Information et éducation par et pour la communauté SAP
Nouvelles de la communauté, MAG 18-05, Scène

US Cloud Act et RGPD de l'UE

Les récentes réglementations US Cloud Act et EU-DSGVO égratignent - voire endommagent - le Cloud Computing. Les clients SAP existants doivent-ils sortir du nuage ? Une analyse des risques pour le Chief Information Security Officer.
5 juin 2018
Contenu :
US Cloud Act et RGPD de l'UE
Ce texte a été automatiquement traduit en français de l'allemand

Pour simplifier, le Cloud Act permet au gouvernement américain d'accéder librement à toutes les données du cloud mondial stockées par des fournisseurs américains.

Le litige que Microsoft a tenté d'engager aux États-Unis est donc également caduc : Pour les données stockées en dehors des États-Unis, Microsoft ne voyait pas la nécessité juridique de les transmettre aux autorités gouvernementales américaines.

Le Cloud Act actuel modifie fondamentalement cette situation. Les entreprises américaines sont tenues de remettre aux autorités compétentes toutes les données issues du cloud, quel que soit leur lieu de stockage physique.

Les experts en matière de protection des données attendaient une telle réglementation, mais toujours en conformité avec les lois européennes et notamment le RGPD de l'UE.

Ce qui a compliqué la situation pour les utilisateurs du cloud, et donc aussi pour les clients SAP existants, c'est le fait que le gouvernement américain a adopté le Cloud Act sans concertation avec l'UE.

Cette réglementation unilatérale de la "protection des données" n'a pas seulement jeté un froid sur les responsables de l'UE à Bruxelles, mais pose désormais de tout nouveaux défis au cloud computing.

Le US Cloud Act combiné au RGPD de l'UE pourrait donc contraindre les clients existants de SAP à éviter ou peut-être même à quitter les fournisseurs de cloud américains comme AWS, Microsoft et Google - des alternatives européennes existent.

"La clarification des autorités américaines par le US Cloud Act n'est pas inattendue".

confirme également Jean- Claude Flury, membre du comité directeur de DSAG Business Networks Integration, au magazine E-3.

Jan Claude FluryEt Bertram Dorn, AWS Specialist Solutions Architect EMEA pour la sécurité, confirme la nouvelle situation dans un entretien exclusif avec E-3 :

"Nous contribuons à l'analyse des risques en fournissant des informations et des données. Mais il n'y a pas de risque sans risque, c'est pourquoi il faut arriver à une évaluation réaliste.

Avec le RGPD et le Cloud Act américain, il y a bien sûr une tâche supplémentaire en ce qui concerne l'analyse des risques. Et bien sûr, cela donne lieu à des discussions auxquelles les clients SAP existants - en particulier les PME - ne sont pas encore habitués".

La nouvelle discussion sur les risques du Chief Information Security Officer n'est donc pas une discussion technique, mais une discussion juridique. L'aspect positif est la sécurité juridique provisoire, car il existe une loi américaine et un RGPD européen.

"Même la société Microsoft, qui a une affaire en cours devant la Cour suprême des États-Unis à ce sujet, les salue".

ajoute Jean-Claude Flury, membre du comité directeur de DSAG :

"A l'heure des fuites et du piratage, chaque entreprise doit bien réfléchir aux données qui sont stockées dans des clouds plus ou moins privés.

C'est particulièrement vrai pour les centres de données situés en dehors de l'Europe, et encore plus s'il s'agit d'un opérateur qui n'est ni de l'UE ni de la Suisse".

SAP lui-même n'a pas encore réagi et n'a pas commenté ses coopérations avec AWS, Microsoft et Google, ni ses propres centres de données mondiaux. Jean-Claude Flury souligne ainsi une nouvelle fois

"Ce qui est nouveau, c'est que des pays tiers pourraient accéder plus facilement aux données d'entreprises situées dans leur propre pays via un accord bilatéral avec les États-Unis. Les entreprises européennes feraient bien de renforcer encore leurs directives, que l'on espère déjà strictes, sur la conservation des données en dehors du centre de données de l'entreprise".

Bertram Dorn, expert d'AWS, voit lui aussi l'évolution de la même manière :

"Le client doit être conscient des risques liés au RGPD et au Cloud Act américain, les évaluer pour lui-même et les estimer de manière adéquate".

Avec le US Cloud Act et le RGPD, le Chief Information Security Officer a beaucoup de travail à faire. Bertram Dorn le sait grâce à son travail quotidien avec les clients AWS :

"Même après la discussion et l'évaluation avec nos avocats, l'évaluation des risques reste bien sûr de la responsabilité du client".

Pour relever ce défi, il existe plusieurs solutions - peut-être revenir à son propre centre de données ? La plupart des clients existants de SAP ont une grande connaissance de la construction et de l'exploitation de leurs propres centres de données.

Dans l'ère pré-cloud, la communauté SAP a beaucoup consolidé, automatisé et virtualisé. Il en résultait des centres de données légers et performants qui, en tant qu'installations SAP sur site, pouvaient également rivaliser avec de nombreux sous-traitants et hébergeurs sur le plan de la gestion d'entreprise.

Quel est donc le niveau de risque ? Quelle est la pertinence d'une stratégie de sortie du cloud ? Meik Brand, SAP Business Development Manager chez QSC, partenaire de SAP, répond à ces questions :

"Tout d'abord, il faut retenir ceci : Ceux qui n'utilisent pas encore aujourd'hui de produits cloud d'entreprises américaines et ne conservent pas non plus de données sur des serveurs américains peuvent se détendre et attendre les prochaines étapes réglementaires de l'UE. Car il s'agit actuellement d'une initiative purement unilatérale du gouvernement américain".

Meik BrandUS Cloud Act concerne donc directement les clients SAP existants qui sont impliqués dans AWS, Microsoft Azure et Google Cloud Platform. La réaction et la réponse de Bertram Dorn, spécialiste d'AWS, sont donc tout à fait logiques :

"Nous aidons nos clients avec des revues de leur architecture de sécurité, car toutes nos dispositions et services de sécurité ne sont utiles que si le client met en œuvre et configure correctement ces offres AWS".

Meik Brand de QSC recommande :

"Ceux qui se trouvent justement en ce moment dans le processus de sélection d'un service de cloud devraient d'abord l'arrêter. Les entreprises qui utilisent déjà des produits Cloud concernés par le Cloud Act devraient par contre attendre. Car dans les deux ou trois prochains mois, on verra ce que signifie concrètement le Cloud Act américain - et comment l'UE se positionnera à ce sujet.

Les clients SAP devraient également demander des comptes à leur fournisseur de cloud américain et clarifier de manière contraignante comment celui-ci - malgré le Cloud Act - peut désormais garantir la protection des données conformément au RGPD de l'UE".

Alors que Microsoft et Google n'ont pas souhaité faire de déclaration au magazine E-3 concernant leurs responsabilités et leurs revues de sécurité en matière de protection des données, Bertram Dorn d'AWS prend clairement position :

"Nous considérons que ces revues sont très importantes, c'est pourquoi nous offrons ce service gratuitement à nos clients. Le contexte est facile à expliquer : nous voulons que nos clients réussissent et cela implique justement la sécurité des données. En fin de compte, il s'agit de configurer correctement les services AWS dans le sens des exigences du client".

En tant que client SAP existant, il est donc possible de conserver ses données en toute sécurité chez AWS et de faire une évaluation des risques, mais il est difficile d'évaluer comment l'US Cloud Act s'accorde en pratique avec le RGPD de l'UE et comment les deux règlements sont appliqués de manière opérationnelle par les autorités respectives.

D'où la recommandation finale de Meik Brand, SAP Business Development Manager chez QSC :

"Celui qui sait que ses données sont stockées chez un fournisseur de cloud de l'UE dans un centre de données de l'UE, mise ainsi sur un fournisseur soumis au RGPD de l'UE et est donc du côté de la sécurité en matière de protection des données. Les clients SAP en Europe devraient donc examiner d'un œil critique l'utilisation de fournisseurs de cloud américains et ne les autoriser maintenant que dans des cas exceptionnels.

En raison de l'entrée en vigueur le 25 mai du règlement de base de l'UE sur la protection des données, de lourdes sanctions sont potentiellement encourues en cas de violation de la protection des données".

Ainsi, le US Cloud Act et le RGPD de l'UE égratignent les nuages du cloud computing. Dans les mois à venir, la communauté SAP devra trouver des réponses ou revenir au on-premise.

Écrire un commentaire

Comment les clients SAP maîtrisent le passage au cloud hybride avec SUSE

L'utilisation de SAP va au-delà des applications : Automatisation de l'infrastructure et des opérations système

Conseiller intelligemment, grâce à l'archivage hybride

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.