrastructures utilisées pour les données avec divers niveaux de sensibilité. Les différentes parties d’un réseau peuvent être combinées les unes avec les autres sur des API afin que le niveau de sécurité le plus strict et les dispositions de conformité les plus complexes puissent être respectés, sous réserve d’une gestion efficace des API.

[colored_box color=”blue”]

Le nouvel accord Safe Harbor

Le Vice-président Ansip a déclaré: «Nous avons convenu d’un nouveau cadre solide sur les flux de données avec les Etats-Unis. Nos citoyens peuvent être sûrs que leurs données personnelles est entièrement protégé. Nos entreprises, en particulier les plus petites, ont la certitude juridique dont ils ont besoin pour développer leurs activités à travers l’Atlantique, nous avons le devoir de procéder à ces vérifications et nous allons suivre de près la nouvelle disposition pour nous assurer qu’il maintient la décision d’aujourd’hui et nous aide à construire un marché numérique unique dans l’UE, un environnement en ligne fiable et dynamique et renforcer davantage notre partenariat étroit avec les États-Unis. Nous allons maintenant travailler à le mettre en place le plus tôt possible.”

Le Commissaire Jourová a déclaré: «La nouvelle confidentialité UE-US Shield protégera les droits fondamentaux des Européens lorsque leurs données personnelles sont transférées aux entreprises américaines. Pour la première fois, les États-Unis ont donné l’assurance que les pouvoirs publics, même à des fins de sécurité nationale, seront soumis à certaines limites concernant les mécanismes de contrôle. En outre pour la première fois, les citoyens européens bénéficieront de mécanismes de recours dans ce domaine. Dans le contexte des négociations en vue de cet accord, les Etats-Unis ont assuré ne pas procéder à la masse ou la surveillance aveugle des Européens. Nous avons établi une revue annuelle conjointe afin de suivre de près la mise en œuvre de ces engagements.”

Le nouvel accord comprendra les éléments suivants:

• Des obligations fortes pour les entreprises de traitement des données personnelles des Européens et une application robuste: les entreprises américaines qui souhaitent importer des données personnelles d’Europe devront engager des obligations solides sur la façon dont les données personnelles sont traitées et les droits individuels garantis. Le Département du commerce contrôlera que les entreprises publient leurs engagements, ce qui les rend exécutoires en vertu de la loi américaine par les États-Unis. En outre, toute entreprise liée au traitement des données relatives aux ressources humaines de l’Europe doit s’engager à respecter les décisions prises par les APD européennes.
• Des garanties claires et obligation de transparence concernant l’accès au gouvernement américain: Pour la première fois, les États-Unis ont donné les assurances écrites à l’UE que l’accès des pouvoirs publics pour l’application de la loi de la sécurité nationale sera soumis à des mécanismes de contrôle. Les exceptions doivent être utilisées que dans la mesure nécessaire et proportionnée. Les US ont exclu la surveillance de masse sans discernement sur les données personnelles transférées aux États-Unis dans le cadre du nouvel arrangement. Pour surveiller régulièrement le fonctionnement de l’arrangement, il y aura un examen annuel conjoint, qui comprendra également la question de l’accès à la sécurité nationale. La Commission européenne et le Département du commerce des Etats-Unis vont procéder à l’examen des conditions en invitant des experts nationaux de renseignement des US et de la protection des données des autorités européennes.
• Une protection efficace des droits des citoyens de l’UE avec plusieurs possibilités de recours: Tout citoyen qui estime que ses données ont été mal utilisés dans le cadre du nouvel arrangement aura plusieurs possibilités de recours. Les entreprises ont des délais pour répondre aux plaintes. Les autorités européennes peuvent renvoyer les plaintes au ministère du Commerce et de la Federal Trade Commission. En outre, la résolution extrajudiciaire des différends sera gratuite. Pour les plaintes sur l’accès possible par les autorités nationales de renseignement, un nouveau médiateur sera créé.[/colored_box]