Données dans le Cloud : l’Europe travaille à minimiser la portée du Patriot Act

Les données des entreprises européennes hébergées dans les Cloud américains seront protégées par la future loi sur la protection des données, nous révèle aujourd’hui nos confrères de Zdnet UK qui sont parvenus à obtenir une copie des projets de lois actuellement en cours à Bruxelles.

Ces documents en question (qui sont au nombre de 2 - «General Data Protection Regulation» et «The Police and Criminal Justice Data Protection Directive») sont ainsi des premières ébauches de la future loi qui devraient être finalisées courant janvier et présentées lors du World Economic Forum, indiquent des sources.

On remarque ainsi d’emblée que Bruxelles travaille à une harmonisation des régulations dans l’Union européenne. La semaine dernière, la commissaire Viviane Reding s’était justement exprimée sur le sujet lors d’un discours à la Chambre de commerce américain. Elle avait déclaré que ce manque d’unité des lois sur la protection des données dans les 27 états-membres coutait aux entreprises quelque 2,3 milliards de dollars par an. Appelant à une refonte du système de protection intra-communautaire et poussant l’idée d’une plate-forme unique. Selon les documents publiés par nos confrères, les régulations du pays où est localisé la maison-mère s’appliqueront dans le cas où l’entreprise dispose de filiale dans d’autres états-membres.

Mais l’un des points importants également relevé par nos confrères rappelle que les fournisseurs de technologies de traitement des données (que Bruxelles appellent Data Processors) se plieront également aux mêmes règles que celles imposées pour les entreprises (data controller). Un accord qui définira la responsabilité de chacun - de façon équitable, souligne le document -  pourra être signé entre les deux parties. Dans le cas inverse, les deux parties seront tenues responsable. Enfin les entreprises européennes ayant des activités hors Europe devront également répondre aux exigences des lois européennes sur la protection des données, à condition de bureaux localisés dans l’Union ou de disposer d’un portefeuille de clients sur le territoire européen.

Evidemment, ces informations arrivent à point nommé dans une Europe où les entreprises  ont encore la gueule de bois après les déclarations de Gordon Frazer, directeur de Microsoft Royaume-Uni, en juillet dernier. Des déclarations (boulettes ?) selon lesquelles les autorités américaines, en invoquant le Patriot Act, pouvaient obtenir sur demande expresse les données des entreprises européennes, alors hébergées sur des infrastructures de Cloud américaines. Ce qui avait évidemment déclenché un raz de marée en Europe. Le 6 juillet, le Parlement européen s’était saisi du dossier, demandant à la Commission de prendre une position claire afin de déterminer si oui ou non le Patriot Act américain pouvait prévaloir sur les lois européennes en matière de protection des données.

Du côté des Etats-membres, le premier à régir fut les Pays-Bas, en septembre. Face au mutisme de la Commission, le gouvernement avait entamé une réflexion visant à exclure les offres de Cloud américaines de leurs appels d’offres et de leur politique d’achats. Histoire alors de prendre les devants et de mettre un peu plus la pression sur la Commission dans ces travaux de refonte des lois. Si les ébauches alors à l’étude à la commission étaient alors transformées officiellement, Bruxelles viendrait ainsi clarifier la situation.

Enfin, cette réforme devrait remplacer les accords en place entre l’UE et les Etats-Unis, encadrés par Safe Harbour (qui autorise la transmission de données personnelles vers les Etats-Unis, notamment). La future loi imposerait ainsi aux entreprises la mise en place d’ autorisations pour le transfert de données d’un état vers un pays non européen. Ce qui selon nos confrères rendrait illégale la transmission de données européennes aux autorités américaines, par la simple invocation du Patriot Act.