AWS et Privacy Shield : il est vraiment libre Max?
C’est peu de dire que les avocats qui pratiquent les données perso et l’IT se font méchamment challenger depuis que ce cher Max (Schrems…) s’est attaqué à l’accord dit « Privacy Shield ». En effet, nombreuses sont les entreprises à héberger leur solution en mode SAAS chez Amazon Web Service (AWS). Or, essayez d’inciter un développeur à s’orienter vers des solutions plus franco-françaises pour héberger son code et vous verrez vite qu’il est capable de mordre. J’ai failli y laisser plusieurs fois un jarret et je n’ai eu la vie sauve qu’en faisant diversion en jetant un vieux jeu de DOOM à 2m de moi pour les éloigner…
On peut ou pas utiliser AWS ?
Alors quoi ? On peut ou pas utiliser AWS sans que des pseudo-agents de mise en conformité acariâtres ne fassent la misère à de pauvres commerciaux pour qui le RGPD ne correspond au mieux qu'à 4 lettres à ne surtout pas piocher dans une partie de Scrabble et au pire à l’acronyme d’une recette de Top Chef à réaliser en 30mn les yeux bandés (Ragoût de Girolles au Pélardon Dijonnais) ? Je pense pouvoir répondre par l’affirmative… sous conditions.
On ne peut pas nier qu’AWS fait un effort pédagogique important sur son site web pour expliquer les conséquences de la décision de justice européenne sur les entreprises américaines allant jusqu'à faciliter l'accès à son Data Processing Addendum.
On peut donc résumer ainsi la chose sans trop de risques de se tromper :
- Le Privacy Shield constituait un accord conclu entre l’UE et les États-Unis permettant aux entreprises américaines signataires de bénéficier indirectement de l’équivalent d’une décision d’adéquation (décision par laquelle la Commission Européenne indique que la protection des données perso est aussi bonne que chez nous).
- A peine une dizaine de pays dans le monde bénéficient d’une telle décision… Les haters de tous poils adeptes de l’anti-américanisme primaire que tout débile léger qui se respecte n’hésite pas à afficher via des tweets dont la pertinence juridique est inversement proportionnelle au nombre de fautes d’orthographes émaillant leur logorrhée épistolaire, l’oublient un peu trop vite…
- L’absence du bénéfice d’une décision d’adéquation se solutionne par l'utilisation d’autres outils juridiques (article 46 du RGPD notamment) tel que les clauses contractuelles type (CCT) proposées par la Commission Européenne herself…
Bilan?
Bilan ? L’UE vient d’actualiser ces CCT et de rendre une décision (cliquez sur "download" quand vous êtes sur la page) dans laquelle elle indique que les entreprises usant des anciennes CCT ont un an pour se mettre à jour (je résume, rangez les couteaux les haters…).
Bilan du bilan ? Je m’y risque, oui AWS peut être utilisé par les développeurs pour héberger leur code (même ceux qui mordent).
Une question supplémentaire peut-être : quand commencera-t-on à s’interroger sur l’incapacité des entreprises européennes à produire un service aussi qualitatif et agile qu’AWS ?
« Il est libre Max » dit la chanson ? En fait, peut-être pas tant que ça quand il s’agit de choisir des serveurs répondant à des exigences techniques strictes imposées par le e-business…
