Blog

Comment les entreprises peuvent-elles être en conformité avec le RGPD tout en utilisant un fournisseur non-européen ?

C'est une question primordiale pour toute organisation européenne.

Les États-Unis se sont dotés depuis plusieurs années de réglementations très contraignantes et d’un droit extensif (extra-territorialité) qui entraînent des risques particuliers. Ainsi, avec le Cloud Act, loi de 2018, les organes gouvernementaux américains peuvent requérir auprès des fournisseurs de communications électroniques ou de services informatiques, la transmission de données hébergées aux États-Unis voire même en dehors du sol américain. En effet, un prestataire américain qui héberge les données de ses clients en France, reste toujours soumis au Cloud Act. Il n’a, par ailleurs, pas l’obligation d’alerter ses clients sur la transmission de leurs données aux agents gouvernementaux.

Pour une entreprise française choisir un fournisseur de sécurité SaaS américain, c’est donc prendre le risque que ses données soient accessibles aux organes gouvernementaux américains, sans qu’elle en soit avertie. En juin 2021, Tom Burt, le responsable de la sécurité des clients de Microsoft, a déclaré devant une commission judiciaire américaine, qu’un tiers des plus de 11 000 demandes d’accès aux données émises par le gouvernement est accompagné d’une ordonnance de confidentialité. Ainsi, les clients dont les données sont transmises au gouvernement, ne sont pas tenus informés de cette consultation. Bien sûr cela ne se limite pas uniquement aux données détenues par Microsoft, mais aussi à celles conservées par toutes les entreprises américaines de la tech, GAFAM et autres.

C’est pourquoi, une entreprise qui choisit un fournisseur français protège ses données d’une éventuelle consultation ordonnée par les États-Unis.

Pour en savoir plus sur les risques encourus en choisissant un fournisseur américain, téléchargez notre Livre Blanc :