{"id":42372,"date":"2018-06-05T08:00:53","date_gmt":"2018-06-05T06:00:53","guid":{"rendered":"http:\/\/e3mag.com\/?p=42372"},"modified":"2024-01-19T14:51:41","modified_gmt":"2024-01-19T13:51:41","slug":"us-cloud-act-et-eu-dsgvo","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/us-cloud-act-et-eu-dsgvo\/","title":{"rendered":"US Cloud Act et RGPD de l'UE"},"content":{"rendered":"

Pour simplifier, le Cloud Act permet au gouvernement am\u00e9ricain d'acc\u00e9der librement \u00e0 toutes les donn\u00e9es du cloud mondial stock\u00e9es par des fournisseurs am\u00e9ricains.<\/p>\n

Le litige que Microsoft a tent\u00e9 d'engager aux \u00c9tats-Unis est donc \u00e9galement caduc : Pour les donn\u00e9es stock\u00e9es en dehors des \u00c9tats-Unis, Microsoft ne voyait pas la n\u00e9cessit\u00e9 juridique de les transmettre aux autorit\u00e9s gouvernementales am\u00e9ricaines.<\/p>\n

Le Cloud Act actuel modifie fondamentalement cette situation. Les entreprises am\u00e9ricaines sont tenues de remettre aux autorit\u00e9s comp\u00e9tentes toutes les donn\u00e9es issues du cloud, quel que soit leur lieu de stockage physique.<\/p>\n

Les experts en mati\u00e8re de protection des donn\u00e9es attendaient une telle r\u00e9glementation, mais toujours en conformit\u00e9 avec les lois europ\u00e9ennes et notamment le RGPD de l'UE.<\/p>\n

Ce qui a compliqu\u00e9 la situation pour les utilisateurs du cloud, et donc aussi pour les clients SAP existants, c'est le fait que le gouvernement am\u00e9ricain a adopt\u00e9 le Cloud Act sans concertation avec l'UE.<\/p>\n

Cette r\u00e9glementation unilat\u00e9rale de la \"protection des donn\u00e9es\" n'a pas seulement jet\u00e9 un froid sur les responsables de l'UE \u00e0 Bruxelles, mais pose d\u00e9sormais de tout nouveaux d\u00e9fis au cloud computing.<\/p>\n

Le US Cloud Act combin\u00e9 au RGPD de l'UE pourrait donc contraindre les clients existants de SAP \u00e0 \u00e9viter ou peut-\u00eatre m\u00eame \u00e0 quitter les fournisseurs de cloud am\u00e9ricains comme AWS, Microsoft et Google - des alternatives europ\u00e9ennes existent.<\/p>\n

\"La clarification des autorit\u00e9s am\u00e9ricaines par le US Cloud Act n'est pas inattendue\".<\/em><\/p>\n

confirme \u00e9galement Jean- Claude Flury, membre du comit\u00e9 directeur de DSAG Business Networks Integration, au magazine E-3.<\/p>\n

\"Jan<\/a>Et Bertram Dorn, AWS Specialist Solutions Architect EMEA pour la s\u00e9curit\u00e9, confirme la nouvelle situation dans un entretien exclusif avec E-3 :<\/p>\n

\"Nous contribuons \u00e0 l'analyse des risques en fournissant des informations et des donn\u00e9es. Mais il n'y a pas de risque sans risque, c'est pourquoi il faut arriver \u00e0 une \u00e9valuation r\u00e9aliste. <\/em><\/p>\n

Avec le RGPD et le Cloud Act am\u00e9ricain, il y a bien s\u00fbr une t\u00e2che suppl\u00e9mentaire en ce qui concerne l'analyse des risques. Et bien s\u00fbr, cela donne lieu \u00e0 des discussions auxquelles les clients SAP existants - en particulier les PME - ne sont pas encore habitu\u00e9s\".<\/em><\/p>\n

La nouvelle discussion sur les risques du Chief Information Security Officer n'est donc pas une discussion technique, mais une discussion juridique. L'aspect positif est la s\u00e9curit\u00e9 juridique provisoire, car il existe une loi am\u00e9ricaine et un RGPD europ\u00e9en.<\/p>\n

\"M\u00eame la soci\u00e9t\u00e9 Microsoft, qui a une affaire en cours devant la Cour supr\u00eame des \u00c9tats-Unis \u00e0 ce sujet, les salue\".<\/em><\/p>\n

ajoute Jean-Claude Flury, membre du comit\u00e9 directeur de DSAG :<\/p>\n

\"A l'heure des fuites et du piratage, chaque entreprise doit bien r\u00e9fl\u00e9chir aux donn\u00e9es qui sont stock\u00e9es dans des clouds plus ou moins priv\u00e9s. <\/em><\/p>\n

C'est particuli\u00e8rement vrai pour les centres de donn\u00e9es situ\u00e9s en dehors de l'Europe, et encore plus s'il s'agit d'un op\u00e9rateur qui n'est ni de l'UE ni de la Suisse\".<\/em><\/p>\n

SAP lui-m\u00eame n'a pas encore r\u00e9agi et n'a pas comment\u00e9 ses coop\u00e9rations avec AWS, Microsoft et Google, ni ses propres centres de donn\u00e9es mondiaux. Jean-Claude Flury souligne ainsi une nouvelle fois<\/p>\n

\"Ce qui est nouveau, c'est que des pays tiers pourraient acc\u00e9der plus facilement aux donn\u00e9es d'entreprises situ\u00e9es dans leur propre pays via un accord bilat\u00e9ral avec les \u00c9tats-Unis. Les entreprises europ\u00e9ennes feraient bien de renforcer encore leurs directives, que l'on esp\u00e8re d\u00e9j\u00e0 strictes, sur la conservation des donn\u00e9es en dehors du centre de donn\u00e9es de l'entreprise\".<\/em><\/p>\n

Bertram Dorn, expert d'AWS, voit lui aussi l'\u00e9volution de la m\u00eame mani\u00e8re :<\/p>\n

\"Le client doit \u00eatre conscient des risques li\u00e9s au RGPD et au Cloud Act am\u00e9ricain, les \u00e9valuer pour lui-m\u00eame et les estimer de mani\u00e8re ad\u00e9quate\".<\/em><\/p>\n

Avec le US Cloud Act et le RGPD, le Chief Information Security Officer a beaucoup de travail \u00e0 faire. Bertram Dorn le sait gr\u00e2ce \u00e0 son travail quotidien avec les clients AWS :<\/p>\n

\"M\u00eame apr\u00e8s la discussion et l'\u00e9valuation avec nos avocats, l'\u00e9valuation des risques reste bien s\u00fbr de la responsabilit\u00e9 du client\".<\/em><\/p>\n

Pour relever ce d\u00e9fi, il existe plusieurs solutions - peut-\u00eatre revenir \u00e0 son propre centre de donn\u00e9es ? La plupart des clients existants de SAP ont une grande connaissance de la construction et de l'exploitation de leurs propres centres de donn\u00e9es.<\/p>\n

Dans l'\u00e8re pr\u00e9-cloud, la communaut\u00e9 SAP a beaucoup consolid\u00e9, automatis\u00e9 et virtualis\u00e9. Il en r\u00e9sultait des centres de donn\u00e9es l\u00e9gers et performants qui, en tant qu'installations SAP sur site, pouvaient \u00e9galement rivaliser avec de nombreux sous-traitants et h\u00e9bergeurs sur le plan de la gestion d'entreprise.<\/p>\n

Quel est donc le niveau de risque ? Quelle est la pertinence d'une strat\u00e9gie de sortie du cloud ? Meik Brand, SAP Business Development Manager chez QSC, partenaire de SAP, r\u00e9pond \u00e0 ces questions :<\/p>\n

\"Tout d'abord, il faut retenir ceci : Ceux qui n'utilisent pas encore aujourd'hui de produits cloud d'entreprises am\u00e9ricaines et ne conservent pas non plus de donn\u00e9es sur des serveurs am\u00e9ricains peuvent se d\u00e9tendre et attendre les prochaines \u00e9tapes r\u00e9glementaires de l'UE. Car il s'agit actuellement d'une initiative purement unilat\u00e9rale du gouvernement am\u00e9ricain\".<\/em><\/p>\n

\"Meik<\/a>US Cloud Act concerne donc directement les clients SAP existants qui sont impliqu\u00e9s dans AWS, Microsoft Azure et Google Cloud Platform. La r\u00e9action et la r\u00e9ponse de Bertram Dorn, sp\u00e9cialiste d'AWS, sont donc tout \u00e0 fait logiques :<\/p>\n

\"Nous aidons nos clients avec des revues de leur architecture de s\u00e9curit\u00e9, car toutes nos dispositions et services de s\u00e9curit\u00e9 ne sont utiles que si le client met en \u0153uvre et configure correctement ces offres AWS\".<\/em><\/p>\n

Meik Brand de QSC recommande :<\/p>\n

\"Ceux qui se trouvent justement en ce moment dans le processus de s\u00e9lection d'un service de cloud devraient d'abord l'arr\u00eater. Les entreprises qui utilisent d\u00e9j\u00e0 des produits Cloud concern\u00e9s par le Cloud Act devraient par contre attendre. Car dans les deux ou trois prochains mois, on verra ce que signifie concr\u00e8tement le Cloud Act am\u00e9ricain - et comment l'UE se positionnera \u00e0 ce sujet. <\/em><\/p>\n

Les clients SAP devraient \u00e9galement demander des comptes \u00e0 leur fournisseur de cloud am\u00e9ricain et clarifier de mani\u00e8re contraignante comment celui-ci - malgr\u00e9 le Cloud Act - peut d\u00e9sormais garantir la protection des donn\u00e9es conform\u00e9ment au RGPD de l'UE\".<\/em><\/p>\n

Alors que Microsoft et Google n'ont pas souhait\u00e9 faire de d\u00e9claration au magazine E-3 concernant leurs responsabilit\u00e9s et leurs revues de s\u00e9curit\u00e9 en mati\u00e8re de protection des donn\u00e9es, Bertram Dorn d'AWS prend clairement position :<\/p>\n

\"Nous consid\u00e9rons que ces revues sont tr\u00e8s importantes, c'est pourquoi nous offrons ce service gratuitement \u00e0 nos clients. Le contexte est facile \u00e0 expliquer : nous voulons que nos clients r\u00e9ussissent et cela implique justement la s\u00e9curit\u00e9 des donn\u00e9es. En fin de compte, il s'agit de configurer correctement les services AWS dans le sens des exigences du client\".<\/em><\/p>\n

En tant que client SAP existant, il est donc possible de conserver ses donn\u00e9es en toute s\u00e9curit\u00e9 chez AWS et de faire une \u00e9valuation des risques, mais il est difficile d'\u00e9valuer comment l'US Cloud Act s'accorde en pratique avec le RGPD de l'UE et comment les deux r\u00e8glements sont appliqu\u00e9s de mani\u00e8re op\u00e9rationnelle par les autorit\u00e9s respectives.<\/p>\n

D'o\u00f9 la recommandation finale de Meik Brand, SAP Business Development Manager chez QSC :<\/p>\n

\"Celui qui sait que ses donn\u00e9es sont stock\u00e9es chez un fournisseur de cloud de l'UE dans un centre de donn\u00e9es de l'UE, mise ainsi sur un fournisseur soumis au RGPD de l'UE et est donc du c\u00f4t\u00e9 de la s\u00e9curit\u00e9 en mati\u00e8re de protection des donn\u00e9es. <\/em>Les clients SAP en Europe devraient donc examiner d'un \u0153il critique l'utilisation de fournisseurs de cloud am\u00e9ricains et ne les autoriser maintenant que dans des cas exceptionnels. <\/em><\/p>\n

En raison de l'entr\u00e9e en vigueur le 25 mai du r\u00e8glement de base de l'UE sur la protection des donn\u00e9es, de lourdes sanctions sont potentiellement encourues en cas de violation de la protection des donn\u00e9es\".<\/em><\/p>\n

Ainsi, le US Cloud Act et le RGPD de l'UE \u00e9gratignent les nuages du cloud computing. Dans les mois \u00e0 venir, la communaut\u00e9 SAP devra trouver des r\u00e9ponses ou revenir au on-premise.<\/p>","protected":false},"excerpt":{"rendered":"

Les r\u00e9centes r\u00e9glementations US Cloud Act et EU-DSGVO \u00e9gratignent - voire endommagent - le Cloud Computing. Les clients SAP existants doivent-ils sortir du nuage ? Une analyse des risques pour le Chief Information Security Officer.<\/p>","protected":false},"author":2,"featured_media":42373,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[161,2,22044],"tags":[39,621,1993,15787],"coauthors":[19954],"class_list":["post-42372","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-szene","category-sap-nachrichten","category-mag-1805","tag-cloud","tag-cloud-computing","tag-datenschutz","tag-eu-dsgvo","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",400,180,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",600,270,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk.jpg",600,270,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/05\/shutterstock_88660195_cmyk-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Die k\u00fcrzlich beschlossene Verordnung US Cloud Act und EU-DSGVO kratzen \u2013 wenn nicht gar besch\u00e4digen \u2013 Cloud Computing. Hei\u00dft es nun f\u00fcr SAP-Bestandskunden raus aus dem Wolkenkuckucksheim? Eine Risikoanalyse f\u00fcr den Chief Information Security Officer.<\/p>\n","category_list_v2":"Szene<\/a>, Community Nachrichten<\/a>, MAG 18-05<\/a>","author_info_v2":{"name":"Peter M. F\u00e4rbinger, E3 Magazine","url":"https:\/\/e3mag.com\/fr\/author\/peter-m-faerbinger-e-3-magazin\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/42372","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=42372"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/42372\/revisions"}],"predecessor-version":[{"id":138102,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/42372\/revisions\/138102"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/42373"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=42372"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=42372"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=42372"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=42372"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}