Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Invalidation de SafeHarbor : NetApp propose des stratégies alternatives pour le transfert de data

janvier 2016 par NetApp

Avec l’invalidation de l’accord SafeHarbor par l’UE et
en attendant un éventuel SafeHarbor 2, nombre de sociétés prennent aujourd’hui des
mesures dans la précipitation afin d’assurer leur conformité aux législations
locales en matière de transfert de données. NetApp a adopté uneapproche différente.

Les sociétés qui transfèrent des données depuis ses 28 États membres (ainsi que
l’Islande, le Liechtenstein, la Norvège et la Suisse) vers les États-Unis doivent
trouver de nouveaux moyens pour que leurs données soient traitées conformément aux
dispositions européennes en matière de protection des données. Désormais, cesont la
législation européenne relative à la protection des données et les réglementations
en vigueur dans chaque pays qui priment.

« Comme aucune période de transition spécifique n’est prévue, les entreprises n’ont
plus de temps à perdre : elles doivent configurer leur infrastructure IT de façon à
exécuter des stratégies de conformité distinctes en matière de confidentialité, mais
aussi à anticiper les futures évolutions législatives, » souligne Marc Montiel,
Directeur Général de NetApp France et Vice-Président NetApp région Europe du Sud

Plutôt que de dépendre du SafeHarbor, NetApp qui est basée aux Etats-Unis a choisi
de procéder à la collecte, au traitement et au transfert des données depuis l’UE
vers les États-Unis en s’appuyant sur les réglementations en vigueur dans chaque
pays. La sociétéestautorisée à transférer les données personnelles selon les Règles
d’entreprise contraignantes (BCR), qui représentent le niveau de conformité le plus
strict appliqué au sein de l’UE. Seules 30 entreprises américaines satisfont
aujourd’hui à ces exigences.

Enfin, NetApp recourt également à des clauses contractuelles type, des accords de
confidentialité des données et des consentements, ainsi qu’à des mécanismes de
collecte, de traitement et de transfert des données parfaitement réglementaires.

Pour rappel, les nouvelles réglementations disent que :

1. Les entreprises doivent veiller à conserver la maîtrise totale de leurs données,
malgré l’utilisation du cloud. Dans le cas d’un environnement en cloud hybride,
seule cette maîtrise permet à l’entreprise de démontrer que les données sont
traitées en dehors d’un pays donné. En parallèle, il est essentiel que les
entreprises sachent en permanence où et comment les fournisseurs cloud et leurs
éventuels sous-traitants exploitent leurs centres de données dans le cloud. Ils
doivent également disposer d’une vision claire des juridictions par lesquelles
transitent les données et connaître le lieu oùellessontsauvegardées.

2. Bien souvent, les données existent en de multiples exemplaires : les données
utilisateur, primaires ou générées par les applications peuvent être archivées,
sauvegardées ou répliquées pour assurer la reprise après sinistre. La localisation
du centre de données ne saurait résoudre à elle seule la complexité inhérente à la
mise en conformité avec les règles de confidentialité des données.

3. Enfin, les entreprises doivent s’assurer qu’après avoir adopté les services dans
le cloud, elles conservent un contrôle complet sur leurs données et processus.
Cetterègles’applique non seulement aux données personnelles mais également aux
informations-métier sensibles, telles que les données de propriété intellectuelle,
de recherche et les informations clients. Sans compter que certains fournisseurs de
solutions cloud ont recours à des tiers pour gérer leurs centres de données. Faute
d’une parfaite transparence envers l’utilisateur final, cette situation expose
l’entreprise à un risque accru d’uneperte de contrôle.


Voir les articles précédents

    

Voir les articles suivants