Vers un Safe Harbor 2 ?

Pour la dixième année consécutive, le 28 janvier est une date importante dans le calendrier européen. Il s’agit de la Journée mondiale de la protection des données, ou Privacy Day en anglais, qui est célébrée chaque année pour marquer la date anniversaire de l’ouverture à la signature de la Convention 108 du Conseil de l’Europe.

February 1, 2016

Pour la dixième année consécutive, le 28 janvier est une date importante dans le calendrier européen. Il s’agit de la Journée mondiale de la protection des données, ou Privacy Day en anglais, qui est célébrée chaque année pour marquer la date anniversaire de l’ouverture à la signature de la Convention 108 du Conseil de l’Europe.

Par Sven Schoenaerts, Managing Director Benelux NetApp

Celle-ci appelle à la « protection des personnes à l’égard du traitement automatisé des données à caractère personnel », vise à réguler les flux transfrontières des données personnelles et fournit des garanties quant à la collecte et au traitement des données personnelles dites sensibles. Elle entérine également le droit d’une personne à savoir où sont stockées les informations la concernant et, si nécessaire, à prendre des mesures correctives.

Protéger et traiter les données modernes

Cette année, la journée tombe au beau milieu de discussions et de négociations relatives au traitement et à la gestion des données, et il est probable que l’événement soit relégué au second plan. Au cours des dernières années, l’essor des services en ligne a simplifié l’accès aux données personnelles et en a compliqué la suppression. Résultat : le sentiment général est que la réglementation en matière de protection des données ne permet pas de traiter de façon éthique les données modernes ni de les protéger.

Dans ce contexte, nous avons été témoins fin 2015 de l’invalidation de l’accord Safe Harbor par la Cour de justice de l’UE. Cette décision a été motivée par les divergences d’idéologie majeures entre les attentes de l’UE en matière de protection des données et la volonté des États-Unis de développer le marché mondial et d’améliorer dans le même temps la sécurité, malgré les possibles effets néfastes sur la protection des données à caractère personnel. Pendant plusieurs années, le programme Safe Harbor a fait office de seul mécanisme de conformité pour beaucoup d’entreprises américaines, ce qui a poussé de nombreux acteurs économiques de par le monde à repenser leur approche du traitement des données.

Un Safe Harbor 2 ?

L’incertitude persiste alors qu’il faut sans doute se préparer à un éventuel accord Safe Harbor 2, et à des amendements aux règlements de l’UE plus tard cette année. Même si la réglementation doit encore être ratifiée en détail, ses grands axes se précisent déjà : nécessité d’évaluer rigoureusement les risques liés au traitement des données et de prendre des mesures contre la perte accidentelle de données. Les entreprises ne pourront traiter les données que si la personne concernée leur a donné son consentement ou si ce traitement est impérativement nécessaire. Lorsqu’une entreprise emploie plus de 250 salariés, elle sera également tenue de nommer un responsable de la protection des données en interne pour garantir la conformité du traitement. En outre, les personnes pourront demander la suppression de leurs données en vertu du droit à l’oubli.

Les entreprises du monde entier ont désormais conscience de ces incertitudes et, dans l’attente de la décision du législateur, commencent à prendre la mesure de l’impact potentiel de cette réforme. Une chose est sûre : à l’avenir, se conformer à la réglementation en matière de protection des données ne se limitera pas à assurer la sécurité des données. Si elles ne sont pas préparées à cette réforme législative, les entreprises risquent de lourdes sanctions, en l’occurrence une amende fixée à 5 % du chiffre d’affaires.

Les entreprises ne peuvent pas attendre

en attendant un éventuel Safe Harbor 2, nombre de sociétés prennent aujourd’hui des mesures dans la précipitation afin d’assurer leur conformité aux législations locales en matière de transfert de données. NetApp a adopté une approche différente.

Les sociétés qui transfèrent des données depuis ses 28 États membres (ainsi que l’Islande, le Liechtenstein, la Norvège et la Suisse) vers les États-Unis doivent trouver de nouveaux moyens pour que leurs données soient traitées conformément aux dispositions européennes en matière de protection des données. Désormais, ce sont la législation européenne relative à la protection des données et les réglementations en vigueur dans chaque pays qui priment.

« Comme aucune période de transition spécifique n’est prévue, les entreprises n’ont plus de temps à perdre : elles doivent configurer leur infrastructure IT de façon à exécuter des stratégies de conformité distinctes en matière de confidentialité, mais aussi à anticiper les futures évolutions législatives, » souligne Sven Schoenaert, Managing Director Benelux, NetApp.

Garantir la conformité et éviter toute pénalité

Plutôt que de dépendre du Safe Harbor, NetApp qui est basée aux Etats-Unis a choisi de procéder à la collecte, au traitement et au transfert des données depuis l’UE vers les États-Unis en s’appuyant sur les réglementations en vigueur dans chaque pays. La société est autorisée à transférer les données personnelles selon les Règles d’entreprise contraignantes (BCR), qui représentent le niveau de conformité le plus strict appliqué au sein de l’UE. Seules 30 entreprises américaines satisfont aujourd’hui à ces exigences.

Enfin, NetApp recourt également à des clauses contractuelles type, des accords de confidentialité des données et des consentements, ainsi qu’à des mécanismes de collecte, de traitement et de transfert des données parfaitement réglementaires.

Pour garantir la conformité et éviter toute pénalité, les entreprises doivent mettre en œuvre une infrastructure de gestion des données. Que les données soient stockées sur site ou chez un fournisseur cloud public ou privé externe, les entreprises doivent évaluer cette infrastructure. Pour rassurer leurs clients et salariés, elles doivent en outre veiller à ce que la collecte, le traitement, le partage, le stockage, le transfert et la protection des données, ainsi que l’accès à celles-ci, sont conformes aux lois et aux réglementations en vigueur, et que les données sont utilisées conformément aux méthodes convenues, légitimes et légales.

Savoir où est la donnée

Lorsque les entreprises envisagent de moderniser leur infrastructure de stockage et les processus, elles doivent ensuite déterminer s’il est possible d’intégrer, de gérer, de répliquer et de déplacer les données entre les systèmes de stockage et les fournisseurs cloud en toute flexibilité. L’avantage de cette approche de la gestion des données ? Les fournisseurs de services peuvent identifier l’emplacement de stockage des données, les déplacer facilement et les supprimer si nécessaire. Le système d’exploitation du stockage de NetApp, clustered Data ONTAP, est un parfait exemple. Il couvre de l’infrastructure locale au cloud pour créer un environnement Data Fabric unifié. Ainsi, les données sont plus faciles à contrôler et à gérer. Les fournisseurs cloud et les entreprises qui y ont recours peuvent plus facilement se conformer à la réglementation.

Somme toute, la Journée mondiale de la protection des données tombe à point nommé pour rappeler aux entreprises l’importance de la gestion et de la protection des données personnelles. Elle met également en lumière les incertitudes liées aux réformes et aux évolutions des mois à venir, alors que le législateur a décidé de créer un cadre juridique adapté aux données modernes. Pour les entreprises qui souhaitent bénéficier des avantages d’une infrastructure IT moderne, il est essentiel de garder le contrôle des données et de savoir s’adapter aux futures réformes.

Watch video

In the same category