La législation varie d’un continent à l’autre, où le point de vue sur ce qui est personnel et privé change très nettement selon les lois. Aux Etats-Unis, depuis les attentats du 11 septembre, et même avant, certains services spéciaux et entreprises s’autorisent l’accès à toutes les données, de façon plus ou moins légale et transparente. Plus près de nous, en Angleterre, la notion même de privé n’est pas identique à la notre et permet là encore une protection amoindrie des données des particuliers. Pour les entreprises, le système est le même. Au nom de la surveillance, ou de la lutte contre les fraudes fiscales, certains pays fouinent dans les serveurs. Si le principe de base semble légitime, le résultat s’avère nettement plus contestable. Car une fois les data aspirées, tout est disponible, et pas seulement ce qui aurait affaire avec la cybercriminalité, le terrorisme ou le fiscal. L’espionnage de protection se termine souvent en espionnage industriel. Voir en moyen de pression.

La Communauté européenne conserve, elle, une éthique à laquelle les habitants du Vieux continent restent farouchement attachés : ce qui est privé demeure privé ! La Commission européenne chargée de la Justice a établi un nouveau règlement relatif à la protection des données personnelles, copie que les Etats membres ont demandé à revoir, considérant que l’équilibre entre la protection du citoyen et les intérêts économiques des acteurs du numérique n’était pas respecté. Le règlement en vigueur actuellement date de 1995, période où Internet transportait seulement 1% de l’information contre 97 % aujourd’hui. Attendu depuis 2011, la date butoir pour ce nouveau règlement est 2015. C’est à dire cette année.

Dans les mesures demandées par la Commission Européenne, la notification des violations de traitements de données personnelles, le durcissement de la définition du consentement, la création de nouveaux droit sur l’oubli et la portabilité des données sont des accentuations précises pour la protection de la vie des citoyens et des entreprises. Ces demandes sont portées au plus haut niveau européen : le président de la Commission européenne, Jean-Claude Juncker s’est montré clair sur ce point. « Je ne sacrifierai pas les normes européennes de sécurité, de santé, les normes sociales, les normes de protection des données ou notre diversité culturelle sur l'autel du libre-échange ». Et la Commission européenne n’a pas l’intention de s’en tenir la, puisqu’elle intègre dans son plan le Big Data

Le député allemand Patrick Sensburg, président de la commission d’enquête sur la NSA au Bundestag, indique que la commission se penche sur le "Shengen routing”, un réseau européen avec des serveurs européens qui serait une des priorités.

Concernant le Cloud, les exigences sur la protection des données est sur le grill. Le « paquet réglementaire européen relatif à la protection des données » semble être ignoré. L’étude réalisée par Skyhigh Networks sur 7.000 services Cloud, allant de Microsoft Office à WebEx est effrayant. Seul 1 serait dans les clous du règlement européen. En effet, les lobbies industriels américains, tout comme les Anglais, s’opposent au garde-fou que le règlement impose sur le transfert des données hors Union Européenne et refusent aussi le droit à l’effacement des données émises par les internautes de l’U.E. 63 % des fournisseurs de Cloud conservent les données indéfiniment ou tout simplement n’ont pas de programme d’effacement. Pire, en désaccord flagrant avec la réglementation, 23 % continuent leur politique de partage des données avec des tiers dans leurs conditions d’utilisation.

L’Europe protège bien mieux les données. Aucune organisation n’a le droit de stocker ou transférer les données dans des pays aux normes moins strictes que celles de l’U.E. Ainsi, la différence est de taille tant pour les particuliers que pour les entreprises dans le choix de data centers en Europe ou ailleurs. De fait, un particulier ou une société soucieux de cette protection doit être sensible au lieu de stockage que proposent les fournisseurs de Cloud. Le fait qu’un service de Cloud ait un nom français n’est pas une assurance, les data centers pouvant se situer n’importe où sur la planète. Pour exemple, 72 % des services Cloud utilisés aujourd’hui en Europe hébergent les données de leurs clients outre-atlantique, et certaines ne possèdent même pas de système de cryptages pour la sécurité puisque seules 12 % des entreprises Cloud les ont mis en place.

Les entreprises Cloud françaises et européennes qui possèdent leur data centers sur le territoire européen offrent donc un panel de services de protection de confidentialité et de protection des données qui n’a pas de commune mesure avec ceux qui sont hébergés aux Etats-Unis, en Chine ou en Inde.

La directive européenne qui devrait entrer en vigueur cette année ne prévoit pas que la protection des données. Afin de pouvoir être appliquée, elle prévoit aussi un volet répressif, avec des amendes à la hauteur des infractions, ou chacun devra prendre ses responsabilités sans pouvoir se cacher derrière le prestataire de services. Ainsi, l’organisation qui possède les données (comme un site de e-commerce par exemple), sera condamnée tout comme le prestataire de l’hébergement (le fournisseur Cloud par exemple). Les amendes prévues pourraient aller jusqu’à 100 millions d’euros ou 5 % du chiffre d’affaire annuel mondial. Dissuasif !

Les entreprises utilisatrices vont donc avoir très rapidement tout intérêt à recentrer leurs providers ou en changer pour se mettre à l’abri, en exigeant des offres avec data centers implantés en Europe, certifiés ISO/IEC 27001. En plus de les protéger des amendes colossales, des fuites qu’elles auraient du mal à gérer et qui couteraient très cher, elle possèderaient la reconnaissance de leurs clients pour leur fiabilité, leur sécurité et leur éthique. D’où un véritable retour sur investissement.

Alors même si les data centers européens sont un peu plus chers que ceux implantés en Inde ou aux Etats-Unis, ce qui reste à prouver, le bénéfice sera au bout de l’exercice. Parce que le low-cost, c’est une vue à très court terme, qui peut se révéler bien plus onéreuse à l’usage.

Côté Etats-Unis, la bataille n’est pas gagnée, tant du côté des providers de Cloud que du côté des entreprises commerciales ou de logiciels : « Il est important de garantir que les données puissent traverser les frontières sans obstacle. C'est indispensable pour les sociétés qui offrent et utilisent des produits et des services numériques ainsi que pour les entreprises mondiales qui gèrent leurs opérations internationales », indique M. Ohrenstein, Directeur de BSA. De même, John Boswell, vice-président de SAS : « Au cœur de cet objectif, nous retrouvons des politiques favorables aux données qui encouragent l'utilisation, la libre circulation et l'analyse de données, facilitent l’établissement des entreprises en Europe fondées sur l'innovation orientée données, et établissent le cadre de confiance nécessaire pour les citoyens européens qui tireront en fin de compte profit de l’avalanche de données et de leur analyse ». Et IBM Europe de suivre la même ligne par la voix de son vice-président des programmes gouvernementaux, Liam Benham : « La circulation des données est essentielle pour faire des affaires au XXIe siècle. C'est pourquoi elle doit faire partie des discussions sur le PTCI dès le départ. Si les négociateurs n'abordent pas cette réalité de l'économie moderne, ce sera non seulement une occasion manquée, mais l'accord sera également dénué de sens pour les nombreuses entreprises qui dépendent quotidiennement des flux de données transatlantiques ».

Alors rappels à ces entreprises : la règlementation européenne n’interdira pas la circulation des données. Elle exige le consentement. Ce n’est pas la même chose ☺