D'ici l'année prochaine, une loi de protection et de régulation des données devrait être adoptée en Europe afin de moderniser la directive actuellement en vigueur depuis 1995.
La future loi prévoit notamment que les responsabilités des fautes commises soient partagées entre le propriétaire des données et l’hébergeur. En vue : une prise de conscience des entreprises sur la nécessité de protéger l'information volatile puisque, par essence, stockée sur des réseaux partagés.
Pour la majorité des services cloud, et notamment ceux dont l'infrastructure est basée à l'étranger, il n'existe actuellement pas de système de répartition des fautes commises quand une faille entraîne la dissémination d'informations sensibles. Or, une vaste part de ces brèches est due à la fragilité des moyens de protection mis en œuvre contre les fuites de données.
Des fournisseurs cloud conservent les données indéfiniment
De grands acteurs du cloud proposent désormais à leurs clients des services de sécurité dernier cri comme l'authentification multifacteurs. Amazon a récemment ajouté cette technologie à Workspaces, son poste de travail dans le cloud.
Et de tels outils sont nécessaires, lorsque l'on sait que 63 % des fournisseurs de cloud conservent les données indéfiniment, proposant des contrats qui ne stipulent aucune règle quant au phénomène de rétention des données.
Mieux, 23 % de ces fournisseurs s'octroient le droit de partager ces informations sensibles avec des tiers. Toutefois, toute entreprise dont le bureau est en Europe, dont les données transitent par l'Europe, ou encore qui détient des données personnelles sur des résidents européens, doit suivre la législation européenne.
Pour garantir le respect des obligations actuelles dans ce domaine, les États-Unis ont adopté une « sphère de sécurité » dénommée Safe Harbor. Elle certifie qu'une entreprise américaine respecte la législation de l'espace économique européen quand cela s'impose. Toutefois, seulement 9 % des fournisseurs de cloud basés aux États-Unis et intervenant Europe respectent son principe.
Un contrôle de conformité accru
Toujours en phase préliminaire, la loi de régulation et de protection générale des données (General Data Protection Regulation) prévoit d'étendre le texte actuel à la prise en compte d'aspects comme la mondialisation, les développements technologiques et l'essor des réseaux sociaux.
En cas de non-respect de la réglementation, la future loi prévoit des amendes dont le montant s'élèverait entre 2 et 5 % du chiffre d'affaires global de la société.
Moins permissif qu'auparavant, le texte fait mention d'entités de contrôle appelées autorités de protection de la donnée (Data Protection Authority). En France, cela correspond, à une échelle plus petite, à ce que fait déjà la CNIL. La différence, ici, est que chaque DPA sera surveillée par un « bureau de la protection de la donnée en Europe ». Il coordonnera l'action de toutes les DPA réunies.
Plus attendu par de nombreux citoyens et associations, le droit à l'oubli est également prévu dans la nouvelle loi. Il n’en est cependant qu’à l’état embryonnaire puisqu'il ne devrait pouvoir être mis en œuvre que si les intérêts légitimes de la personne se trouvaient atteints.