Le volume de données collectées par les entreprises européennes explose. Afin d’harmoniser les règles de protection de ces données entre les membres de l’UE, la Commission européenne a adopté un nouveau cadre réglementaire applicable en 2018 (RGPD, Règlement Général sur la Protection des Données ou GDPR en anglais pour Genral Data Protection Regulation Guide). Une étude récente a montré qu’une grande majorité des applications Cloud utilisées par les entreprises n’étaient, à l’heure actuelle, pas conformes à ce futur cadre législatif.
Parmi les droits protégés par la Charte des droits fondamentaux de l’UE se trouve la protection des données à caractère personnel. L’actualité de ces dernières années a montré que ce droit n’était pas toujours respecté par les entreprises qui en collectent quotidiennement. La législation cherche donc à renforcer la protection des informations des citoyens. C’est dans ce contexte que le Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données a été publié au Journal Officiel de l’UE le 4 mai 2016. Les entreprises ont donc deux ans pour se mettre en conformité avec les nouvelles exigences européennes.
Trois applications sur quatre non conformes aux règles UE
L’édition 2016 de l’étude sur les services Cloud menée par Netskope a montré que la majorité des applications utilisées par les entreprises ne répondaient pas aux nouvelles exigences de l’UE. Les applications ont été évaluées en fonction de huit critères : exigences géographiques, rétention des données, confidentialité des données, propriété des données, protection des données, capacités d’audit, certifications et présence d’un agrément valide pour le traitement des données. D’après cette étude, à peine 24.6% d’entre elles affichent un niveau élevé de préparation à la conformité avec le RGPD.
Plus de la moitié de ces applications ne précisent pas dans leurs conditions d’utilisation que, dans le cadre de la règlementation UE, leurs clients sont propriétaires de leurs données. Et plus de 46% d’entre elles conservent les données plus d’une semaine après que leur client les a quittées, ce qui va également à l’encontre de la nouvelle législation.
Selon le RGPD, les éditeurs de services devront s’assurer de fournir à leurs clients toutes les fonctionnalités requises. De leur côté, les entreprises seront responsables des protections à mettre en place et du contrôle des usages des applications. En choisissant des applications sécurisées et bénéficiant d’un certain nombre de certifications, elles limiteront les infractions aux règles européennes. Un choix qui sera un gage de confiance pour leurs clients.
Les entreprises doivent avoir le contrôle des données qu’elles collectent et traitent. Le choix d’outils conformes aux futures exigences de l’UE est essentiel. Elles ont tout intérêt à avoir recours à des solutions conçues pour les professionnels au lieu de solutions grand public répondant à certains besoins en internes mais ne garantissant pas une conformités aux lois européennes. Les informations partagées ou stockées via des applications non approuvées échappent souvent au contrôle direct des entreprises. Les solutions à destination des entreprises font généralement l’objet de mises à jour et de correctifs.
Mise en conformité : le nouveau challenge des éditeurs d’applications
Cette harmonisation des règles au sein de l’UE représente un véritable défi pour de nombreux éditeurs d’applications. Mais certaines obligations du RGPD existent déjà dans le droit français ou allemand. Et un certain nombre de prestataires de solutions Cloud offrent d’ores et déjà un niveau de sécurité satisfaisant répondant aux nouvelles exigences de la Commission européenne.
Des prestataires qui anticipent
La sécurité des données est une notion qui a toujours eu une forte résonance chez Oodrive. En tant qu’éditeur de logiciels en mode SaaS, son ambition est de fournir les solutions les plus sécurisées possibles. Oodrive bénéficie par exemple de la certification Cloud Confidence qui « met à disposition des prestataires Cloud et des utilisateurs un cadre transparent sur la protection des données personnelles, des données stratégiques de l’entreprise, du secret des affaires ». Basée sur le cadre légal européen, cette certification garantit « la transparence des offres Cloud et rassure les utilisateurs sur la localisation des données, le non-transfert à des tiers sans consentement ou encore la politique de sous-traitance ».
Oodrive est également certifié ISO 27001:2013. Cette norme confirme sa capacité à garantir à ses clients confidentialité, disponibilité, intégrité et traçabilité. En principe, les transferts de données à caractère personnel hors du territoire de l’UE sont interdits à moins que le pays destinataire n’assure un niveau de protection suffisant. Mais il est difficile de garantir la protection de ces informations une fois qu’elles ont quitté l’Europe. Conscient des problématiques de souveraineté et de sécurité, les données des clients d’Oodrive sont exclusivement hébergées en Europe avec une confidentialité absolue.