Les plateformes cloud américaines ne sont pas conformes au RGPD

Les plateformes cloud américaines ne sont pas conformes au RGPD

Alors que le gouvernement fédéral allemand a déjà décidé de s'appuyer sur une solution de cloud privé fournie par Nextcloud, d'autres gouvernements sont toujours à la recherche de solutions. Beaucoup utilisent les services de "cloud computing" américains et, comme les Néerlandais l'ont récemment découvert, doivent en conclure que ces données fuient.

Maintenant, le gouvernement suédois a essentiellement conclu que les nuages américains ne sont pas conformes au RGPD (des cloud tels que Google Drive, Microsoft OneDrive, Dropbox, Box.net, entre autres) alors que les régulateurs américains de la protection de la vie privée admettent qu’ils n’ont pas été en mesure de faire de la surveillance au cours des deux dernières années.

Incidents et rapports

L’incident néerlandais a impliqué des données, y compris ce que les gens ont écrit dans des documents et le sujet des courriels, qui ont été collectées sur des serveurs américains à des fins de diagnostic. Un rapport du ministère de la Justice a indiqué que l’utilisation de la solution de Microsoft "présentait un risque élevé pour la vie privée des utilisateurs".

En Suède, le bureau des marchés publics a publié un rapport confirmant que l'utilisation de services fournis par des entités sous contrôle américain contrevenait aux articles 44 à 50 du RGPD de nombreuses manières.

L'Europe a remarqué

Il n’est probablement pas surprenant que la situation actuelle ne soit pas passée complètement inaperçue. Le Comité Européen de la Protection des Données a déclaré en janvier de cette année: "En conclusion, le EDPB n'est pas en mesure de conclure que le médiateur dispose de pouvoirs suffisants pour accéder aux informations et remédier aux cas de non-respect, et ne peut donc pas affirmer que le médiateur peut être considéré comme un «recours effectif devant un tribunal» au sens de l'art. 47 de la Charte des droits fondamentaux."

Et Giovanni Buttarelli, contrôleur européen de la protection des données (CEPD), a déclaré dans un entretien récent : "À l'heure actuelle, il y a trop de pouvoir entre les mains de quelques méga entreprises de technologie et de gouvernements. Nous devons décentraliser Internet, donner plus de pouvoir aux gens dans leur vie numérique. Les ingénieurs ont une voix valide, mais ils doivent participer à une conversation avec des avocats, des éthiciens, des experts en sciences humaines. IPEN, notre initiative, cherche à le faire."

Il n’est pas improbable que des mesures soient prises - par exemple, un défi à la réglementation sur le bouclier de protection des données. Si cela se concrétise, les entreprises qui misent sur cela devront se démener pour trouver d'autres fournisseurs et récupérer leurs données en Europe.

Qu'est-ce que tout cela veut dire

En récapitulant les déclarations des gouvernements américain et européen, nous pouvons conclure :

  • La surveillance exercée par les États-Unis sur la vie privée et la surveillance fait cruellement défaut ou est totalement absente.
  • Ce qu'ils peuvent nous dire, c'est que :
    • La collecte de données sur les citoyens européens est en cours.
    • Ces données sont collectées bien au-delà de ce qui serait nécessaire à des fins de lutte contre le terrorisme, mais on ignore à quoi elles servent.
    • Les collections et les informations à fournir comprennent des données provenant de "courtiers en données", de Google, de Facebook, de sociétés de cartes de crédit, etc.
  • Les institutions européennes le découvrent lentement :

Il semble raisonnable de dire que, compte tenu du fait que le problème est maintenant largement reconnu, les entreprises qui transfèrent des données sensibles outre-atlantique font face à un risque juridique croissant et doivent rechercher des solutions cloud conformes au RGPD leur permettant de garder les données sous leur contrôle.


Plus d'information sur https://nextcloud.com/blog/eu-and-us-government-agencies-converge-on-conclusion-us-cloud-platforms-not-compliant/