La souveraineté des données dans un monde post-bouclier de protection de la vie privée

Une solution pour préserver la vie privée tout en favorisant la collaboration transfrontalière après Schrems II

Les entreprises sont confrontées à un dilemme numérique : elles veulent tirer parti des avantages en termes de productivité et de sécurité des principales plateformes mondiales de Cloud computing, mais craignent d’être confrontées à des obligations légales contradictoires et changeantes, voire de mettre en danger la vie privée de leurs clients. Par exemple, les entreprises européennes craignent d’être contraintes de transmettre les données de leurs clients au gouvernement américain, car (a) les principaux fournisseurs de services Cloud sont basés aux États-Unis et soumis à diverses lois exigeant une coopération avec l’appareil de sécurité nationale et intérieure américain, et (b) il n’existe actuellement aucun cadre multilatéral de protection de la vie privée.

Heureusement, comme le souligne cet article, il y a de bonnes nouvelles : Avec un chiffrement de bout en bout et une gestion des clés correctement mise en œuvre, les entreprises n’ont pas à échanger la vie privée et les nombreux avantages du Cloud. Il est important de noter qu’en novembre 2020, le Conseil européen de la protection des données (EDPB) – l’organisme qui supervise les régulateurs nationaux de la vie privée dans chacun des États membres de l’UE – a adopté des orientations qui précisent que le chiffrement de bout en bout est une mesure efficace pour permettre à la fois l’adoption du Cloud et les exigences de souveraineté des données de l’UE, qui sont souvent considérées comme l’étalon-or mondial de la vie privée.

Grâce au chiffrement de bout en bout, les entreprises peuvent :

• Adopter des services Cloud mondiaux tout en respectant les exigences de souveraineté des données.
• Protéger les droits de confidentialité des clients.
• Garder le contrôle total des données qui leur ont été confiées. 
• S’assurer que les concurrents, les gouvernements étrangers et les autres entités qui ne devraient pas y avoir accès ne peuvent pas accéder à leurs informations exclusives ou autrement sensibles.  

Virtru a été fondé pour tenir toutes les promesses du chiffrement de bout en bout afin d’accélérer la productivité, la collaboration et, finalement, la confiance. Virtru a été créé pour permettre un avenir où les droits fondamentaux sont appliqués au niveau des données, et où la protection se déplace partout où l’information va.

Virtru a adopté une approche de la sécurité des données qui donne la priorité à la confidentialité et à un accès contrôlé et granulaire, tel que défini par le propriétaire des données (ou, dans un contexte juridique européen, la « personne concernée »). Avec Virtru, les données cryptées peuvent être déplacées d’un domaine à l’autre tandis que la clé qui les déverrouille reste sous le contrôle et la juridiction exclusifs du propriétaire des données, permettant ainsi des flux de données transfrontaliers conformes, dont les avantages économiques et d’innovation sont bien documentés.

Aperçu du paysage politique actuel

En l’absence d’un cadre mondial de protection de la vie privée, les gouvernements adoptent des approches juridiques et politiques très différentes en matière de données. Par exemple, l’Union européenne a adopté de fortes protections de la vie privée pour ses citoyens européens.  Les États-Unis ont adopté une législation de grande portée en matière d’application de la loi, le leadership en matière de protection de la vie privée se situant au niveau des États (par exemple, la California Privacy Rights Act – CPRA).  En particulier, la loi américaine Clarifying Lawful Overseas Use of Data (CLOUD) Act (2018) a codifié que lorsque les données sont hébergées par des fournisseurs de Cloud basés aux États-Unis, même si leurs serveurs sont situés en dehors des États-Unis, ils peuvent toujours être contraints de remettre toutes les données au gouvernement américain.

La protection de la vie privée est devenue une question polarisante pour ces alliés occidentaux. Par exemple, une décision judiciaire clé des tribunaux européens (« Schrems II« ) a mis en évidence les risques potentiels pour le droit à la vie privée des résidents européens lors du transfert de données personnelles de l’UE vers les États-Unis. À la suite de cette décision, le cadre du bouclier de protection de la vie privée UE-États-Unis, adopté par de nombreuses entités commerciales cherchant à faire face à la concurrence au-delà des frontières, a été invalidé, laissant les entreprises dans l’embarras pour naviguer dans un écosystème politique mondial de plus en plus compliqué et hétérogène.   

La conclusion est la suivante : le système de lois nationales et régionales continuera d’évoluer, et les entreprises ont besoin d’outils flexibles pour naviguer dans ce paysage changeant.  La technologie qui place les entreprises au centre du contrôle de manière simple et flexible peut et doit être un élément central de la solution.

Paysage politique actuel : Loi américaine CLOUD

Pour comprendre l’escalade des tensions entre les États-Unis et l’UE en matière de politique de confidentialité, il est important de comprendre le U.S. CLOUD Act et les préoccupations qu’il soulève. Signé en mars 2018, le U.S. CLOUD Act exige que les fournisseurs de Cloud computing se conforment aux exigences en matière de mandat de perquisition en vertu des règles et de la juridiction américaines, qu’un enregistrement de communication ou d’autres informations soit physiquement situé à l’intérieur ou à l’extérieur des États-Unis. Par exemple, les données stockées sur un serveur Google en Belgique seraient toujours soumises à cette loi. Une demande de mandat ou d’assignation à comparaître en vertu de la loi américaine CLOUD donne au gouvernement américain la possibilité d’obliger un destinataire à remettre des données, quel que soit l’endroit où ces données sont stockées, dans n’importe quel lieu géographique, que ce soit aux États-Unis ou ailleurs dans le monde.

Ces préoccupations sont en plein essor et beaucoup trouvent les exigences de la loi américaine CLOUD inacceptables. La majorité des entreprises concernées, quel que soit leur pays, dépendent de leur capacité à préserver la propriété intellectuelle (PI), les informations confidentielles et autres secrets en toute confidentialité et sécurité. Ces entreprises doivent garder ces secrets privés et se protéger contre les exigences d’accès telles que celles codifiées dans des lois comme la loi américaine CLOUD.

Bien que les États-Unis abritent la grande majorité des fournisseurs de services Cloud d’entreprise tels qu’Amazon, Microsoft et Google, on ne sait pas comment l’industrie technologique américaine équilibrera les demandes géopolitiques concurrentes en l’absence d’un accord politique multilatéral officiellement adopté pour remplacer le Privacy Shield.

Paysage politique actuel : Schrems II et GDPR

Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé l’accord EU-U.S. Privacy Shield, précédemment adopté comme mécanisme pour transférer légalement des données personnelles de l’UE vers les États-Unis, en raison des perceptions concernant les pouvoirs des programmes de surveillance invasifs des États-Unis.  Cette décision de la CJUE est plus connue sous le nom de Schrems II. À titre d’information, l’arrêt « Schrems I » a été rendu le 16 octobre 2015 dans le cadre d’une affaire concernant Facebook Ireland et portant sur des transferts de données en vertu du prédécesseur du cadre du bouclier de protection de la vie privée UE-États-Unis, le Safe Harbor, qui a été invalidé à la suite de l’arrêt Schrems I.  Juste ou injuste, la réalité est que les révélations d’Edward Snowden en 2013 continuent de jeter une longue ombre sur les pratiques de surveillance américaines.

L’affaire Schrems II portait sur la validité à la fois du bouclier de protection de la vie privée et des clauses contractuelles types (CCS). La décision de la CJUE est complexe et d’une grande portée ; en bref, la décision Schrems II impose des obligations supplémentaires aux entreprises concernant les transferts légaux de données personnelles de l’UE vers les États-Unis. 

Les transferts de données à caractère personnel fondés sur le Privacy Shield sont désormais illégaux ; toutefois, au cas par cas et moyennant l’observation de contrôles rigoureux supplémentaires, les SCC restent un mécanisme valide et légal pour les transferts de données. Les responsables du traitement des données ou les sous-traitants, en ce qui nous concerne, les fournisseurs de Cloud, qui ont l’intention de transférer des données sur la base des SCC doivent s’assurer que la personne concernée bénéficie d’un niveau de protection équivalent à celui garanti par le GDPR.

L’objectif principal du GDPR est de donner aux individus et aux entreprises, pour les données de leurs employés et de leurs clients, le contrôle de leurs données, en offrant une transparence sur la manière dont les données sont utilisées, dans quel délai et dans quel but. Les entreprises américaines doivent désormais déployer un mécanisme de transfert qui démontre la protection des données personnelles des résidents de l’UE selon une norme équivalente aux droits prévus par le GDPR lorsque les données personnelles sont transférées hors de la juridiction de l’UE.

Virtru : Une solution pour protéger les données tout en favorisant la collaboration

Étant donné la domination du marché par les fournisseurs américains de solutions logicielles et en Cloud (c’est-à-dire les organisations qui relèvent du champ d’application de la loi américaine CLOUD), la plupart des entreprises concurrentes dans l’UE qui exploitent les technologies en Cloud et collectent les données des consommateurs (c’est-à-dire les organisations qui relèvent du champ d’application de la décision Schrems II) doivent faire face à la question du dogme États-Unis contre UE dans le cadre de leurs activités. Certaines d’entre elles peuvent éviter ou ralentir l’adoption de technologies basées sur l’informatique dématérialisée, risquant ainsi de perdre l’accès et la rapidité de mise sur le marché. D’autres peuvent choisir de ne faire affaire qu’avec des fournisseurs de services en Cloud européens ou non américains, conformément à la tendance inquiétante à l’isolationnisme et aux jardins clos qui se sont développés dans le monde entier.  

Heureusement, il existe une autre option pour ces entreprises, qui leur permet de participer pleinement à l’économie mondiale, de conserver les avantages du cloud public et de contrôler totalement l’accès aux données. 

Les entreprises concurrentes dans l’UE peuvent associer ces contrôles de sécurité rigoureux offerts par la technologie Virtru aux SCC, garantissant ainsi la conformité avec la législation européenne post-Schrems II tout en offrant un chemin géré vers l’accès autorisé pour les agences gouvernementales américaines.  Avec la protection des données Virtru, c’est l’entreprise européenne, et non le fournisseur de cloud, qui définit et applique la politique de l’entreprise au niveau de l’objet des données, garantissant que les données peuvent être consultées par tout gouvernement ou toute autre entité qui le souhaite avant de recevoir l’autorisation de la personne concernée.

Schrems II est un excellent exemple de la manière dont la technologie peut être conçue pour gérer des contraintes et des dilemmes juridiques contradictoires. Important, à mesure que la loi change, ou que la politique de l’entreprise change, ce qui est inévitable, Virtru est flexible et peut être adapté aux changements dans la réglementation nationale et internationale des données.  Virtru est agnostique vis-à-vis des Clouds et des fournisseurs ; il est agile sur le plan cryptographique, notamment grâce au chiffrement AES 256, et exige que les clés soient gérées séparément des données, ce qui garantit qu’aucune entité ne peut accéder aux données sans obtenir le consentement de la personne concernée, qui conserve la capacité d’autoriser l’accès.

Plus précisément, la solution affirme ce qui suit :

1. Les données peuvent être stockées sur n’importe quelle solution Cloud, y compris celles proposées par des fournisseurs basés aux États-Unis. Les données peuvent être stockées dans des espaces de stockage « non sécurisés » comme les solutions en Cloud américaines (« non sécurisés » signifie que l’accès est possible en raison de la loi américaine CLOUD et n’est pas encore techniquement restreint). Cela inclut l’utilisation de solutions commerciales prêtes à l’emploi de Google, Microsoft, Amazon ou d’autres fournisseurs basés aux États-Unis.
2. Les données sont enveloppées dans une couche de protection (cryptage). Les données sont cryptées et enveloppées dans une couche de protection sécurisée qui ne peut être déverrouillée que par le client ou le destinataire désigné. Bien que les données soient toujours accessibles, étant donné qu’elles restent cryptées, le fournisseur de services en Cloud est incapable de « lire » l’en-tête de l’enveloppe sécurisée ou le contenu de la charge utile.
3. Les clés qui déverrouillent cette couche protectrice sont gérées en dehors de la solution Cloud. Si le cryptage est la première étape de la sécurisation des données dans le Cloud, la souveraineté des données n’est atteinte que lorsque les clés sont gérées par le client ou le destinataire. La solution dicte que le client ou le destinataire possède et gère les clés de cryptage et les mécanismes de cryptage en dehors du contrôle du fournisseur de Cloud. Virtru offre la possibilité de stocker le composant de cryptage sur site ou dans un Cloud privé.

Avec une telle solution technologique, la souveraineté des données peut être atteinte. Les entreprises peuvent utiliser leur fournisseur de solutions en Cloud préféré et s’assurer qu’il n’est pas possible d’accéder à leurs données sans obtenir le consentement de la personne concernée. Les créateurs de données doivent être invités à accéder à leurs données et pourront décider de les partager ou non en fonction de leurs juridictions. Cela permet à nos clients de juger eux-mêmes de la manière dont leurs données peuvent être accessibles et utilisées, ce qui favorise la confiance et conduit souvent à une collaboration accrue.

Le cryptage : La protection des données : le choix des décideurs politiques

À la suite de la décision Schrems II en novembre 2020, le Conseil européen de la protection des données (EDPB), l’organisme qui supervise les régulateurs nationaux de la vie privée dans chaque pays membre de l’UE, a adopté des orientations qui détaillent les mesures supplémentaires acceptées qui fournissent des garanties supplémentaires pour atténuer les risques qui surviennent lors du transfert de données personnelles en dehors de l’UE.

L’EDPB considère le cryptage comme une mesure supplémentaire efficace si :

1. Les données personnelles sont traitées en utilisant un cryptage fort avant la transmission. 
2. L’algorithme de cryptage et son paramétrage (par exemple, la longueur de la clé, le mode de fonctionnement) peuvent être considérés comme robustes contre une cryptanalyse effectuée par les autorités publiques du pays destinataire, compte tenu des ressources et des capacités techniques (par exemple, la puissance de calcul pour les attaques par force brute) dont elles disposent.
3. La force du cryptage tient compte de la période spécifique pendant laquelle la confidentialité des données personnelles cryptées doit être préservée.
4. L’algorithme de cryptage est mis en œuvre de manière irréprochable par un logiciel correctement entretenu, de sorte que l’algorithme choisi a été vérifié ou certifié.
5. Les clés sont gérées, générées, administrées, stockées, le cas échéant, et liées à l’identité d’un destinataire prévu, et révoquées de manière fiable.
6. Les clés sont conservées uniquement sous le contrôle de l’exportateur de données ou d’une autre entité chargée de cette tâche et résidant dans l’EEE ou dans un pays tiers qui, selon l’UE, présente des niveaux adéquats de protection des données.

La raison d’être de cette règle est la suivante : si les données personnelles restent correctement cryptées, avec un algorithme de cryptage fort, seul l’exportateur de données (entreprise dans l’UE) dispose de la clé de cryptage pour décrypter les données et ré-identifier les individus auxquels les données appartiennent. Dans ce scénario, l’exportateur de données est le contrôleur final des données. Simultanément, l’importateur de données (fournisseur de services en Cloud) ne dispose pas des clés de décryptage pour accéder aux données. Pour cette raison, l’EDPB indique que l’utilisation du cryptage de bout en bout contribue à la sécurité des opérations de traitement et constitue un élément clé permettant aux entreprises de l’UE de se conformer aux exigences de Schrems II.

Dans un paysage politique en constante évolution, marqué par une baisse de la confiance, des conflits géopolitiques et une tendance mondiale à l’isolationnisme aggravée par la nouvelle pandémie de coronavirus, Virtru reste concentré sur ce qui compte : garantir la souveraineté des données, donner aux clients finaux un contrôle unique sur leurs données et encourager une collaboration de confiance au-delà des frontières. Le cryptage de bout en bout de Virtru, associé à une infrastructure distincte pour la gestion des clés, offre aux personnes concernées le pouvoir de contrôler leurs clés et d’accéder à leurs informations, ce qui constitue un niveau de protection avancé.

Vous voulez voir comment le chiffrement de bout en bout peut protéger les données exclusives de votre entreprise, partout où elles sont stockées et partagées ? Contactez Virtru pour une démonstration dès aujourd’hui !