Blog

Pourquoi choisir une solution américaine de sécurité en SaaS pose problème aux organisations européennes ?

Les organisations européennes se doivent d'être particulièrement vigilantes dans le choix de leur fournisseurs, surtout dans le domaine de la cybersécurité.

Le RGPD (Règlement Général sur la Protection des Données) impose aux entreprises de protéger les données personnelles en leur possession. Ainsi, elles ne peuvent les transférer en dehors de l’Union Européenne, qu’avec le consentement explicite et individuel des personnes. Cela est  également possible si les lois locales sur la protection des données ont un niveau équivalent à celui de l’Union.

La Cour européenne avait considéré jusqu’en juillet 2020 que les lois américaines protégeaient de manière semblable les données personnelles. Le Privacy Shield qui accordait une auto-certification dérogatoire aux éditeurs et hébergeurs américains a depuis été invalidé par la Commission européenne.

Maintenant, les entreprises européennes faisant appel à un éditeur ou hébergeur américain, doivent impérativement s’assurer que les données personnelles en leur possession soient chiffrées par ce prestataire. Celui-ci ne peut conserver la clé de déchiffrement, et doit la remettre exclusivement à ses clients européens. Ainsi, la société Doctolib a été autorisée à stocker ses données de prise de rendez-vous pour la vaccination Covid-19 chez l’hébergeur AWS, car les données sont chiffrées par un tiers français avant de transiter chez AWS.

En revanche, en octobre 2020, le Conseil d’État, suite au rapport de la CNIL, a imposé au Ministère de la Santé un changement de solution technique pour l’hébergement des données médicales collectées dans la cadre du projet Health Data Hub. Le Ministère de la Santé avait retenu la société Microsoft pour l’hébergement de ces données aux Pays-Bas. Cela présentait un risque trop important que Microsoft soit contrainte par le gouvernement américain à lui transférer les données médicales en sa possession, même si ces données étaient conservées sur le territoire européen. Le Ministère de la Santé s’est engagé à changer de solution dans un délai maximum de 18 mois.

En sélectionnant une solution non conforme au RGPD, les sociétés peuvent faire face à différentes sanctions :

  •  être contraintes d’arrêter le projet et de remplacer la solution par une autre qui soit conforme,
  • voire s’exposer à des amendes pécuniaires pouvant aller jusqu’à 20 M euros ou 4 % de leur chiffre d’affaires.

 

Téléchargez notre Livre Blanc pour découvrir tous les impacts du RGPD sur le choix d’une solution de sécurité SaaS :