Contrairement aux éditeurs américains, la solution
européenne IKare, de management des vulnérabilités, n’est pas
soumise au Patriot Act.
Rappelons en effet, que tout éditeur ou hébergeur
US qui héberge des données de ses clients a l’obligation de
fournir libre accès au gouvernement des États-Unis à toutes
les données que les services US jugeraient utiles pour la
sécurité de leur territoire. Cette règlementation initiée par
le Patriot Act suite au 11 septembre 2001 s’applique à toute
société immatriculée aux États-Unis. De ce fait, un éditeur
américain, bien qu’il dispose d’un centre informatique ou
d’une filiale en Europe, ne peut pas garantir que les données
des entreprises européennes resteront confidentielles.
“La législation résultant de la
mise en œuvre de l'USA Patriot Act (Uniting
and
Strengthening America by Providing Appropriate Tools
Required to intercept and Obstruct Terrorism act),
datée du 26 octobre 2001, prolongée jusqu'en juin 2015,
impose aux entreprises de droit américain, ainsi qu'à
leurs filiales dans le monde, et aux serveurs hébergés sur
le territoire des Etats-Unis quelle que soit la
nationalité des entreprises qui les exploitent, ainsi
qu'aux données hébergées en Europe par des sociétés de
droit américain, des obligations permettant aux services
de sécurité américains d'accéder à des données à caractère
personnel. Sont donc concernées l'ensemble des données
relatives à une personne physique stockées dans des
fichiers informatiques hébergées dans le Cloud ” (source : Le Monde).
De plus, les entreprises américaines ont
l’obligation de répondre aux injonctions du FBI ou de la CIA, sans passer
par un juge.
Un scanner de vulnérabilité en mode cloud héberge
donc les résultats et vos failles de sécurité sur un datacenter soumis à cette règlementation même si le datacenter est
situé en France ou en Europe.
IKare est proposé en SaaS interne ou externe à
nos clients. Les données de sécurité traitées sont hébergées
par le client lui même et n’en sortent pas OU sont hébergées
en Saas externe dans nos datacenters sécurisés situés en
France et non soumis à la règlementation américaine. Dans les
deux cas, vos données sont confidentielles et le restent…
Ajout à ce mémo :
RépondreSupprimerA propos du SafeHarbor qui est souvent mentionné par les éditeurs américains comme argument de conformité à la directive européenne de protection de données :
“Il en résulte l’ineffectivité du dispositif « Safe Harbour » pour garantir la confidentialité des données hébergées auprès de sociétés de droit américaines ou dans des serveurs situés aux Etats-Unis.” (source : les echos)
Qu’en est il si l’éditeur américain héberge son application en Europe avec un partenaire soumis au droit européen ?
Les données presents dans l’application de l’éditeur américain sont tout de meme SOUMISES au Patriot Act.
Qu’en est il si les données sont hébergées par une filiale européenne de l’editeur américain ?
Cette filiale est toute de même soumise au Patriot ACT US.
En conclusion :
Seul un éditeur européen ou dont le siege est situé en dehors des états Unis, a la capacité à garantir la sécurité des données des clients. Il n’est pas soumis au Patriot Act américain.
Ces elements sont basés sur des sources provenants d’organismes officiels , niotamment : CNIL, ENISA,
Références :
RépondreSupprimer“La législation résultant de la mise en œuvre de l'USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to intercept and Obstruct Terrorism act), datée du 26 octobre 2001, prolongée jusqu'en juin 2015, impose aux entreprises de droit américain, ainsi qu'à leurs filiales dans le monde, et aux serveurs hébergés sur le territoire des Etats-Unis quelle que soit la nationalité des entreprises qui les exploitent, ainsi qu'aux données hébergées en Europe par des sociétés de droit américain, des obligations permettant aux services de sécurité américains d'accéder à des données à caractère personnel. Sont donc concernées l'ensemble des données relatives à une personne physique stockées dans des fichiers informatiques hébergées dans le Cloud ” (source : Le Monde).
http://www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf
Les dispositions du USA PATRIOT ACT sont contraignantes et donc opposables aux entreprises ayant leur siège aux Etats-Unis, ainsi qu’à leurs filiales - qu’elles soient américaines ou étrangères-, ainsi qu’aux sociétés dont les serveurs se trouvent aux Etats-Unis ou en dehors du territoire américain (par application du principe d'application du droit du PATRIOT ACT dans l'espace).
Lien et référence annexes.
http://www.lemondeducloud.fr/lire-acces-aux-donnees-dans-le-cloud-l-ue-confrontee-au-patriot-act-americain-34152.html
Microsoft aurait déjà pu transférer les données européennes aux États-Unis en vertu de l'accord Safe Harbor. Mais les experts juridiques estiment que cet accord « vaut à peine le papier sur lequel il est écrit. » Celui-ci comporte le respect de sept principes, dont la protection raisonnable des données, et une application clairement définie et effective. Cependant tout cela perd toute valeur si le Patriot Act est invoqué. « Je crains que l'accord Safe Harbor n'ait désormais très peu de valeur, dans la mesure où il apparait que les entreprises américaines qui proposent de conserver les données dans un cloud européen soient encore obligées d'autoriser l'accès à ces données au gouvernement américain sur la base du Patriot Act », a déclaré Theo Bosboom, un avocat expert dans les questions technologiques au sein du cabinet Dirkzager Lawyers. « Les Européens feraient mieux de conserver leurs données en Europe. Si un partenaire européen propose une solution cloud en Europe et offre la garantie que les données resteront au sein de l'Union européenne, alors c'est sans aucun doute, sur le plan juridique, le meilleur choix. »
http://www.itespresso.fr/easyvista-le-patriot-act-risque-pour-les-donnees-confidentielles-dans-le-cloud-51623.html http://www.silicon.fr/avis-dexpert-le-patriot-act-risque-majeur-pour-la-confidentialite-des-donnees-dans-le-cloud-72738.html
http://lecercle.lesechos.fr/entreprises-marches/high-tech-medias/internet/221144488/usa-patriot-act-risque-majeur-confidentialit