Les données de millions de Canadiens sont stockées sur des serveurs américains de Microsoft, Google, Amazon ou Airtable - en même temps, le Patriot Act permet aux autorités américaines de siphonner toutes ces données. C'est pourquoi les experts en protection des données déconseillent depuis longtemps de stocker des données personnelles dans des clouds américains. La province canadienne du Québec veut également empêcher cela à partir de septembre 2023 en adoptant des lois plus strictes sur la protection des données.
Dans cet article, vous découvrirez en détail les nouvelles règles de protection des données, les conséquences qui en découlent pour vous et les solutions conformes à la protection des données.
Le Patriot Act en conflit avec les lois sur la protection des données dans le monde entier
Le Patriot Act est une loi fédérale en vigueur aux États-Unis depuis les attentats terroristes du 11 septembre 2001. Elle stipule que les autorités fédérales américaines, telles que la NSA ou la CIA, peuvent accéder à toutes les données se trouvant aux États-Unis sans autorisation personnelle ni mandat judiciaire. Il en va de même pour les filiales et les sites étrangers des entreprises américaines, qui sont tenus par le Patriot Act d'accorder l'accès à leurs serveurs, même si les lois locales l'interdisent.
Mais quelle est l'ampleur du problème ? En raison de la domination des géants américains de la technologie comme Microsoft, Google ou Amazon, de nombreuses données de particuliers et d'entreprises du monde entier se retrouvent inévitablement aux États-Unis. Par exemple, le service de collaboration en nuage américain Airtable, qui bénéficie de la confiance de clients du monde entier, utilise le leader du secteur Amazon Web Services (AWS), également basé aux États-Unis, pour stocker les données de ses clients. Par conséquent, les données de tous les clients d'AWS, y compris celles d'Airtable, sont hébergées dans des centres de données américains. Ceux-ci se trouvent dans le champ d'application du Patriot Act, qui permet aux autorités américaines d'accéder aux données sans aucun consentement et, en fin de compte, de les surveiller en masse et sans motif.
En raison du fait que les règles de protection des données du Patriot Act sont en contradiction flagrante avec les règles de protection des données d'autres États, un changement d'attitude vers une plus grande souveraineté des données commence à s'opérer dans de nombreux pays.
Les nuages américains sont depuis longtemps préoccupants du point de vue européen
Le fait que l'utilisation de fournisseurs de cloud américains soit liée à des risques en matière de protection des données est connu depuis longtemps dans l'UE en ce qui concerne le règlement général sur la protection des données (RGPD). La raison en est, outre le Patriot Act, le niveau de protection des données américain, qui est nettement inférieur à celui de l'Europe. Toutefois, au plus tard depuis la suppression du Privacy Shield, l'utilisation de fournisseurs de cloud américains n'est plus seulement controversée pour les entreprises de l'UE, elle est même liée à un risque juridique. Le Privacy Shield était un accord par lequel le gouvernement américain s'engageait, jusqu'en 2020, à respecter les dispositions du RGPD lors du traitement de données à caractère personnel provenant de l'UE. Le transfert de données à caractère personnel en provenance de l'UE étant interdit, certains experts estiment que les entreprises qui stockent ou font encore traiter de telles données sur des serveurs de fournisseurs américains enfreignent la législation européenne.
La loi 25 de la province canadienne de Québec
Le 22 septembre 2021, le gouvernement de la province canadienne du Québec a adopté la "Loi sur la modernisation des dispositions législatives relatives à la protection des données à caractère personnel" - en bref, la loi 25 - en s'inspirant du RGPD en Europe. Les règles de protection des données contenues dans la loi 25 entrent depuis lors progressivement en vigueur. Ce projet de loi vise à moderniser les lois canadiennes sur la protection des données, considérées comme obsolètes, tant pour le secteur privé que pour le secteur public, et à les adapter aux progrès technologiques.
Contenu et impact de la loi au regard du Patriot Act
La loi 25 vise à donner aux personnes une plus grande transparence sur le moment et la finalité de la collecte de données personnelles par les entreprises. Pour atteindre cet objectif, de nouvelles règles s'appliqueront à partir de septembre 2023 à l'utilisation des données personnelles par les entreprises et les institutions. Entre autres, celles-ci devront à l'avenir, à quelques exceptions près, toujours obtenir un consentement explicite avant de pouvoir utiliser les données d'une personne. Le consentement doit être donné séparément pour chaque objectif concret et doit être communiqué ouvertement aux personnes concernées. Ces nouvelles règles de protection des données entrent en conflit avec le Patriot Act, qui autorise en principe les autorités américaines à accéder sans consentement aux données à caractère personnel stockées sur les serveurs d'entreprises américaines à l'intérieur et à l'extérieur des États-Unis.
Tous les contenus de la loi 25 à lire ici
La loi 25 vous concerne-t-elle, vous ou votre entreprise ?
Même si votre entreprise n'est pas située au Québec, vous pourriez être concerné par la loi 25. En effet, les règles liées à la loi s'appliquent non seulement aux entreprises québécoises, mais aussi - indépendamment de leur emplacement - à toute entreprise qui traite des données de résidents québécois. En outre, la loi 25 est considérée au Canada comme un cadre juridique novateur qui a donné l'impulsion à d'autres réformes législatives similaires. Par exemple, le Canada révisera également rapidement ses lois fédérales sur la protection des données avec le projet de loi C-27, actuellement en cours de discussion au Parlement, qui remplacera la loi fédérale PIPEDA actuellement en vigueur dans tout le Canada (à l'exception des provinces du Québec, de la Colombie-Britannique et de l'Alberta).
Les entreprises canadiennes risquent de lourdes sanctions
En cas de non-respect des nouvelles règles de protection des données, les entreprises canadiennes s'exposent à de lourdes sanctions à partir de septembre 2023. Par rapport à ses prédécesseurs, la loi 25 dispose d'un système d'application robuste qui crée à la fois un modèle d'amende à deux niveaux et un droit d'action devant les tribunaux civils. Pour vous conformer aux nouvelles exigences de la loi 25 en matière de protection des données et éviter les pénalités et les amendes, vous devez adapter vos procédures de gestion des données clients et réviser les politiques de confidentialité de votre entreprise.
Les conséquences sont particulièrement radicales pour les entreprises canadiennes qui stockent et traitent des données dans des clouds américains comme Airtable, Google Workspace ou Microsoft 365. Conformément aux lois en vigueur à partir de septembre, il ne sera plus permis d'héberger des données personnelles de citoyens canadiens dans des centres de données américains. Par conséquent, toutes les entreprises et organisations canadiennes qui le font sont obligées de passer à des alternatives d'ici l'entrée en vigueur des nouvelles règles en septembre 2023.
Patriot Act vs. protection des données - comment devenir indépendant des fournisseurs américains
Au départ, il ne semble pas si facile d'héberger des données personnelles indépendamment des fournisseurs américains, c'est-à-dire en dehors du champ d'application du Patriot Act. En fait, il existe quelques alternatives aux clouds américains dominants. Si vous utilisez actuellement Airtable, Google Sheets ou Microsoft Excel pour stocker des données à caractère personnel, SeaTable pourrait par exemple être la solution qui vous convient. Cette solution de base de données et de collaboration puissante et bon marché est une alternative 100 % conforme à la protection des données. En tant qu'entreprise européenne attachant une grande importance à la sécurité des données, SeaTable a très tôt tourné le dos au leader américain du secteur, AWS. À la place, la version cloud de SeaTable est hébergée dans des centres de données allemands du fournisseur suisse Exoscale, ce qui soumet les données à des exigences européennes strictes en matière de protection des données.
En outre, SeaTable propose une variante auto-hébergée qui vous permet d'installer et d'exploiter le logiciel en tant que solution sur site sur vos propres serveurs. Vous disposez ainsi d'une souveraineté absolue et d'un contrôle maximal sur l'emplacement de vos données. Quelle que soit l'option que vous choisissez, SeaTable est conforme aux lois canadiennes sur la protection des données.
Vous souhaitez saisir des données de manière structurée, effectuer des tâches de manière efficace et développer des processus performants - sans avoir à vous soucier de la sécurité de vos données ? Alors, laissez-vous convaincre et inscrivez-vous ici pour un abonnement gratuit à SeaTable, qui vous permettra de bénéficier de nombreuses fonctions utiles. L'abonnement est entièrement gratuit et constitue une occasion idéale pour tester SeaTable sans engagement.
Pas encore convaincu ? Pour plus d'informations sur SeaTable, consultez le site web.
Conseil pour les utilisateurs d'Airtable
Vous trouverez ici une comparaison détaillée d'Airtable et de SeaTable. En tant qu'utilisateur d'Airtable, vous avez en outre la possibilité de migrer facilement toutes les données de vos bases vers SeaTable à l'aide d'un script, sans connaissances en programmation. Cet article d'aide explique comment cela fonctionne.