Alors que l’affaire PRISM fait la une de tous les médias, on ne parle pas assez des conséquences des dispositifs antiterroristes américains sur la confidentialité des données des entreprises, notamment françaises.
Lorsque j’ai commencé ma carrière chez Dow Jones au début des années 80, les données financières étaient échangées de serveur privé à serveur privé par l’intermédiaire de lignes spéciales dédiées que les P&T de l’époque « construisaient » à la commande, les fameuses « LS « , ou Liaisons Spécialisées.
Aujourd’hui toutes les données y compris les informations professionnelles à caractère confidentiel circulent sur un seul et même réseau auquel tout le monde a accès.
Les terminaux fixes et mobiles n’ont plus vocation à stocker localement ni les applications ni les données qui sont localisées sur des serveurs distants mutualisés.
Où sont mes données et sont-elles en sécurité ?
Dans cette course à la performance technique et économique il devient particulièrement difficile de savoir avec certitude où se trouvent vos données, sur un serveur physique ou virtualisé ? Dédié ou mutualisé ? Dans un « cloud » public ou privé ? En France ou ailleurs ?
Et pourtant ces données que les professionnels échangent instantanément avec le reste du monde sont souvent stratégiques. Elles doivent sortir de l’entreprise. Elles sont exposées.
Leur sécurité et leur confidentialité sont des enjeux économiques mais aussi légaux et réglementaires majeurs pour l’entreprise.
Les entreprises et leurs prestataires informatiques spécialisés mettent en place aujourd’hui des outils efficaces de protection contre les risques « classiques » de détournement criminel et d’utilisation frauduleuse de leurs données.
Alors qu’elles peuvent à présent pleinement profiter des promesses de mobilité, de rapidité et d’efficacité de l’internet et des nouvelles technologies, les entreprises doivent aujourd’hui faire face à un nouveau type de risque : celui des états.
P.A.T.R.I.O.T. A.C.T.: nouvelle donne de la sécurité des données
Peu d’entre elles sont suffisamment sensibilisées aux conséquences du PATRIOT ACT sur le choix de leurs prestataires de stockage et d’échanges de données.
Celles qui le sont n’ont pas forcément compris l’ampleur du sujet.
Entré en vigueur à la suite du drame du 11 septembre et régulièrement reconduit par les autorités américaines depuis, Le PATRIOT ACT donne au FBI le droit d’accéder aux serveurs des prestataires sans aucun préavis ni avertissement pour consulter les données de leurs clients sans même que ces derniers n’en soient informés.
Les prestataires concernés sont avant tout américains mais peuvent aussi être étrangers si ceux-ci réalisent une part substantielle de leur activité sur le territoire américain. Lorsqu’il s’agit de groupes, toutes les entités du groupe y compris les filiales sont concernées, même si celles-ci sont installées en Europe, et notamment en France ou au Royaume Uni.
Les serveurs des prestataires concernés sont non seulement ceux qui sont localisés sur le territoire américain mais aussi tous ceux installés partout ailleurs dans le monde par application de la doctrine de juridiction extraterritoriale couvrant les entreprises au-delà du simple territoire américain.
La localisation géographique des serveurs du prestataire sur lesquels vos données sont stockées ne peut donc pas être un critère suffisant de choix en matière de sécurité.
Un prestataire américain se proposant d’héberger vos données sur un serveur de l’une de ses filiales localisée en Écosse par exemple est soumis au PATRIOT ACT. Vos données sur ce serveur ne sont donc pas totalement sécurisées.
Les informations des entreprises françaises sont exposées
Nous croisons régulièrement certaines grandes sociétés françaises, y compris du CAC40, qui font aujourd’hui des choix mal informés et inutilement risqués pour leurs opérations.
La sécurité et la confidentialité sont au cœur de la promesse de valeur de nos services de data room électronique et de services dédiés pour les Conseils d’Administration.
Il est donc naturel que nous soyons particulièrement sensibles à tous les éléments d’environnement technique, légal et réglementaire qui pourraient les menacer.
Nous sommes bien placés pour savoir que les grandes banques d’affaires font largement appel à des prestataires américains de data room pour stocker les données confidentielles de leurs clients français dans le cadre d’opérations de fusions acquisitions et de financement.
Mais leurs clients savent-ils que leurs données confidentielles, leur business plan, leur R&D, leurs performances et leur information stratégique, sont stockées sur des serveurs soumis au PATRIOT ACT ?
L’exemple du PATRIOT ACT montre bien la difficulté des entreprises à appréhender le risque des états en terme de sécurité et de confidentialité.
Le devoir de protéger la confidentialité des informations des stakeholders
À l’heure des services SaaS, des data centers « sécurisés » et du zéro-papier, les entreprises doivent faire preuve d’une vigilance accrue pour profiter des vraies promesses des nouvelles technologies en se protégeant aussi des nouveaux risques, notamment celui des états.
Les entreprises ont le droit de savoir où sont stockées leurs données et dans quelles conditions de sécurité. Elles ont le devoir de protéger les intérêts de leurs « stakeholders », actionnaires et collaborateurs, clients et fournisseurs, en garantissant la confidentialité des informations qu’elles échangent avec eux.