Le RGPD a été l’une des législations les plus impactantes de l’histoire récente en matière de protection de la vie privée. Cette législation a en effet été à l’origine d’un changement majeur dans la façon dont les données personnelles sont collectées, gérées et sécurisées. Elle a même ouvert une nouvelle ère dans les pratiques de confidentialité des données, faisant table rase des habitudes d’autrefois en la matière. Trois ans plus tard, la plupart des entreprises ont adapté ces pratiques pour être en conformité. Cependant, la décision juridique historique connue sous le nom de Schrems II a démontré l’absolue nécessité d’aller plus loin encore en vue de protéger les données personnelles.

L’histoire de l’arrêt Schrems II peut se résumer en quelques mots : en juillet de l’année dernière, la Commission européenne a invalidé le « Privacy Shield » et a décidé que les données privées des citoyens européens devaient rester à l’intérieur des frontières de l’Union européenne et ne plus traverser l’Atlantique pour être stockées aux États-Unis.

Arrêt Schrems II : quelles conséquences ?

L’arrêt a eu un impact considérable sur l’ensemble des entreprises internationales implantées au sein du marché européen et traitant notamment avec les commerçants en ligne et les entreprises de traitement des données. Mais il a également impacté lourdement le secteur des logiciels. En effet, les applications qui contiennent et stockent des données et des informations d’utilisateurs ou de clients européens doivent eux aussi se conformer à l’arrêt.

Cela signifie que les données personnelles des citoyens européens exploitées par les applications doivent être stockées en toute sécurité dans des serveurs situés physiquement dans l’UE ou dans un autre pays ayant obtenu le « statut de confiance » lui conférant un niveau adéquat de protection des données. La question de la résidence des données, qui comme le mot l’indique désigne le lieu de résidence des données, demeure essentielle pour de nombreuses organisations, en particulier celles qui détiennent des données très sensibles, telles que les services financiers.

Si, par le passé, la conservation de données dans des serveurs américains était monnaie courante, on constate de plus en plus que les entreprises souhaitent désormais pouvoir garder leurs données au sein des frontières de l’UE. L’arrêt Schrems II en fait désormais une obligation légale et conduit de nombreuses organisations à revoir leurs stratégies, à réaliser des investissements stratégiques et à rechercher des partenaires et des fournisseurs qui peuvent les aider à atteindre cet objectif.

Tout un contexte qui renforce de rôle de la sécurité applicative, en particulier lorsqu’une application est partagée en dehors de l’UE pour être testée et analysée. La sécurisation des applications à grande échelle est coûteuse et difficile si l’on tient compte des pressions supplémentaires liées à la conformité avec la réglementation européenne sur la résidence des données.

Obtenir la résidence des données au sein de l’UE

Il existe actuellement différentes options pour gérer la conformité dans ce nouveau contexte. De nouvelles options pourraient cependant voir le jour à mesure que de nouvelles législations sont décidées, ou si le Privacy Shield est remplacé.

En l’état actuel des choses, le parti pris le plus sûr est de s’assurer que tous les aspects des applications contenant des données privées de citoyens européens sont hébergés dans des centres de données physiquement situés au sein l’UE, d’autant que les produits sur site sont coûteux à faire évoluer en vue de répondre à la demande grandissante en tests. L’utilisation d’outils AppSec natifs du cloud fournis par un modèle SaaS avec une option de résidence dans l’UE est ainsi une solution infaillible. Les entreprises doivent s’assurer que toutes les données des applications, y compris toutes les instances des logiciels, ainsi que les copies utilisées pour l’analyse et les tests par des tiers, sont stockées au sein de l’UE dans un établissement reconnu en matière de conformité des données.

Le meilleur reste à venir

Il est essentiel d’adopter dès le départ une bonne approche de la conformité des données, mais cela ne s’opérer au détriment de la vitesse de développement. Il s’agit d’une occasion unique pour les entreprises de revoir leur stratégie actuelle et de l’utiliser comme un facteur de différenciation avec des clients clés dans des secteurs particulièrement sensibles à l’emplacement physique de leurs données.

Compte tenu de l’importance des enjeux et du potentiel de nouvelles opportunités commerciales résultant d’investissements supplémentaires sur le marché européen, il est important de répondre aux exigences réglementaires et organisationnelles en matière de résidence des données. L’introduction d’une offre SaaS unique peut ajouter un niveau supplémentaire d’assurance que l’hébergement des applications n’exposera pas une entreprise à des problèmes de conformité en aval. Non seulement, cela permettra de se protéger contre d’éventuelles amendes réglementaires, mais cela permettra surtout de maintenir la confiance des clients envers les applications pour protéger leurs données conformément à la loi.
___________________

Par Olivier Melis – Directeur des ventes chez Veracode France