Darauf müssen Verkäufer bei virtuellen

WHITEPAPER
L’Europe après le scandale sur la protection des données :
Comment des données d’entreprise confidentielles peuvent-elles être
protégées ?
La perte de données
confidentielles ne peut pas
être considérée comme une
simple mission technique,
car elle représente un
risque stratégique global
pour l’entreprise.
Les thèmes de protection des données et de cyber sécurité ne sont pas
nouveaux pour l’économie, mais l’affaire d’espionnage de l’Agence
nationale américaine de la sécurité (NSA) a de nouveau fait de cette
problématique un sujet d’actualité pour les preneurs de décision. Si les
entreprises ont tiré quelques leçons du débat actuel, elles savent
désormais que la protection des données et de la confidentialité ne
relève pas seulement des domaines des services informatiques et de
l’expertise en matière de sécurité, mais que les gérants d’entreprise et
les comités de direction sont également directement responsables.
Contexte
1
1
Les informations générales concernant
Edward Snowden peuvent être consultées
sur le lien suivant :
http://www.slate.fr/monde/73701/edwardsnowden-nsa
Edward Snowden constitue le portrait des révélations faites dans le
cadre de l’affaire de surveillance de la NSA. Début juin 2013, l’ancien
collaborateur du service secret américain a tout d’abord donné un
aperçu de l’efficacité des programmes d’espionnage en place aux ÉtatsUnis. Il a rendu public la manière dont les États-Unis ont, depuis des
années, surveillé des millions de données Internet et téléphoniques dans
le monde. Par conséquent, il s’agit de mener non seulement la lutte
indispensable contre le terrorisme, mais également celle contre
l’espionnage industriel à grande échelle. Les services secrets américains
espionnent ainsi des entreprises européennes de manière systématique
et transmettent les informations obtenues à des entreprises
américaines à finalité de renseignement, comme dans l’exemple de
Ferrostaal. Selon des rapports officiels, le prestataire allemand de
Télécharger gratuitement d´autres livres blancs Drooms sur www.drooms.com
1/8
services industriels aurait perdu un contrat d’un volume de 34 millions
de dollars, au profit d’un concurrent américain.
2
Les résultats détaillés du sondage peuvent
être consultés sur le lien suivant :
http://www2.itif.org/2013-cloud-computingcosts.pdf
Depuis, la perte de confiance dans l’environnement informatique
américain et ses fournisseurs de logiciels et prestataires s’est
considérablement accrue. D’après les résultats d’un sondage mené
auprès des membres de la Cloud Security Alliance, la Fondation sur les
technologies de l’information et l’innovation (Information Technology &
Innovation Foundation) a prévenu les fournisseurs de services
informatiques en Cloud qu’une perte du chiffre d’affaires de 22 à 35
milliards de dollars surviendrait sur les trois années à venir. L’économie
européenne en bénéficie avant tout, car l’affaire de surveillance mènera
à une augmentation de l’obtention de contrats par des fournisseurs
européens. L’illustration suivante montre l’évolution probable du marché
mondial concernant les solutions d’informatique en Cloud pour lequel la
2
croissance forte se poursuivra au cours des prochaines années.
Illustration 1 : Souscriptions mondiales pour l’informatique en cloud
pour les marchés américains et non américains ; 2009 à 2016 en
milliards, US$
Composants essentiels de l’infrastructure en cloud :
« Échange de données d’entreprise confidentielles »
La quantité d’informations
confidentielles des entreprises et le
nombre des parties impliquées
devant y avoir accès sont
considérables.
DROOMS WHITEPAPER
Toutes les entreprises ont en leur possession des documents et
informations confidentiels qui doivent être protégés des accès non
autorisés internes et externes. Toutefois, dans un environnement
commercial mondialisé et numérique, un accès à ces informations
confidentielles doit justement être accordé à des catégories de
personnes spécifiques en interne et en externe dans le monde entier.
L’Europe après le scandale sur la protection des données : Comment des données d’entreprise confidentielles
peuvent-elles être protégées ?
2/8
En tant que secrets de fabrication et commerciaux sont considérés
tous les faits, toutes les circonstances et toutes les opérations se
rapportant à une entreprise qui ne sont pas publics, qui ne sont
divulgués qu’à un cercle restreint de personnes et pour lesquels
l’entité dispose d’un intérêt légitime de non diffusion. Les secrets de
fabrication concernent le savoir technique au sens large, tandis que
les secrets commerciaux se rapportent principalement au savoir
commercial. Parmi ces secrets figurent par exemple les chiffres
d’affaires, les résultats d’exploitation, les livres de compte, les listes
de clients, les sources d’approvisionnement, les conditions de
stratégies commerciales, la documentation relative au degré de
solvabilité, les documents de calcul, les demandes de brevets et
autres projets de développement et de recherche susceptibles de
largement déterminer les conditions économiques d’une entreprise.
(Définition selon la décision de la Cour constitutionnelle fédérale
allemande (BVerfG) du 14 mars 2006)
CAS DE FIGURE 1 : TRANSACTIONS
Les transactions sont des cibles intéressantes pour l’espionnage
industriel, car le savoir d’initiés est particulièrement exploité à des fins
de spéculation et d’avantages concurrentiels. L’entreprise cible présente
soigneusement tous les documents sensibles, comme :
Propriété intellectuelle, par exemple secteur pharmaceutique
Les informations concernant la composition de médicaments, les
avancées en matière de recherche et les séries d’expériences, la
propriété intellectuelle (PI) d’une compagnie pharmaceutique se
trouvant juste avant le rachat par un concurrent sont déterminantes
en matière d’évaluation et d’une importance capitale pour l’entreprise
industrielle, même après la transaction.
Données contractuelles et de clients sensibles, par exemple appels
d’offres
Les informations relatives à l’offre de toute entreprise se trouvant
dans une procédure d’appel d’offres peuvent être décisives pour le
succès de concurrents.
Salaires de dirigeants
Les salaires de dirigeants d’entreprise et de membres des comités de
direction présentent souvent un intérêt accru pour le grand public et
pour les concurrents dans le cadre d’initiatives de débauchage.
L´entreprise vendeuse doit dans tous les cas surveiller et garantir la
sécurité des documents.
DROOMS WHITEPAPER
L’Europe après le scandale sur la protection des données : Comment des données d’entreprise confidentielles
peuvent-elles être protégées ?
3/8
CAS DE FIGURE 2 : COMMUNICATION DES COMITES (CONSEIL DE
SURVEILLANCE, COMITE DE DIRECTION, DIRECTION DE LA
SOCIETE)
La communication des comités de direction, des conseils de
surveillance et des directions de sociétés est strictement confidentielle.
Dès lors, l’information des membres de comités et la préparation de
réunions doivent être organisées en conséquence et de manière
sécurisée. Les courriels de comptes de sociétés ou de comptes privés
ne peuvent pas être utilisés à cette fin, car ils possèdent le même niveau
de sécurité non codé que des cartes postales et d’autres collaborateurs
de l’entreprise peuvent, en règle générale, également y accéder.
Toutefois, les courriels codés ne satisfont souvent pas aux exigences de
sécurité, car l’expéditeur se dessaisit du contrôle du document envoyé
par courriel. Les exemples de la presse démontrent quels enjeux
importants la perte de documents volés de comptes de courriels privés
ou professionnels comporte. Il peut en résulter une perte de contrats, la
divulgation prématurée de stratégies d’entreprise ainsi qu’une perte de
réputation interne et externe. Les informations relatives au personnel
sont notamment souvent très difficiles à catégoriser dans les
entreprises.
Supports d’information =
facteurs de risque
La quantité d’informations
confidentielles des entreprises et
le nombre des parties impliquées
devant y avoir accès sont
considérables : des
collaborateurs spécialisés et de
l’informatique, aux conseillers en
passant par les partenaires
commerciaux, les clients, les
prestataires de services et les
fournisseurs. L’étude e-Crime
L’Illustration 2 montre que les initiés d’entreprise surtout ont également
menée par KPMG relative à la
appartenu aux groupes de risques.
criminalité informatique dans
Source : étude e-Crime, KPMG
l’environnement économique
allemand a interrogé des
entreprises à ce sujet, qui ont été
concernées par e-Crime au cours des deux dernières années, sur les
auteurs d’infractions et a obtenu les résultats suivants.
3
Les résultats détaillés de l’étude peuvent
Le besoin de protection de données confidentielles en interne et en
3
externe est particulièrement grand.
être consultés sur le lien suivant:
http://www.kpmg.com/ch/en/library/articles
-publications/Pages/e-crime-survey2013.aspx
DROOMS WHITEPAPER
L’Europe après le scandale sur la protection des données : Comment des données d’entreprise confidentielles
peuvent-elles être protégées ?
4/8
Contexte en matière de protection des données en Europe
4
Le texte de la directive peut être consulté
sur : http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=
CELEX:31995L0046:fr:HTML
5
Version: mai 2013.
En 1995, la Communauté européenne a promulgué la directive
4
95/46/EG pour la protection de personnes physiques à l’égard du
traitement des données à caractère personnel et pour la protection de la
libre circulation des données. Cette directive décrit les normes
minimales pour la protection des données qui sont garanties par des
lois nationales dans tous les États membres de l’Union européenne.
Il convient toujours de vérifier, avant la transmission de données à
caractère personnel vers l’étranger, que l’utilisation des données soit
avant tout autorisée sur le territoire national. Ainsi, le consentement de
la partie intéressée ou une autorisation légale pour l’utilisation des
données doit être établi. De surcroît, il doit être garanti, lors de la
transmission de données vers l’étranger, que le pays de destination
dispose d’un niveau de protection de données approprié.
CEPENDANT, DANS QUEL CAS LE NIVEAU DE PROTECTION DES
DONNEES EST-IL CONSIDERE COMME « APPROPRIE » ?
Dans les pays de l’UE et les pays de l’EEE, le niveau de protection des
données est considéré comme approprié et la transmission de données
est généralement autorisée dans la mesure où toutes les autres
dispositions en matière de protection des données sont respectées. En
revanche, si les pays de destination se trouvent en dehors de l’UE/de
l’EEE, il convient alors de distinguer entre les pays tiers sécurisés et ceux
non sécurisés :
Les pays tiers sécurisés sont les États pour lesquels la Commission
européenne a confirmé, par le biais d’une décision d’adéquation, que
ces États disposent d’un niveau de protection de données approprié
suffisamment comparable à celui exigé par la législation de l’UE ou
les lois nationales des États membres de l’UE. Actuellement, ces
États sont : la Suisse, l’Argentine, l’Andorre, l’Uruguay, l’Australie, la
Nouvelle-Zélande, les îles Féroé, Guernesey, Israël, l’île de Man, Jersey
5
et le Canada .
À l’inverse, les pays tiers non sécurisés sont les pays qui ne disposent
pas d’un niveau de protection de données approprié et comparable à
celui exigé par les normes européennes comme, par exemple, les
États-Unis, le Japon, l’Inde et la Chine.
La transmission de données à caractère personnel dans ces pays tiers
non sécurisés n’est autorisée que sous certaines conditions préalables.
Parmi ces conditions figurent, par exemple, le consentement de la partie
intéressée ou la convention de clauses contractuelles types de l’UE qui
contiennent les normes minimales exigées en matière de protection des
données.
DROOMS WHITEPAPER
L’Europe après le scandale sur la protection des données : Comment des données d’entreprise confidentielles
peuvent-elles être protégées ?
5/8
SPHERE DE SECURITE (SAFE HARBOR)
Afin de ne pas complètement bloquer la circulation des données et les
relations d’affaires transatlantiques, la Commission européenne a
reconnu que les entreprises américaines, qui acceptent les principes
approuvés de la sphère sécurisée établis par le ministère du commerce
américain et qui ont fait l’objet d’une certification respective, disposent
d’un niveau de protection des données approprié (décision relative à la
Sphère de sécurité). Cette décision fait cependant l’objet de critiques
dans le cadre des débats politico-juridiques, car la Sphère de sécurité
implique un mécanisme total, facultatif et autorégulateur.
USA PATRIOT ACT (« LOI POUR UNIR ET RENFORCER L’AMERIQUE
EN FOURNISSANT LES OUTILS APPROPRIES POUR DECELER ET
CONTRER LE TERRORISME »)
En ce qui concerne les États-Unis, la situation s’aggrave encore plus, au
vu de l’USA PATRIOT Act, loi qui a été approuvée en 2001 à la suite du
11 septembre. Cette loi permet au FBI et à d’autres autorités
américaines, sans la supervision de tribunaux, d’exiger des données
auprès de prestataires de services Internet et de fournisseurs de
services informatiques en Cloud, sans le besoin d’informer les
particuliers ou les entreprises.
TRAITEMENT DE DONNEES RELATIVES AUX CONTRATS
Les principes de la protection des données s’appliquent également au
traitement de données relatives aux contrats, à savoir à l’obtention, au
traitement ou à l’utilisation de données à caractère personnel par un
prestataire de services mandaté, comme dans le cas de prestataires de
services logiciels. Par exemple, lorsqu’une entreprise allemande
mandate un fournisseur de services informatiques étranger pour le
traitement de données à caractère personnel, l’entreprise doit s’assurer
que les dispositions en matière de protection des données en vigueur en
Allemagne sont respectées. En effet, l’externalisation de l’activité
n’implique pas la cession systématique du risque juridique, car il relève
toujours de la responsabilité de l’entreprise en tant que mandante de
respecter les dispositions en matière de protection des données.
Importance en matière de protection de données d’entreprise
confidentielles
La prévention de risques lies a la
sécurité ne peut être engagée de
manière satisfaisante que dans le
cas où les conventions, les contrats
ainsi que l’organisation et la
technique s’unissent.
DROOMS WHITEPAPER
Le PATRIOT Act permet, sous certaines conditions, l’accès par des
autorités américaines non seulement aux entreprises américaines ayant
leur siège aux États-Unis, mais également à leurs filiales implantées
dans l’UE. Le facteur déterminant n’est pas seulement le lieu de
stockage des données, mais également une liaison en termes de groupe
du fournisseur de services informatiques avec les États-Unis. Par
conséquent, les données européennes ne sont toutefois pas toujours
protégées de l’accès par des autorités américaines, même si elles n’ont
absolument aucune présence sur un serveur aux États-Unis.
L’Europe après le scandale sur la protection des données : Comment des données d’entreprise confidentielles
peuvent-elles être protégées ?
6/8
Lors de l’attribution d’un mandat à des fournisseurs de services
informatiques, les facteurs déterminants d’un point de vue de protection
des données sont le lieu de stockage/du serveur auquel se trouvent les
données (dans l’UE/dans l’EEE/dans un pays tiers sécurisé) et si oui ou
non le fournisseur de services informatiques a une liaison en termes de
groupe sous une forme ou une autre avec les États-Unis.
Cette situation rend donc impossible une collaboration conforme à la
protection des données entre des entreprises européennes, qui sont
également soumises aux normes européennes de protection des
données, et des prestataires de services Internet et fournisseurs de
services informatiques en Cloud américains, ainsi que leurs filiales en
Europe. Dès lors, les experts en matière de protection des données
recommandent des prestataires de services européens dont les
serveurs se trouvent au sein de l’UE, afin de pouvoir gérer les risques
juridiques.
Par ailleurs, d’autres critères techniques doivent bien évidemment être
satisfaits pour que la plateforme en elle-même se prémunisse contre les
attaques extérieures. Ci-après figurent quelques exemples seulement.
Illustration 3 : L’Europe après le scandale sur la protection des données :
perspectives pour l’échange de données d’entreprise confidentielles
DROOMS WHITEPAPER
L’Europe après le scandale sur la protection des données : Comment des données d’entreprise confidentielles
peuvent-elles être protégées ?
7/8
Recommandations concrètes
La protection de secrets commerciaux et de fabrication n’implique pas
seulement la sélection de moyens techniques appropriés, elle concerne
également les aspects organisationnels et juridiques. Les gérants
d’entreprise doivent en l’occurrence tenir compte des points suivants :
Analyse des exigences légales, classification d’informations selon
le besoin de protection requis et détermination d’un niveau de
protection approprié compte tenu du rapport coûts-avantages.
2.
Détermination de compétences et de règles décisionnelles. La
direction de la société est responsable et garante de la protection
des données et de la confidentialité.
3.
Prise de mesures organisationnelles en vue de la réduction du
cercle de personnes ayant accès à des documents et informations
confidentiels. Sensibilisation des personnes internes et externes
grâce à des formations et convention de déclarations de
confidentialité, d’accords dits Non-Disclosure Agreements (NDA),
comprenant des clauses de surveillance.
4.
Conventions avec des conseillers et prestataires de services tenant
compte du respect des règles de protection des données et de la
confidentialité.
La prévention de risques liés à la sécurité ne peut être engagée de
manière satisfaisante que dans le cas où les conventions, les contrats
ainsi que l’organisation et la technique s’unissent.
Organisation
Technique
Conventions et
contrats
DROOMS WHITEPAPER
1.
Toutefois, la praticabilité de la solution est finalement et en l’occurrence
aussi déterminante en termes de réussite. Du point de vue de
l’entreprise, il est indispensable que les processus opérationnels ne
soient pas restreints ou complexes, car tous les destinataires
d’informations confidentielles sont largement impliqués dans des
processus décisionnels et doivent avoir un accès facile aux informations
à tout moment. Dès lors, ce point revêt une importance particulière dans
le cadre de la définition des mesures de sécurité.
L’Europe après le scandale sur la protection des données : Comment des données d’entreprise confidentielles
peuvent-elles être protégées ?
8/8