DATA PROTECTION LIVRE BLANC
TRUSTED DATACENTRE, CLOUD & MANAGED SERVICES
Table des matières Les valeurs humanistes à l’ère digitale et la protection des données . . . . . . . . . . . . . . . . . . . . . . . . . . 3 La donnée, valeur d’avenir de l’économie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Un équilibre tendu à maintenir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Une autre sensibilité à l’égard des données personnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 De nouveaux cadres réglementaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 De nouvelles opportunités pour l’Europe digitale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Les clés de la confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Vers un cloud européen de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 EBRC, acteur européen de la gestion de la donnée sensible . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 14
EBRC | DATA PROTECTION
2
Les valeurs humanistes à l’ère digitale et la protection des données
Cinq millénaires après avoir inventé l’écriture, le genre humain entre dans ce qu’il appelle l’ère digitale. À l’exploitation des énergies fossiles, succédera une troisième révolution industrielle, centrée sur la donnée.
Le nouveau Règlement général sur la protection des données doit permettre de remettre le citoyen européen au centre du monde numérique et d’éviter qu’il ne devienne le sujet d’une banale marchandisation.
L’exploitation de la donnée avec les moyens technologiques actuels permet de quasiment tout déceler, de tout anticiper, qu’il s’agisse de vos envies, de vos humeurs ou de vos habitudes de consommation. Par exemple, un algorithme peut déceler, avec un niveau de certitude élevé, si une femme est enceinte grâce à l’analyse de ses achats en ligne ou des traces qu’elle laisse sur la Toile. Certains commissariats de police exploitent les possibilités offertes par le Big Data pour déterminer les zones où patrouiller. Les algorithmes, plus précis que la meilleure agence matrimoniale, sont aujourd’hui à l’origine d’un nombre croissant de mariages heureux et durables.
Si l’Europe politique a montré la voie, l’Europe économique, du marché unique numérique, reste à la peine face aux géants ICT intercontinentaux qui s’appuient sur la valorisation des données personnelles. Sans véritables contrepoids économiques, le combat est-il perdu d’avance ? Le cadre réglementaire revisité est-il porteur d’opportunités pour les acteurs européens ? C’est aussi l’objet de ce livre blanc.
Si les opportunités offertes par une juste exploitation de la donnée sont nombreuses, une utilisation des données personnelles au mépris des droits fondamentaux constitue aujourd’hui un risque croissant. À l’ère du Big Data et des algorithmes de plus en plus puissants, la pseudonymisation des données ne constitue plus une protection suffisante de la vie privée. Un cadre législatif rigoureux complété par une sécurité des données renforcée « by design » est requis.
Afin de faire émerger une économie digitale forte à l’échelle du marché unique européen, chaque acte compte. Au sein d’EBRC, nous défendons ces valeurs durables de responsabilité sociétale, qu’elles soient liées à la sauvegarde de l’environnement ou à la préservation des droits fondamentaux et des valeurs humaines qui nous sont chers. Le Luxembourg a toujours été un moteur de la construction européenne. EBRC (European Business Reliance Centre), en tant qu’entreprise IT de la Grande Région, développe aussi une ambition européenne, avec la volonté d’ouvrir la voie, avec son offre de cloud de confiance, de sécurisation et de protection des données, conforme aux plus hautes exigences européennes.
Ce livre blanc traite de la menace de la suprématie de la Technologie à l’égard de nos valeurs humanistes fondamentales. Ce risque a conduit nos élus européens à renforcer considérablement le cadre légal de la protection des données. Yves Reding CEO EBRC
EBRC | DATA PROTECTION
3
La donnée, valeur d’avenir de l’économie La donnée est la ressource clé dans l’essor de l’économie digitale. C’est elle qui, traitée par les technologies de l’information, permet de générer une nouvelle proposition de valeur et des services basés sur de nouveaux business models, souvent disruptifs.
Chaque jour, trois milliards d’individus connectés produisent et échangent un nombre croissant de données, qu’elles soient personnelles ou non. En 2013, l’humanité a produit quasi 4,4 zettaoctets (1021 octets) de données brutes. Elle devrait en produire 44 en 2020, soit 44.000 milliards de gigaoctets, selon une étude IDC-EMC parue le 9 avril 2014. D’ici 2020, 20,8 milliards d’objets seront connectés (source Gartner). Pour l’homme, cette quantité de données produites est difficile à appréhender. Or, la quantité de données générées croît de manière exponentielle année après année. Plus de 90% des données disponibles aujourd’hui ont été créées ces deux dernières années (source IBM). L’humanité produit tous les deux jours plus d’informations qu’elle n’en a générées entre l’invention de l’imprimerie et 2003. Comment la donnée est-elle valorisée ? Si, à l’ère industrielle, le pétrole a longtemps alimenté l’économie, à l’ère numérique qui est la nôtre, c’est la donnée qui a pris le relais. Les entreprises tentent de l’exploiter de la meilleure des manières, pour générer de l’information utile, au service du développement de leur business et de la croissance. Au départ de l’analyse de la donnée, elles apprennent à mieux connaître les clients, leurs attentes et leurs comportements. La donnée, analysée en temps réel, révolutionne la lutte contre la fraude et les malversations. Elle permet de créer de nouveaux services, plus performants, plus rapides, d’anticiper les besoins, de proposer une meilleure expérience client. Ce sont ces objectifs qui sont poursuivis à travers la mise en œuvre d’approche en Data Analytics ou Big Data. En s’appuyant sur la donnée et des modèles mathématiques et statistiques extrêmement fins, des robots sont aujourd’hui capables d’apprendre automatiquement, c’est ce qu’on appelle le « machine learning ».
EBRC | DATA PROTECTION
Les grands acteurs du web ont compris tout l’intérêt d’une meilleure exploitation de la donnée. C’est en capitalisant sur les données, sur des modèles de leur marchandisation, que les géants du GAFAM (Google, Apple, Facebook, Amazon et Microsoft) ont émergé, entraînant dans leur sillage de nombreux autres acteurs s’inspirant de leur modèle, dont les NATU. Netflix, Airbnb et Uber ne sont que des exemples parmi de nombreux autres. Tous ont appuyé leur business model sur une exploitation optimale de la donnée, et plus particulièrement de la donnée personnelle. Quand un réseau social vous offre des services gratuitement, ce sont vos informations personnelles, celles relatives à votre profil socio-culturel, à vos goûts et centres d’intérêt, qu’il valorise d’une manière ou d’une autre. Des plateformes de streaming ou des sites de vente en ligne s’appuient sur vos données personnelles, comme l’historique de vos achats, ou les différents contenus que vous avez consultés, pour vous délivrer les meilleures recommandations. Toutes les traces que vous laissez sur la Toile révèlent quelque chose de ce que vous êtes et, à ce titre, peuvent être exploitées ou valorisées.
4
La donnée, une valeur à protéger La donnée, collectée, recoupée, traitée, a désormais une valeur économique importante. La donnée personnelle, à plus forte raison, est considérée pour beaucoup comme inestimable. Et sa valeur ne devrait faire que croître. Ceux qui ont établi leur modèle économique sur son exploitation savent qu’il est important de la protéger pour mieux la valoriser. Par ailleurs, les cybercriminels, pour d’obscures fins, la convoitent. Les cas d’usurpation d’identité à des fins malveillantes sont désormais courants. Divers scandales survenus ces dernières années ont permis à la population mondiale de se rendre compte des dérives liées à l’utilisation des données personnelles ; d’où l’importance d’être vigilant vis-à-vis de leur exploitation. Si l’espionnage en masse par la NSA a fait l’objet d’un véritable scandale mondial, le monitoring des données personnelles par Facebook, différent mais tout aussi massif, fait également l’objet d’enquêtes récentes dans plusieurs pays européens, dont celles menées par la Commission de la protection de la vie privée en Belgique. Cette prise de conscience a poussé les élus européens ainsi que les dirigeants des divers Etats de l’Union européenne à assurer aux citoyens un niveau de protection suffisant et garanti sans pour autant freiner le développement d’une économie digitale. Il a fallu faire preuve d’un équilibre subtil, en offrant de nouveaux droits et garanties aux citoyens à l’égard de leurs données personnelles, tout en créant un cadre permettant aux acteurs économiques de pouvoir les exploiter. C’est à ces défis que veut répondre le nouveau Règlement général sur la protection des données ou encore le « Privacy Shield » établissant les conditions d’un transfert des données personnelles de l’Union européenne vers les Etats-Unis.
EBRC | DATA PROTECTION
Qu’est-ce qu’une donnée à caractère personnel ? Toute information se rapportant à une personne physique identifiée ou identifiable (voir également l’article 4 du Règlement qui définit précisément la « personne concernée »).
Est réputée être une « personne physique identifiable » : « une personne physique qui peut être identifiée, directement ou indirectement (…), notamment par référence à un numéro d’identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. » (Cfr : Règlement général sur la protection des données).
5
Un équilibre tendu à maintenir Entre la protection des données personnelles et sa valorisation au service de la société et de l’économie, il faut parvenir à un équilibre satisfaisant pour l’ensemble des parties, tant pour les citoyens que pour les acteurs économiques.
L’adoption du nouveau Règlement général sur la protection des données, ainsi que la négociation du « Privacy Shield », en lieu et place de l’accord « Safe Harbor » qui régissait le transfert des données personnelles de l’Union européenne vers les Etats-Unis, doivent permettre le développement d’un marché unique numérique libre et sécurisé.
niveau de la batterie et du signal. Cette empreinte numérique permet d’identifier de manière quasi certaine tous les appareils connectés, qu’ils s’agissent de PC fixes, de tablettes ou de mobiles. Cette empreinte est réalisée à l’insu des utilisateurs et est très difficile à bloquer, contrairement aux classiques « cookies ».
Tout l’enjeu réside dans le maintien d’un équilibre délicat entre les droits fondamentaux des citoyens à l’égard de leurs données personnelles et la possibilité offerte aux acteurs économiques de les exploiter pour créer de la valeur.
De nouveaux cadres pour garantir la confiance Ces avancées technologiques font l’objet d’analyses et de litiges de différentes Commissions nationales de la protection des données. Ces affaires, qui font suite à celles révélées par Edward Snowden ainsi que l’arrêt de la Cour de Justice de l’Union européenne annulant le cadre « Safe Harbor », ont mis en évidence la nécessité d’adapter les cadres réglementaires à l’évolution rapide du digital, via un nouveau règlement général sur la protection des données ainsi qu’un nouveau cadre régulant les échanges de données personnelles avec les EtatsUnis : le « Privacy Shield ».
Des opportunités et des limites La donnée personnelle est convoitée parce qu’elle permet d’offrir des services personnalisés, économiquement plus porteurs. Cependant, les possibilités d’exploiter les données personnelles se heurtent au droit à la protection des données à caractère personnel, inscrit à l’article 8 de la Charte des droits fondamentaux de l’Union européenne. Hors de question de laisser aux entreprises la possibilité d’exploiter les données personnelles des citoyens en dehors d’un cadre suffisamment sécurisé. Les risques et abus potentiels sont trop importants. Peut-on accepter que des assureurs ou des organismes de crédit puissent accéder, sans accord préalable, au dossier médical de leurs clients ? Est-il souhaitable qu’un organisme privé ou public soit informé de tous nos faits et gestes, déplacements, actes d’achat ? La réponse est bien évidemment « non ». Pourtant, les conditions d’utilisation de Facebook aujourd’hui, lui permettent de récolter et stocker presque toutes les informations disponibles sur un appareil, tous les paramètres, du hardware au software, jusqu’au
EBRC | DATA PROTECTION
Le défi est d’établir un cadre pour garantir la confiance des citoyens, dans une volonté de construire l’Europe numérique.
6
Une autre sensibilité à l’égard des données personnelles On ne peut aborder les possibilités offertes par le traitement d’informations à caractère personnel sans considérer la question du droit et des sensibilités citoyennes à l’égard de la protection de la vie privée. En la matière, l’Europe et les Etats-Unis affichent de nombreux points de divergence.
La protection des données personnelles se réfère au droit au respect de la vie privée, inscrit à l’article 7 de la Charte des droits fondamentaux de l’Union européenne. Elle est également garantie par l’article 8 de la Charte. Ce droit se rattache donc aux principes fondamentaux institués au sein de l’Union européenne. Il n’en va pas de même aux Etats-Unis. Dès lors, afin d’assurer une protection suffisante de toutes les données personnelles collectées en Europe et pour s’assurer du respect des droits des citoyens, des accords particuliers ont été mis en place. Ils conditionnent le transfert des données à caractère privé en dehors du territoire de l’Union vers les Etats-Unis. C’était l’objet de l’accord « Safe Harbor », qui permettait notamment à des géants américains de l’économie digitale d’importer les données des utilisateurs européens vers les Etats-Unis et de les exploiter sur le sol américain. Un droit fondamental à garantir Les révélations d’Edward Snowden, qui ont mis au jour un espionnage de masse orchestré par les autorités américaines, ont abouti à l’invalidation de l’accord « Safe Harbor » par la Cour de Justice de l’Union européenne en octobre 2015. Face à l’étendue de la surveillance de masse opérée par les Etats-Unis, la Cour précise que l’accord « Safe Harbor » « compromet l’essence même du droit fondamental au respect de la vie privée ». Elle évoque aussi les possibilités de recours judiciaires limités pour les citoyens européens.
Tenir compte des sensibilités européennes Fin 2015, l’Union européenne et les Etats-Unis ont été pressés, par le vide juridique ouvert par l’arrêt de la Cour d’une part, et le lobbying des grandes entreprises américaines du numérique d’autre part, à renégocier un accord offrant de meilleures garanties aux citoyens et leur permettant de mieux faire valoir leurs droits. Ces négociations ont débouché sur une proposition d’accord présentée au printemps 2016 et baptisée « Privacy Shield ». Face à ces nouvelles contraintes, les géants de l’économie numérique ont réagi de manière différente. Certains acteurs ont adopté de nouvelles stratégies, tel Microsoft, qui a choisi de faire opérer ses services Cloud en Allemagne par T-Systems, filiale IT Outsourcing du groupe Deutsche Telekom, tout en chiffrant les données et en lui confiant les clefs de chiffrement. Cette stratégie opportuniste permet à Microsoft non seulement de répondre aux exigences du régulateur européen et allemand, mais aussi de se protéger contre les autorités américaines, visà-vis du Patriot Act, puisque Microsoft n’a plus aucun accès aux données, sans l’autorisation de T-Systems ou du client final. A contrario, d’autres acteurs continuent à adopter des attitudes particulièrement laxistes et prennent le risque d’être attaqués en justice par différentes autorités européennes.
Dans ce contexte, si le nouveau Règlement relatif à la protection des données personnelles vient conforter les droits des citoyens de l’Union européenne, la Cour de Justice insiste sur l’importance de pouvoir garantir ces droits dans les cas où la donnée serait exportée en dehors des juridictions des pays membres.
EBRC | DATA PROTECTION
7
De nouveaux cadres réglementaires 2016 est marquée par l’adoption de nouveaux cadres assurant une meilleure protection des données personnelles des citoyens européens : d’une part le Règlement et, d’autre part, l’accord « Privacy Shield », relatif au transfert des données personnelles vers les Etats-Unis.
Un nouveau Règlement sur la protection des données personnelles Après plusieurs années de débats, un accord informel est intervenu, le 15 décembre 2015, à l’issue de la Présidence luxembourgeoise du Conseil de l’Union européenne, sur un nouveau Règlement relatif à la protection des données personnelles. Entré en vigueur le 24 mai 2016, il sera d’application le 25 mai 2018. Parce qu’il s’agit d’un Règlement et non d’une directive, il s’appliquera directement de la même manière dans l’ensemble de l’Union européenne, offrant une réelle dimension au marché unique, et les mêmes droits et garanties à l’ensemble des citoyens.
Ce règlement instaure plusieurs grands principes : • la nécessité d’obtenir un consentement explicite (et non plus implicite) du citoyen pour tout usage déterminé de ses données ; • un accès plus facile pour chaque personne aux données à caractère personnel la concernant ; • le droit à la rectification, à l’effacement des données et à l’oubli ; • l’obligation de notification en cas de fuite de données ; • la collecte des données uniquement autorisée pour servir des « intérêts légitimes » de l’entreprise, dans le cadre de son activité principale ; • des exigences à l’égard de la gestion de la donnée par l’entreprise fondées sur les risques ; • une définition claire de ce qui relève de l’information sensible ; • la nécessité de désigner un délégué à la protection des données ; • un important pouvoir de sanction des Commissions Nationales de la Vie Privée ; • l’instauration de pénalités substantielles en cas d’infraction grave (jusqu’à 4% du chiffre d’affaires global du groupe auquel appartient la société en défaut) ; • la mise en place d’un guichet unique pour le territoire européen pour les questions et réclamations à l’égard des données personnelles ; • l’introduction du concept de « privacy by design » pour les processus de traitement de la donnée. Pour les acteurs économiques, la sécurité des données ne sera plus une option, mais une obligation dès la conception d’un processus de traitement de la donnée. Les acteurs, soumis au contrôle des régulateurs nationaux et leurs sous-traitants, solidairement responsables, devront documenter le traitement des données.
EBRC | DATA PROTECTION
8
Les États-Unis ont garanti à l’Union européenne que l’accès aux données par les autorités publiques américaines à des fins d’ordre public et de sécurité nationale sera soumis à une supervision, des limites et des garanties bien définies.
Du « Safe Harbor » au « Privacy Shield » Jusqu’en octobre 2015, le transfert des données des citoyens européens vers les Etats-Unis était régi par un accord UEEtats-Unis, appelé : « Safe Harbor ». La Cour de Justice de l’Union européenne a invalidé celui-ci en octobre 2015 en estimant, entre autres, qu’ « une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée ». Un nouvel accord a dû être négocié en urgence. En effet, plus de 4.000 entreprises s’appuyaient sur « Safe Harbor » pour transférer des données personnelles depuis l’Europe vers les Etats-Unis. La Commission européenne et les États-Unis se sont accordés sur un nouveau cadre pour les transferts transatlantiques : le « bouclier vie privée ». Cet accord a fait l’objet d’avis de l’ensemble des Commissions de la Protection des données des 28 pays de l’Union regroupés au sein du « G29 » ainsi que du Parlement européen. De manière générale, de nets progrès ont été réalisés mais des améliorations sont demandées. Les larges possibilités de collecte massive par les autorités américaines, dans le cadre de la lutte contre le terrorisme ou de la protection des intérêts économiques américains, restent une préoccupation majeure pour ces acteurs. Par ailleurs, le 30 mai 2016, le contrôleur européen de la protection des données, autorité indépendante, a estimé qu’en l’état, le « Privacy Shield » n’est pas suffisamment robuste. Il risquerait donc d’être contesté devant la Cour de Justice, comme l’a été le « Safe Harbor ». Il a indiqué que des améliorations significatives sont nécessaires afin de respecter l’essence des principes de protection des données clefs. En sus, cet accord sera rapidement obsolète vis-à-vis du Règlement général sur la protection des données, plus contraignant que les principes développés dans le « Privacy Shield ».
EBRC | DATA PROTECTION
Le nouvel accord prévoit un renforcement du contrôle exercé par le ministère américain du commerce et la Federal Trade Commission (FTC), notamment par une coopération accrue avec les autorités européennes chargées de la protection des données. Les États-Unis s’engagent en outre à ce qu’en vertu du droit américain, l’accès des autorités publiques aux données à caractère personnel transmises soit subordonné à des conditions, des limites et une supervision bien définies, empêchant un accès généralisé. Les Européens auront la possibilité d’adresser des demandes d’information à un médiateur spécialement désigné à cette fin et de lui soumettre des plaintes. Plus concrètement, le nouveau dispositif s’appuie sur les piliers suivants : • Les entreprises américaines qui souhaitent importer des données à caractère personnel provenant d’Europe devront s’engager à respecter des conditions strictes quant au traitement de ces données et garantir les droits des individus. Le ministère américain du commerce veillera à ce que les entreprises publient leurs engagements, ce qui les rendra opposables au regard de la loi américaine et permettra à la FTC de contraindre les entreprises à les respecter. • Les États-Unis ont garanti à l’Union européenne que l’accès aux données par les autorités publiques américaines à des fins d’ordre public et de sécurité nationale sera soumis à une supervision, des limites et des garanties bien définies. • Tout citoyen qui estime que les données le concernant ont fait l’objet d’une utilisation abusive dans le cadre du nouveau dispositif aura plusieurs possibilités de recours. Les entreprises devront répondre aux plaintes dans des délais définis.
9
De nouvelles opportunités pour l’Europe digitale Ce nouveau cadre réglementaire doit permettre à l’Union européenne et son économie de profiter directement des retombées liées à la valorisation des données. Il constitue aussi un levier important en faveur de la création du marché unique numérique.
Ce nouveau cadre réglementaire devrait permettre de garantir le respect des droits fondamentaux des citoyens européens dans une société de plus en plus digitale. Pour les acteurs européens, il constitue surtout une opportunité de se positionner face aux géants ICT intercontinentaux. Ce nouvel environnement réglementaire ne doit pas être considéré comme une entrave au développement d’activités technologiques et innovantes s’appuyant sur le traitement de la donnée. Il vient avant tout cadrer les pratiques en la matière, afin de répondre à un souci citoyen. Le lobbying mené par les grands acteurs de l’e-commerce tout au long des débats qui ont tourné autour du nouveau Règlement sur la protection des données personnelles en dit long sur les intérêts économiques en jeu. Il faut saluer le travail des élus, et notamment des parlementaires européens, confrontés aux lobbies, dans leur combat pour la préservation des droits des citoyens vis-à-vis d’une marchandisation de la donnée personnelle.
Surtout, ce nouveau cadre réglementaire est de nature à favoriser l’émergence du marché numérique européen et ce pour plusieurs raisons : • Parce qu’il s’agit d’un Règlement, il s’applique de la même manière sur l’ensemble du territoire de l’Union européenne. Ce cadre unique doit favoriser l’émergence d’un marché unique numérique, facilitant l’émergence d’acteurs d’envergure européenne. • Des normes élevées et un cadre strict de protection des données personnelles en Europe sont de nature à favoriser le maintien des données sur le territoire européen. Les acteurs internationaux, pour ne plus s’exposer à des risques réglementaires, pourraient être plus enclins à investir directement sur le territoire pour préserver et traiter les données personnelles de leurs utilisateurs européens. L’économie européenne pourra, par juste retour des choses, profiter directement des retombées économiques liées à la valorisation des données, bénéficiant notamment de création d’emplois ou encore d’investissements dans les infrastructures et les services. • En se dotant d’un cadre fort, l’Europe offre la possibilité aux acteurs de se positionner face aux géants intercontinentaux. Le défi n’est pas de les concurrencer directement, mais de se positionner sur des niches particulières, comme la gestion et l’exploitation de la donnée sensible par exemple, répondant aux préoccupations des acteurs en Europe. Aujourd’hui, profitant de ce cadre, il appartient aux acteurs de s’engager pour contribuer à l’émergence d’un marché numérique unique.
EBRC | DATA PROTECTION
10
Les clés de la confiance Le développement d’une économie numérique européenne exige de disposer de l’appui des citoyens. Si le nouveau Règlement leur octroie de nouveaux droits, il appartient aux acteurs économiques, organisations et institutions européennes de leur offrir les garanties suffisantes pour gagner durablement leur confiance.
Traiter la donnée avec respect Si l’exploitation des données personnelles permet d’offrir de nouveaux services à haute valeur ajoutée, de générer des bénéfices tant sociétaux qu’économiques, il importe que les informations à caractère privé soient utilisées dans le plus grand respect de celui qui a autorisé leur traitement. Cela implique de les exploiter à des fins préalablement déterminées, mais aussi de mettre en œuvre toutes les mesures de protection pour que ces données ne tombent pas entre de mauvaises mains. La transparence et l’information Pour garantir la confiance, le citoyen doit être mieux informé de l’utilisation qui est faite des données dont il a autorisé l’exploitation. La communication, dans ce contexte, se doit d’être simple et rapidement compréhensible. Par ailleurs, l’information doit être claire quant aux bénéfices dont disposera le citoyen en permettant l’utilisation de ses données. Enfin, l’acteur économique chargé de traiter ces données doit lui aussi être clair sur les finalités de leur exploitation.
Le contrôle laissé au citoyen Le citoyen doit pouvoir exercer un contrôle sur ses données personnelles. Avant tout traitement, le citoyen doit donner son consentement préalable, de manière claire et explicite. Il doit disposer d’un droit à la rectification et à l’effacement des données. Le droit à l’oubli numérique va au-delà du droit au déréférencement consacré par la Cour de Justice de l’UE en mai 2014, qui permet au citoyen de demander à un moteur de recherche de supprimer des liens vers des contenus portant atteinte à sa vie privée. Le droit à l’oubli peut être exercé par exemple si le citoyen européen ne souhaite plus que ses données puissent être traitées et si aucun motif légitime ne justifie leur conservation. Il a également le droit de s’opposer à l’utilisation de ses données à caractère personnel à des fins de profilage. Ne pas transiger sur la sécurité Les acteurs du numérique doivent mettre en place un environnement de sécurité de l’information optimal, garantissant la préservation et l’intégrité des données. La valeur de la donnée et son caractère extrêmement sensible imposent une vigilance accrue sur les aspects de sécurité. D’un environnement informatique compromis peuvent découler les pires dérives. Les données personnelles d’un citoyen peuvent donner lieu à des cas d’usurpation d’identité ou être utilisées à des fins malveillantes.
Les acteurs du numérique doivent mettre en place un environnement de sécurité de l’information optimal, garantissant la préservation et l’intégrité des données.
EBRC | DATA PROTECTION
11
Vers un cloud européen de confiance Le marché unique numérique doit devenir une réalité. L’émergence d’un cloud européen s’appuyant sur la confiance peut aujourd’hui voir le jour, afin de répondre aux préoccupations des citoyens et acteurs économiques à l’égard de la protection, de l’intégrité et de la préservation des données.
La Commission européenne s’est fixée comme priorité de permettre l’émergence d’un « Digital Single Market » permettant de supprimer les obstacles pour exploiter pleinement les possibilités offertes par internet. Seulement, jusqu’ici, la disparité réglementaire entre les Etats de l’Union rendait difficile l’installation et le développement de tout acteur aux ambitions européennes. Impossible par ailleurs, dans ce contexte, de rivaliser avec les offres d’acteurs américains qui, dans le cloud notamment, s’adressent à un marché global et peuvent atteindre des niveaux de mutualisation conséquents. Passer de 28 marchés à un seul et unique Le développement d’un marché unique numérique constitue cependant une nécessité absolue. Il doit permettre à l’Union européenne de rester compétitive, mais aussi de garantir les droits et les intérêts des citoyens et entreprises, notamment en matière d’utilisation des données personnelles ou de préservation des informations sensibles. Des initiatives ambitieuses de créer des clouds souverains en France ou ailleurs ont bien été lancées dans l’espoir de concurrencer les acteurs étrangers à l’échelle d’un pays. Leur échec cuisant a démontré que, au cœur de cette Europe morcelée, des offres, dont l’ambition ne va pas au-delà des frontières nationales, ne peuvent pas rivaliser face aux acteurs globaux. Parce que le repli sur soi ne conduit nulle part quand il est question d’économie numérique, il est aujourd’hui temps d’envisager des offres viables à l’échelle du marché européen. Dans la mesure où, jusque-là, le marché unique s’apparente à la coexistence de 28 marchés différents et concurrents, tout est à construire. Le nouveau Règlement sur la protection des données personnelles constitue une étape importante dans la poursuite de cet objectif.
EBRC | DATA PROTECTION
En établissant des droits et devoirs applicables de la même manière à travers l’ensemble des pays de l’Union européenne, le Règlement offre une possibilité unique à des acteurs de se repositionner sur le marché. Parce qu’ils partagent la sensibilité de leurs citoyens en matière de protection des données personnelles, parce qu’ils maîtrisent les normes applicables à l’échelle de l’Union européenne, les acteurs européens sont sans doute les plus aptes à offrir les garanties de la confiance définies. S’appuyer sur un cadre strict… Le contexte actuel est propice à l’émergence d’un cloud européen, dont la valeur différenciatrice devra sans nul doute être la confiance. Aujourd’hui, les acteurs européens du numérique doivent miser sur les normes les plus strictes en matière de protection des données personnelles et de sécurisation des données sensibles. Cette sensibilité européenne à l’égard de la donnée, beaucoup plus importante que dans d’autres régions du monde, doit permettre à nos acteurs de se différencier, pour servir le marché intérieur et offrir au reste du monde des services à haute valeur ajoutée en matière de préservation de la donnée. Au regard de l’état actuel du marché européen, les efforts à faire sont conséquents. Le Luxembourg, pourrait jouer un rôle moteur dans le développement de ce cloud européen. Les acteurs luxembourgeois ont développé une expertise forte, sur base d’une culture prégnante de confidentialité. L’importance du secteur financier, avec des données d’une extrême sensibilité, a poussé les acteurs à offrir un niveau de sécurité et de gestion de la donnée extrêmement élevé. Un acteur comme EBRC répond aux normes les plus strictes en matière de sécurité : ISO 27001 (sécurité de l’information), ISO 20000 (gestion du service informatique), ISO 22301 (continuité des activités), ISO 27018 (protection des données personnelles dans le cloud), Professionnel du Secteur Financier, PCI DSS Level 1… et a investi dans des Data Centres « state-of-the-art » (Tier IV Fault-Tolerant Constructed Facility). 12
Pour être crédible et compétitif dans ce domaine au niveau international, il faut être exemplaire chez soi et donc disposer d’un cloud souverain régulé avec un niveau de sécurité unique qui constituera une référence.
Aujourd’hui, il propose des services cloud de confiance à de nombreux acteurs européens soucieux de la protection de leurs données, désireux de répondre aux préoccupations de leurs clients en matière de gestion de la donnée sensible. … pour attirer des acteurs internationaux Mais pour faire la différence, le Luxembourg doit encore renforcer son cadre. Actuellement, l’Allemagne a surélevé son niveau d’exigence à l’égard de la protection des données. Vu des Etats-Unis, c’est elle qui a la réglementation la plus avancée en la matière. S’installer en Allemagne permet d’être en règle avec tous les autres pays. Par ailleurs, l’Allemagne a lancé son initiative de « Bundescloud », un cloud souverain national, conforme au principe de libre circulation au sein de l’Europe mais qui implique que les données sensibles ne pourront plus quitter le territoire. Ce type de décision force une grande série d’acteurs, y compris certains géants américains, à s’aligner. L’entreprise Microsoft elle-même a choisi comme partenaire T-Systems, filiale outsourcing IT de Deutsche Telekom, comme « Data Trustee » pour assurer le contrôle d’accès aux données des clients utilisant le cloud de Microsoft en Allemagne. Leur accord stipule que la compagnie, fondée par Bill Gates, localise son cloud dans les Data Centres T-Systems en Allemagne, en leur confiant la clé de chiffrement. Microsoft se rend ainsi non seulement conforme aux exigences du « BundesCloud », évite les transferts de données personnelles hors Union Européenne, et échapperait en sus aux juridictions américaines et donc à certaines obligations en matière de monitoring des données privées.
EBRC | DATA PROTECTION
Si demain le Luxembourg veut être partie prenante d’un cloud européen, il faut capitaliser sur la protection de nos données souveraines, en restant pragmatique, non dogmatique et « business friendly ». Pour être crédible et compétitif dans ce domaine au niveau international, il faut être exemplaire chez soi et donc disposer d’un cloud souverain régulé avec un niveau de sécurité unique qui constituera une référence. En capitalisant sur la très haute protection des données dans un cloud régulé au Luxembourg, le Grand-Duché pourra à terme encore mieux attirer les entreprises internationales.
13
EBRC, acteur européen de la gestion de la donnée sensible
Dans le marché globalisé de l’exploitation des données, dominé par les grandes nations et acteurs de l’internet, le Luxembourg a une carte à jouer. Le nouveau Règlement relatif à la protection des données personnelles, allié à la renégociation de l’accord conditionnant le transfert des données personnelles de l’Europe vers les Etats-Unis, offrent une opportunité aux acteurs européens de se faire une place dans le marché global du digital. Dans ce contexte, EBRC s’est inscrit dans une démarche d’internationalisation, en restant sur la niche qu’il occupe depuis 2000, à savoir la gestion de l’information sensible. En 2011, EBRC a lancé son offre et concept « Trusted Cloud Europe ». Ce même nom a été adopté en mars 2014 par la Commission européenne dans l’affirmation de ses priorités en matière digitale. Tenant compte du cadre réglementaire qui a été redéfini, EBRC accélère son développement international. En s’appuyant sur une réelle expertise, avec une offre unique et des infrastructures mutualisées assurant un niveau de sécurité élevé, EBRC entend convaincre les acteurs désireux de protéger de manière optimale les données sensibles essentielles à leur activité. Dans ce marché concurrentiel, avec des acteurs internationaux qui bataillent fermement, c’est en se positionnant sur la gestion de la donnée sensible qu’EBRC se démarque. Au-delà de l’infrastructure mutualisée, en tant qu’acteur européen agissant depuis le Luxembourg, EBRC développe des services sur les couches supérieures du cloud, avec des offres de Platform-as-a-Service (PaaS) ou de Software-as-a-Service (SaaS).
Opérateur de services IT sur toute la chaîne de valeur en mode one-stop-shop, EBRC développe des services à haute valeur ajoutée en matière de gestion de l’information sensible. Ces services sont certifiés ISO 27001, la norme relative à la sécurisation de l’information, ou PCI DSS Level 1 pour les transactions en ligne et opérés dans des Data Centres avec les plus hauts niveaux de disponibilité, certifiés Tier IV. Par ailleurs, EBRC dispose d’une offre complète en « Cybersecurity » afin d’assurer aux entreprises un niveau optimal de sécurité. Le centre de compétences « Cybersecurity » EBRC comprend entre autres, un CERT (Computer Emergency Response Team) complété d’un SOC (Security Operating Centre 24/24) permettant de prévenir et de gérer les incidents de sécurité. EBRC dispose également d’une équipe de consultants couvrant l’ensemble des compétences requises pour adresser toute la chaîne en matière de sécurité de l’information : Risk Management, Politiques de sécurité, compliance, audits, ethical hacking, forensics, analyse des logs, … « C’est dans la gestion de l’information sensible, que nous avons une réelle expertise à faire valoir. C’est là que nous créons de la valeur, plus que sur la mise à disposition de ressources IT, comme le proposent les géants du cloud. Notre objectif est d’être un centre de compétences, one-stop-shop, totalement intégré et certifié de bout-en-bout, garantissant à nos clients un niveau d’excellence en matière de gestion, de protection, d’intégrité et de disponibilité de la donnée sensible », assure Yves Reding, CEO d’EBRC.
EBRC s’est aussi inscrit dans une logique de croissance externe. Si, depuis le Luxembourg, l’acteur du cloud peut servir des acteurs à travers l’ensemble du marché européen, il entend aussi développer une présence sur les divers marchés nationaux, à commencer par la France, la Suisse, la Belgique et l’Allemagne.
EBRC | DATA PROTECTION
14
EBRC 5, rue Eugène Ruppert L-2453 Luxembourg +352 26 06 1 info@ebrc.com www.ebrc.com
Trusted Services Europe Innovate & Conquer the European Market Trusted Advisory Services
Trusted Managed Services
Trusted Cloud Europe
Cloud Service Provider Europe
Trusted Security Europe
Cloud Provider of the Year
e-Commerce
BioTech & HealthCare
International Institutions
Media
e-Payment
Banking & Finance
Trusted Resilience Services
Trusted Data Centre Services
Best Cloud Transformation Methods 2016
2016
