Dans un avis rendu par le Comité européen de la protection des données, adopté le 7 octobre, une plus grande transparence est demandée aux acteurs hébergeant les données d’entreprises. Une nouvelle exigence qui déplaît au BSA (Business Software Alliance) américain.
L’EDPB (Comité européen de la protection des données) serre la vis. Désormais, ce dernier exigera que les entreprises disposent en permanence de plusieurs informations concernant l’identité des fournisseurs de cloud, dès lors qu’elles décident de leur confier directement des données ou de passer par un fournisseur de services de traitement de données reposant sur un cloud provider. Un changement de paradigme qui déplaît au BSA, qui réunit des géants de la tech américaine comme Microsoft, Apple ou IBM.
Selon Thomas Boué, Directeur Général – Politique EMEA au sein du BSA, l’alliance se dit préoccupée, car imposer une telle exigence surchargerait les entreprises. « Cela les oblige à connaître toute la chaîne de sous-traitance et perturberait également les protections de la vie privée et la relation entre les responsables de traitement de données et les cloud providers, qui reposent actuellement sur des accords contractuels. »
Le BSA souhaite maintenir l’approche actuelle, dans laquelle la chaîne de sous-traitance reste régie par des accords contractuels entre les différents acteurs, estimant que cette nouvelle exigence n’apporte aucun bénéfice en matière de protection des données. L’objectif de l’EDPB est, au contraire, de parier sur le fait qu’une meilleure transparence des acteurs mènera à une protection accrue des données des entreprises.
Mais le BSA ne s’arrête pas là dans ses reproches à l’égard du Comité européen de la protection des données. Il estime en effet ne pas avoir pu exercer son pouvoir de lobbying, n’étant pas impliqué dans les discussions qui ont conduit à ce nouvel avis, adopté le 7 octobre dernier dans le cadre du RGPD (Règlement général sur la protection des données). Et alors que le BSA remet en cause l’idée de transparence prônée par l’EDPB, Thomas Boué conclut : « L’alliance continuera à plaider en faveur de politiques qui soutiennent l’innovation, la croissance et un marché concurrentiel tout en maintenant des normes solides en matière de sécurité des données et de transparence. »
Aux USA, le Data Privacy Framework salué
Du côté américain, la vision du BSA est bien différente. Ce dernier se félicite, par l’intermédiaire d’Aaron Cooper, Vice-président senior des politiques mondiales chez BSA, de l’avis rendu par la Commission européenne sur le Data Privacy Framework (DPF) américain. « Nous sommes ravis de constater que les États-Unis ont tenu leur engagement en créant une base solide pour le DPF », a déclaré Aaron Cooper. « La mise en place d’un mécanisme de recours indépendant ajoute une couche supplémentaire de responsabilité, donnant aux individus la confiance que leurs droits à la vie privée seront protégés. »
Cependant, la conclusion du rapport met également en lumière quelques domaines qui nécessitent une attention continue pour garantir la stabilité du DPF. Il appelle notamment le Département du Commerce des États-Unis, la FTC et le Comité européen de la protection des données à élaborer des directives unifiées sur les « exigences clés » du DPF, en particulier concernant les données relatives aux ressources humaines et les transferts ultérieurs.