Après le Privacy Shield ? Le chiffrement, bien sûr !

En cette fin d’année 2020 inouïe pour reprendre le terme des politiques, au-delà du flux quasi-quotidien d’attaques rançongiciels, des annonces des entreprises et organismes de tous les secteurs économiques de cyberattaques bien coûteuses (par exemple, l’estimation de 50M€ de préjudices subis par Sopra-Steria), un sujet s’est distingué à mes yeux dans le paysage sans cesse en mouvement de la cybersécurité :  l’impact concret sur les entreprises de l’invalidation en juillet du Privacy Shield, le traité entre l’Union Européenne et les Etats-Unis qui régit le transfert et le partage de données personnelles.

Les dangers d’extraterritorialité des lois américaines

Pour rappel, la Cour de Justice Européenne basée à Strasbourg a estimé que le traité initial ne garantissait pas une protection satisfaisante des données transférées de l’Europe vers les Etats-Unis, car le niveau de protection des données aux Etats-Unis n’est pas équivalent à celui de l’Europe à cause de lois telles que Cloud Act ou Patriot Act qui donnent des pouvoirs intrusifs aux agences de renseignement américaines. Sans négliger aussi les dangers d’extraterritorialité des lois américaines qui sous motif que le gestionnaire est de nationalité américaine ou que les serveurs appartiennent à des sociétés américaines en Europe ou ailleurs, permettraient aux services US l’accès et la perquisition des données.

Le sujet peut paraître, à des ingénieurs aimant la technologie, un peu rébarbatif, mais il est en fait important. Les entreprises qui transfèrent des données (messagerie, données d’applications et apps, données de réseaux sociaux, etc.) vers des serveurs en dehors de l’UE n’ont plus de base légale et s’exposent à des poursuites.

La technologie du chiffrement des données

Et c’est là que les CNIL européennes, soucieuses du respect du règlement général sur la protection des données (RGPD / GDPR) entrent en jeu, en promouvant comme méthode exclusive le chiffrement des données.

Par cette décision, les CNIL imposent de facto la technologie de chiffrement devant les cadres contractuels juridiques…. Un vrai paradoxe pour les serviteurs du droit mais aussi une vraie analyse réaliste du respect des contrats et des moyens réels de leur application. En préconisant les protections techniques devant le droit des contrats, la technologie de chiffrement peut donc apparaître comme le grand gagnant. Sans cela, nous ne pourrions pas utiliser une application SaaS en mode cloud hébergé aux Etats-Unis, les données Facebook ou LinkedIn ne pourraient plus être hébergées ou partagées entre plusieurs plaques géographiques, etc.

Et là aussi les choses ont bien évolué, car nous avons aujourd’hui sur le marché des technologies adaptatives, fines, qui permettent de chiffrer juste les champs des applications ou seules les données qui nécessitent d’être chiffrées et pas tout un disque dur ou toute une base de données. Les techniques traditionnelles de chiffrement portaient sur toute l’enveloppe (par exemple, une base de données tout entière, alors que l’enjeu de protection portait juste sur un champ ou un enregistrement). Cette approche de chiffrement des champs, granulaire s’articule aussi aux utilisateurs, à ceux qui accèdent aux données, à ceux qui sont propriétaires des données et non pas qu’à l’administrateur de la base de données tout entière.

Le Privacy Shield

Bien sûr le Privacy Shield évoluera, un nouveau cadre législatif pérenne à travers un nouveau traité entre l’Europe et les Etats-Unis est déjà à l’étude par la Commission Européenne. Il garantirait aux données personnelles une protection équivalente aux USA qu’en UE. Mais, la nouvelle vague des solutions de chiffrement granulaire de la donnée s’imposera car elle apportera une protection augmentée à d’autres vulnérabilités et à d’autres besoins tels que le vol des données, le sabotage et l’espionnage industriel.

Article Smart DSI – Décembre 2020