Protection des données : seul un fournisseur Cloud sur cent serait prêt pour la prochaine loi UE
La grande majorité des fournisseurs de cloud n'est pas encore préparée à répondre aux exigences de la nouvelle directive européenne sur la protection des données privées, qui devrait entrer en application l’année prochaine.
La grande majorité des fournisseurs de cloud ne sont pas encore préparés à répondre aux exigences de la nouvelle directive sur la protection des données, dite "EU General Data Protection Regulation", qui devrait entrer en application l’année prochaine. Une loi qui remplacera l’ancienne directive de 1995 sur la protection des données (EU Data Protection Directive).
Selon les conclusions d’une étude réalisée par le spécialiste de la sécurité de Skyhigh Networks, seulement 1 fournisseur de services cloud sur 100 est prêt pour respecter la nouvelle directive portant sur la protection des données. Une loi qui entend moderniser l’ancienne régulation pour s’aligner sur les contraintes imposées par Internet et le Cloud.
La nouvelle directive, qui devrait être votée en 2014 pour une implémentation en 2015, impose aux contrôleurs des données (les entreprises propriétaires des données), à ceux qui traitent les données (tels que les fournisseurs de cloud et les hébergeurs) de partager leur responsabilité en matière de fuite de données et de violations de la loi.
Cette nouvelle loi s’appliquera aux entreprises européennes qui traitent des données personnelles et aux entreprises hors de l’Europe, qui contrôlent les citoyens européens ou traitent des données personnelles obtenues à partir de biens ou de services offerts aux citoyens européens.
Un examen de plus de 7 000 services cloud, effectué par Skyhigh Networks , a ainsi révélé que les fournisseurs ont des problèmes évidents avec les contraintes imposées par la nouvelle loi, notamment au sujet de la résidence des données, de la détection et de la notification des fuites de données, du chiffrement et des politiques de suppression des données (le droit à l’oubli).
« Il est sidérant de constater que peu de fournisseurs cloud sont préparés aux nouvelles régulations européennes, mais heureusement, il reste encore du temps pour se mettre en conformité. Cela implique de résoudre dès maintenant un certain nombre de problèmes, comme le droit à l’oubli, et d’implémenter des politiques de protection des données qui soient conformes à ces nouveaux standards », affirme Charles Howe, directeur de Skyhigh Networks pour l’Europe.
Cette nouvelle loi vise également à renforcer la confiance des consommateurs et des entreprises dans l’économie numérique en Europe.
« Pour les fournisseurs de cloud, cela implique inévitablement des ressources ainsi que des dépenses supplémentaires, mais ce n’est rien comparé aux pénalités pour violation de la loi, qui peuvent atteindre jusqu’à 5% des revenus annuels d’une entreprises ou jusqu’à 100 millions d’euros. »
Ce qui tranche avec la directive de 1995 qui ne comportait aucune démarche en matière de pénalités. Ces lourdes amendes vont transformer la protection données en un enjeu crucial et obligeront les entreprises à passer en revue ce qu’elles doivent faire pour se mettre en conformité, soutiennent quelques experts.
Le droit à l’oubli – un parcours difficile
L'un des amendements les plus controversés est le droit à l’oubli – les individus ont le droit civique de demander que leurs informations personnelles soient supprimées d’Internet. « Il s’agit d’un problème complexe, mais étant donné l’intérêt des medias, il est peu probable que les fournisseurs de cloud soient pris par surprise », explique Howe.
« Un gros problème est que 63% des fournisseurs cloud conservent leurs données indéfiniment et n’ont aucune disposition en matière de rétention des données dans leurs conditions de vente », ajoute-t-il.
Une autre donnée vient s’ajouter : 23% des fournisseurs cloud gardent la notion de droit de partager les données avec d’autres entreprises tierces dans leur condition de vente. Ce qui complique un peu plus le fait de garantir la suppression de toutes les données, a également révélé l’étude. « Il est juste de dire que le droit à l’oubli peut s’avérer être un vrai parcours du combattant pour de nombreuses entreprises – les fournisseurs de cloud eux-mêmes et leurs clients. Il ne s’agit pas que d’un problème pour Google », soutient Howe.
L’étude rapporte également que seulement 11 pays sont conformes aux contraintes de l’UE en matière de résidence des données. La loi impose que les entreprises ne stockent ni ne transfèrent des données dans des pays hors de la zone européenne qui n’ont pas de standards équivalents en matière de protection des données.
La question de la résidence des données se pose également pour fournisseurs de cloud avec des datacenters dans le monde, qui dans leurs opérations courantes peuvent transférer ou stocker des données dans des pays qui ne sont pas conformes aux règles européennes. Les Etats-Unis, où 67% des datacenters pour le cloud sont localisés, font partie de ces 11 pays.
La résidence des données sera une difficulté clé pour les services cloud lorsque la nouvelle loi entrera en vigueur – puisque seulement 8,9% des fournisseurs américains disposent de la Safe Harbour Certification, qui les exempte de cette contrainte, soutient Skyhigh Networks.
« Un brouillon de la nouvelle loi obligeait les entreprises à notifier aux autorités européennes dans les 24 heures, une fuite de données, même si celle-ci est intervenue dans un service cloud tiers. Le problème tient au fait que de nombreux fournisseurs de cloud tiennent expressément responsable le client de la détection de faille et cela peut être une opération impossible », ajoute encore Howe.
« Certaines régulations en place, comme au Royaume-Uni ou en France, permettent aux entreprises de contourner les contraintes liées à la notification de failles, si les données sont rendues inaccessibles via le chiffrement. Malheureusement, seulement 1,2% des fournisseurs de cloud propose la gestion des clés de chiffrement nécessaires pour cela », commente-t-il.
« La difficulté est que seuls quelques fournisseurs de cloud proposent des outils pour protéger nativement les données. En fait, seulement 2,9% des services cloud ont en place un système de mots de passe sécurisés. « La General Data Protection Regulation n’entre pas en application avant 2015, mais il reste encore beaucoup de travail à accomplir jusque-là », conclut Howe.
Traduit de l'anglais par la rédaction