The Trusted Cloud Principles est le nom de la nouvelle initiative Cloud de Confiance portée par des grands acteurs mondiaux du Cloud tels que Amazon, Google, Microsoft, IBM, SAP et Cisco. Objectif: Travailler conjointement avec les gouvernements du monde entier afin d'organiser le stockage et le traitement sécurisé des données de leurs clients et mieux répondre aux lois contradictoires. Si les principes semble clairs, ils semblent se poser en réponse à l'invalidation de l'Accord Schrems 2 et à la montée en puissances des offres de cloud souverain.
Cette nouvelle initiative en faveur du cloud de confiance dite "Trusted Cloud Principles" est posée comme un moyen de résoudre les conflits de lois internationaux en matière d'accès et de protection des données et pour établir des protections pour les organisations qui stockent et traitent des données dans le cloud. Les 5 principes sont énoncés comme suit.
Chercher les données directement chez les clients: Les gouvernements devraient rechercher des données directement auprès des entreprises clientes plutôt que des fournisseurs de services cloud, sauf dans des circonstances exceptionnelles. (Quid des données des entreprises clientes hébergées chez les fournisseurs de services Cloud?)
Droit de notification: Lorsque les gouvernements cherchent à accéder aux données des clients directement auprès des fournisseurs de services cloud, les clients de ces fournisseurs devraient avoir le droit de recevoir un préavis de l'accès du gouvernement à leurs données, qui ne peut être retardé que dans des circonstances exceptionnelles.
Droit à la protection des intérêts des clients: Les fournisseurs de services cloud devraient disposer d'une procédure claire pour contester les demandes d'accès des gouvernements aux données de leurs clients, y compris la notification aux autorités compétentes en matière de protection des données.
Harmonisation des lois en matière de protection des données. Les gouvernements devraient créer des mécanismes permettant de soulever et de résoudre les conflits entre eux, de sorte que la conformité légale des fournisseurs de services cloud dans un pays n'équivaudrait pas à une violation de la loi dans un autre pays. (L'Europe est très active en matière de règlementations GDPR, DSA, DMA, Free flow of Data... mais une harmonisation pourrait aussi passer par le CyberAct européen.)
Soutien au flux de données transfrontaliers: Les gouvernements devraient soutenir la circulation transfrontalière des données en tant que moteur de l'innovation, de l'efficacité et de la sécurité et éviter les exigences de résidence des données. (C'est déjà le cas avec le Free Flow of data de l'UE. Ce règlement européen en vigueur depuis le 28 mai 2019 prévoit également la portabilité des données entre CSPs et la réversibilité des données)
En savoir plus