L'invalidation du Safe Harbor, ce mardi 6 octobre par la Cour de Justice de l'Union Européenne a de quoi en faire trembler plus d'un. En reconnaissant que les États-Unis n'ont pas la capacité d'assurer un niveau de protection suffisant pour les données qui transitent sur son territoire, l'Europe fait littéralement un pied de nez aux fournisseurs américains de solutions en mode cloud.
Le plus simplement du monde, cette décision pourrait les empêcher de fournir leurs solutions aux entreprises domiciliées dans l'UE si leurs données venaient à passer par le sol américain. Elles ont en tous cas intérêt à trouver des alternatives rapidement, comme l'explique notre confrère, Stephen Lawson. Et si depuis l'affaire Snowden, de nombreux fournisseurs permettent à leurs clients de stipuler contractuellement que leurs données ne doivent pas passer par le sol américain, les faits ont démontré que cette mesure était parfois très difficile à mettre en place. Lors d'un POC mené avec Google, CDiscount, qui avait pourtant exigé que cet engagement soit tenu, a constaté que ses informations avaient tout de même traversé l'Atlantique.
Que ce soit pour les utilisateurs ou les fournisseurs, la situation semble loin d'être claire. Ces derniers semblent même dans l'embarras. Contactés par nos soins, ni SalesForce, ni Google ni Microsoft n'ont souhaité commenter l'information sur le marché français. La firme de Redmond s'est toutefois fendue d'un billet de blog expliquant que ses clients n'avaient rien à craindre. D'après elle, les dispositions prises pour coller aux exigences de l'Union Européenne en matière de protection des données avant l'invalidation du Safe Harbor suffisent aujourd'hui à garantir la légalité de ses services. Reste que, dans le flou juridique qui s'est installé avec cette décision de la Cours de Justice de l'Union Européenne, les lignes risquent de bouger.
La CNIL pas plus avancée
Nous avons essayé de joindre la CNIL pour en apprendre un peu plus sur l'impact que pourrait avoir l'invalidation du Safe Harbor sur le marché français mais cette dernière est restée muette face à nos sollicitations. Comme Microsoft, elle s'est juste fendue d'un communiqué. Campant sur sa position et celle du G29 (le groupe qu'elle forme avec ses homologues européens), la commission explique dans celui-ci qu'elle va maintenant devoir étudier au cas par cas les demandes de transferts de données qui lui seront soumises. Si la procédure doit être reproduite à chaque déploiement de solution en mode cloud par un opérateur américain, les DSI et les métiers vont vite trouver ça agaçant. Les membres du G29 devraient se réunir prochainement pour déterminer les conséquences juridiques de l'invalidation du Safe Harbor.
Toutefois, tout n'est pas si noir. Si l'Europe commence à mettre des bâtons dans les roues des fournisseurs américains, leurs concurrents du Vieux Continent ont peut-être de quoi se réjouir. « Il faut d'abord voir comment cette décision va s'appliquer dans la pratique avant de tirer des conclusions hâtives », tempère Pierre Baudracco, président de Blue Mind, un éditeur français de solutions de messagerie et d'espaces collaboratifs en mode cloud. « Après, ça prouve qu'il y a une prise de conscience à l'échelle de l'Union Européenne, ce qui et plutôt une bonne chose », ajoute le dirigeant.