La sécurité des données sensibles et confidentielles des entreprises européennes du secteur financier serait menacée faute de contrôle et d'efficacité de leurs stratégies de protection des données.
Détenant des informations personnelles sensibles de millions de clients, certaines sociétés de services financiers n'auraient aucun moyen de contrôler l'efficacité de leur stratégie de gestion des risques liés aux informations et n'exerceraient aucune surveillance de la personne ou de l'équipe en charge de la gestion des risques lies aux informations, de la protection ou de la restauration des données. Des sociétés du secteur financier en Europe seraient incapables de dire si elles ont subi une violation de leurs données au cours des trois dernières années, Pourtant, les conséquences majeures dues à la violation des données relatives à la dégradation de leur image et réputation, voire la mise en cause de leur responsabilité professionnelle incitent désormais les acteurs de ce secteur a ne pas sous-estimer la strateqie de gestion de l'information des données.
Le recours au cloud computing comporte souvent des prestations informatiques incluant le traitement de données et passe par une culture de responsabilité des informations en entreprise. L'essor des offres de type cloud computing suscite un tel intérêt que les propositions de services via telle ou telle société, en l'absence de définition juridique précise, recouvre une complexité de précèdes et une pratique très variées, Dans son avis portant sur Ie cloud computing du 16 novembre 2012, Ie contrôleur européen de la protection des données rappelle que si l'apport de la technologie est important pour l’économie son adoption doit s'accompagner des mesures de protection des données et ce, d'autant que potentiellement, il considère qu'un « déséquilibre de pouvoir entre les clients du cloud et les fournisseurs de services » peut en résulter, Ainsi, la complexité de la technologie cloud ne pourrait justifier une baisse des standards de protection des données. Et l'Europe veut lier Ie cloud et la protection des données.
Des obligations légales de sécurité
Cette forme évoluée d'externalisation dans laquelle le client ou l'utilisateur dispose d'un service en ligne dont l'administration et la gestion opérationnelle sont effectuées par un sous-traitant, se caractérise également par une facturation a la demande et une disponibilité quasi immédiate des ressources. Dans de nombreux cas, le client ne connait pas la localisation des données. Malgré les définitions légales existantes de responsable de traitement, de sous-traitant, etc., la détermination et la qualification des parties intervenant dans une opération de cloud computing reste délicate eu égard à la diversité des situations : un prestataire disposant d'une expertise particulière dans son domaine pourra l'utiliser pour décider des moyens a mettre en place dans le cadre de la réalisation des prestations et pourrait être qualifie de responsable de traitement, par exemple. Par ailleurs, des données à caractère personnel peuvent être traitées dans le cadre du recours à des services accessibles en mode cloud, entrainant ainsi une obligation une obligation de sécurité et de protection de ces données spécifiques.
Les sociétés du secteur financier, dans leurs contrats passés avec les prestataires, doivent, dans leur rédaction, intégrer cette problématique. Si la gestion de la sécurité des données est parfois largement déléguée au prestataire, des obligations de sécurité pèsent sur le sous-traitant. Identifier ses obligations de sécurité, mais aussi les faire appliquer est indispensable car le responsable de traitement n'est pas exonéré de ses obligations légales de sécurité.
Par ailleurs, les projets actuels de reformes au niveau communautaire relatifs à la protection des personnes physiques a l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation des données renforcent les obligations légales des responsables de traitement et des sous-traitants.
Pouvoir récupérer ses données
Au Luxembourg, le dépôt, le 9 octobre 2012, du projet de loi N°6485 modifiant l'article 567 du Code de commerce, instaure un droit de revendiquer ses données auprès d'un fournisseur de solutions cloud failli. Premier pays européen à l'aune d'encadrer la réversibilité du cloud après faillite, les droits de la personne ou de l'entreprise qui à confié des données stockées sur des systèmes informatiques en cloud a une entreprise tombée en faillite, sont renforcés. L'importance que revêt, particulièrement à Luxembourg, la confidentialité des données exige de séparer les données du propriétaire de celles présentes dans d'autres fichiers sur les systèmes des prestataires de cloud afin qu'elles puissent être récupérées de manière optimale en cas de faillite.
Se profile une tentative de définition d'un cadre légal visant à instaurer un niveau de confiance élève au sein du secteur professionnel et financier dans le cloud, tel qu'offert à Luxembourg, et probablement un renforcement du contrôle par les autorités compétentes des mesures de sécurité mises en œuvre par les responsables et sous-traitants de données personnelles.
La protection des données devient désormais un principe incontournable de gouvernance.
Cet article a été précedemment publié dans Entreprises magazine – Numéro 57 – janvier/février 2013