Le Cloud Act pose un vrai problème juridique aux entreprises européennes. Elles y portent malheureusement trop peu d’attention. Dans cet article nous présentons la solution que nous avons développée pour que les sondages que nous réalisons soient à la fois respectueux du RGPD et protégés des dérives du Cloud Act américain.
Si vous n’avez que 30 secondes
- Le Cloud Act représente un danger potentiel pour toutes les entreprises européennes qui stockent leurs données chez AWS, Google ou Microsoft
- Une attention particulière est nécessaire de la part des instituts d’études de marché qui sont susceptibles de collecter des données à caractère personnel au nom de leurs clients (étude de satisfaction, étude de marché en B2C ou en B2B…)
- Des solutions existent qui se basent sur des logiciels de sondage installés sur des serveurs propriétaires en Europe
- Pour minimiser les risques, il faut choisir un hébergeur de données qui soit une société de droit européen
Cloud Act : un texte qui percute frontalement le RGPD
Le Cloud Act et le RGPD sont deux textes de loi qui ne font pas bon ménage.
Des pays comme la France ont imaginé une parade au travers de la norme SecNumCloud et du développement d’un cloud de confiance européen. Une étude commandée par le gouvernement néerlandais au cabinet d’avocats Green Traurig nuance toutefois la possibilité de créer un vrai cloud souverain exempt de toute interférence avec le Cloud Act.
Sondages et Cloud Act : où est le problème ?
Deux problèmes relatifs au Cloud Act se posent aux instituts d’études de marché quand on parle de sondages. Nous distinguons les sondages réalisés à partir de panels de ceux réalisés via une base de données client spécifique. Dans les 2 cas, le risque pour les commanditaires des études est réel. Il se double d’un risque réputationnel (et juridique) pour le cabinet qui a réalisé le sondage.
Sondages via panels
Les sondages par panels propriétaires (surtout appliqués dans le cadre d’études de marché en B2C) ne représentent pas un problème majeur au regard du Cloud Act. Les données des répondants restent en effet la propriété du panel et ne sont pas communiquées au commanditaire. Le risque reste donc circonscrit à l’institut d’études de marché.
Il en va autrement des enquêtes réalisées sur les clients finaux de votre commanditaire.
Sondages via une base de données client
Les enquêtes réalisées en utilisant une base de données client sont sans doute celles qui posent le plus de risques. La base de données client a en effet une valeur business élevée. Il faut à tout prix éviter qu’elle puisse se retrouver dans des mains étrangères par le truchement du Cloud Act.
Les instituts d’études de marché sont confrontés à ce risque dès qu’ils réalisent une enquête quantitative sur les clients de leur commanditaire :
- étude de satisfaction
- enquête sur un futur produit ou service
- évaluation de l’expérience client
A chaque fois des données doivent être enregistrées qui vont forcément contenir des données personnelles. Les enregistrer sur les serveurs d’une société américaine (AWS, Google, Microsoft), c’est s’exposer au danger que ces données appartenant à votre commanditaire puissent être saisies par les autorités américaines en vertu du Cloud Act.
Notre solution pour éviter les problèmes avec le Cloud Act
Notre solution pour éviter les problèmes avec le Cloud Act
En matière de Cloud Act et de RGPD il n’y a pas de solution parfaite. La matière juridique est assez « mouvante » et des interprétations différentes peuvent être émises ici et là.
Il y a une règle impérative à respecter : ne stockez pas les données de vos clients sur des serveurs AWS, Google ou Microsoft.
Cloud Act : évitez AWS, Google et Microsoft
Il y a néanmoins une règle impérative à respecter : ne stockez pas les données de vos clients sur des serveurs AWS, Google ou Microsoft. Si vous voulez éviter les ennuis avec le Cloud Act, choisissez un hébergeur européen.
Stocker les données à l’endroit que vous choisissez requiert que vous preniez la main sur la solution logicielle qui collecte les données. En matière de sondage c’est assez compliqué car quasiment toutes les solutions sont dans le Cloud et donc hébergées chez AWS, Google ou Microsoft.
Choisissez un hébergeur local
Le premier pas à faire pour réduire 99% des risques posés par le Cloud Act c’est de mettre vos données chez un hébergeur national. Nous ne parlons pas ici d’un serveur sur le territoire national, mais bien d’une société de droit européen avec ses serveurs dans votre pays.
Eu égard à l’avis juridique rendu par Green Traurig pour le gouvernement néerlandais, il faudrait, dans un monde parfait, choisir une société nationale sans aucun lien avec les Etats-Unis. Cela signifie que cet hébergeur ne doit pas avoir de filiale aux Etats-Unis et ne doit pas y faire d’affaire. Soyons honnêtes, c’est quasiment impossible. Mais si vous voulez réduire les risques à 100%, il vous faudra en passer par là. Ajoutons pour finir que ces contraintes légales s’ajoutent aux contraintes techniques. Il faut en effet trouer un hébergeur qui soit suffisamment fiable.
Toutes les réponses au sondage sont enregistrées sur un serveur en dehors de l’écosystème des Gafam et sans lien avec les Etats-Unis.
Solution de sondage installée sur vos propres serveurs
Voici la solution que nous avons mise en place pour que nos sondages en ligne soient respectueux du RGPD tout en évitant les risques du Cloud Act. Nous avons d’abord installé un logiciel de sondage sur nos propres serveurs en France. Ils sont hébergés par une société française certifiée SecNumCloud. Toutes les réponses au sondage sont donc enregistrées sur un serveur en dehors de l’écosystème des Gafam et sans lien avec les Etats-Unis. Voilà pour la partie Cloud Act.
Pour respecter la RGPD, nous avions déjà décrit notre recette ici. Elle fonctionne toujours et elle est très simple. Dès que votre sondage s’appuie sur la base de données de votre commanditaire, c’est lui qui envoie les invitations à répondre au sondage. De cette manière la base de données client ne vous est jamais transmise. Il n’y a donc pas de transfert de données sans consentement à des tiers. L’invitation à répondre doit identifier la société qui réalise le sondage et faire comprendre au répondant qu’en y participant il donne son consentement au traitement de ses données.
Publié dans Stratégie.