Ces dernières années ont été marquées par de multiples bouleversements dans le paysage des données numériques. Cloud computing, big data, avènement des réseaux sociaux… Selon consoGlobe, chaque seconde, 29 téraoctets de données sont publiées dans le monde. Tout a changé : les risques de confidentialité, les volumes, mais aussi les enjeux de création de valeur et d’avantages compétitifs. Cette révolution change radicalement notre vision de la protection des données personnelles et du transfert de ces données d’une région à l’autre.

Ajoutez à cela des événements comme l’affaire Edward Snowden – qui a dénoncé l’utilisation abusive des données par la NSA – et, tout à coup, ce que personne ne voulait regarder en face devient public : nos données sont accessibles à quiconque en a les moyens. Ensuite, tout s’enchaîne très vite. Ainsi, un jeune étudiant autrichien, Max Schrems, a saisi la justice irlandaise – pays dans lequel Facebook Europe possède son siège européen – puis la Cour de justice de l’Union européenne pour empêcher Facebook de transférer ses données aux États-Unis. Résultat : le 06 octobre dernier, cette dernière invalidait le Safe Harbor obligeant ainsi la plupart des géants du web à stocker désormais une partie de leurs données en Europe.

Mais au fait, le Safe Harbor, qu’est-ce que c’est ? En résumé, en 2000, l’UE décide que les USA peuvent être considérés comme une zone de confiance. Conséquence : les entreprises américaines sont alors autorisées à transférer des données de l’UE vers les États-Unis. Or, les faits récents ont démontré que les USA ne peuvent plus être considérés comme une zone de confiance en termes de confidentialité. Conclusion : la Cour européenne de justice a donc décidé d’invalider le Safe Harbor.

Quelles conséquences cette décision peut-elle avoir sur une entreprise – ETI, grande entreprise, multinationale… ? Quel impact sur ses enjeux économiques à l’heure de la mondialisation des échanges ?

Difficile désormais de se positionner au sein de ce No man’s land juridique. S’il existe une certaine cohérence entre les pays européens, l’absence de règles globales à l’échelle internationale peut nuire au business tant elles semblent contradictoires d’un continent à l’autre : la Russie a ainsi complètement verrouillé son territoire, les États-Unis considèrent que leurs lois surpassent celles des autres régions du monde, alors que l’Asie se révèle encore novice dans leur utilisation. L’Europe se montre quant à elle très engagée dans la protection des données personnelles. Ainsi, soit l’entreprise se conforme à toutes les règles et renonce à disposer d’une vision globale sur ses données, soit elle décide de les consolider et enfreint alors au moins une loi quelque part. Les entreprises ont beau disposer de 12 à 18 mois pour se mettre en conformité, rien n’est clair quant à la politique à adopter dans le futur.

Certains pays comme l’Allemagne ont déjà adopté une législation forte en matière de protection des données. Le non-respect de la loi peut alors entraîner des sanctions pénales. C’est pourquoi les bonnes pratiques IT s’avèrent critiques dans le cadre législatif car les conséquences pour l’entreprise et pour son directeur général peuvent se révéler très lourdes.

Toutefois en attendant davantage de clarté dans l’écosystème juridique, les DSI peuvent appliquer quelques bonnes pratiques, en particulier dans le cadre du stockage de données personnelles.

  • Tout d’abord, se doter d’un Data Protection Officer disposant de pouvoirs contraignants – en français, un Responsable de la Sécurité des Systèmes d’Information (RSSI). Son rôle : définir, puis faire appliquer la politique de sécurité de l’entreprise. Attention, les pouvoirs contraignants de ce Data Protection Officer doivent aussi s’appliquer à la direction générale.
  • Ensuite, par mesure de précaution, il convient d’éviter de gérer des données considérées comme « sensibles » par les lois de certains pays – le passé juridique, l’appartenance à un syndicat, les informations liées à la santé, à la religion, à la sexualité… Pourquoi ? Parce qu’au-delà des questions éthiques, cela nécessite d’appliquer de fortes contraintes de gestion supplémentaires, uniquement pour se conformer aux lois des pays concernés. Bien entendu, si l’activité de l’entreprise elle-même repose sur de telles informations sensibles, alors il sera indispensable de faire cet effort supplémentaire. Dans le cas contraire, mieux vaut s’abstenir.
  • Enfin, mettre en place des Binding Corporate Rules (BCR). De quoi s’agit-il ? C’est un ensemble de règles contraignantes pour l’entreprise et validées par les autorités locales qui gèrent les transferts de données dans chaque pays où l’entreprise exerce une activité – la CNIL en France. Une fois approuvées, elles deviennent alors suffisantes pour protéger l’entreprise au niveau légal pour les données personnelles. Qu’incluent ces règles internes d’entreprise ? Le type de données personnelles susceptibles d’être stockées dans le système d’information et d’être transférées, les règles d’accès des employés aux données personnelles, la durée de rétention de ces données… L’avantage : elles fournissent un cadre précis à l’environnement sécuritaire dans lequel l’entreprise doit naviguer. De plus, elles constituent une base de travail efficace dès lors que l’entreprise souhaite travailler avec un fournisseur en mode SaaS : celui-ci doit alors s’engager par contrat à respecter ces principes de conformité. En endossant une partie des contraintes, l’éditeur SaaS se positionne en véritable relais de la gouvernance sécuritaire de son client. Non seulement, il s’aligne sur les règles établies par ce dernier, mais il se montre également proactif en anticipant les changements à venir.

Voilà donc quelques pratiques concrètes à appliquer en entreprise. Mais au-delà du monde professionnel, qu’en est-il de la politique des données propre à chaque individu ? Je ne parle pas seulement des règles de sécurité que chacun doit adopter, mais plus précisément de la valeur que chacun accorde à ses propres données.

À titre d’exemple, je retire un avantage à publier mes expériences professionnelles sur un réseau social parce qu’un jour, un recruteur me proposera un job intéressant. Je laisse un service de musique en ligne stocker ce que j’écoute parce qu’il me proposera des morceaux que des profils similaires au mien apprécient. Je laisse un moteur de recherche stocker mes recherches précédentes pour qu’il connaisse mes centres d’intérêt et me propose des offres intéressantes… Oui, mais ces informations ont de la valeur. Pourtant, je les donne gratuitement !

Le constat est le suivant : la valeur de l’information ne cesse d’augmenter, ce qui renforce les tensions à venir. Toutefois, si les entreprises et les pays souhaitent pousser davantage leur utilisation des données à des fins économiques, les individus eux-mêmes seront, à terme, amenés à prendre conscience de leur valeur intrinsèque. Pourquoi alors ne pas envisager qu’ils monétisent un jour leurs propres informations ? Le débat pourra ainsi se rééquilibrer tout en gardant pour chacun un intérêt à échanger des données. Une nouvelle étape dans l’évolution des données et de leurs règles de transfert… nouvelle étape qui devra, elle aussi, disposer d’un cadre juridique transnational.