Gericoz a écrit :



Et le cloud il les stock sur quoi les données??? Sur des disque dur déjà taxés pour la copie privée.

Tant qu’on serait à payer deux fois pourquoi pas trois tant qu’on y est?







" /> sans faire l’avocat du diable, pour le moment la RCP ne s’applique pas sur des disques dur en tant que tel, mais sur des équipements embarquant un disque dur " />

Et si certains ne comprennent pas la logique, voici l’explication:

-Les serveurs Amazon sont aux US;

-Toutes données hébergées aux US s’y voient appliquer le patriot act (hmmmm le patriot act);

-certains marchés en Europe devront être accordé si les données ne sortent pas d’Europe (ou plutôt ne vont pas aux US);

-En France y’a un boulgi boulga monstre entre SFR, Orange, Thales, Bouygues (on ne sait plus où termine le contre-sens économique et où commence le copinage);

-En France y’a un boulgi boulga monstre au niveau incertitude économique (hmmm la bonne taxe);

-Par le jeu de la reconnaissance mutuelle des cadres legislatifs européen, une donnée traité en France a les mêmes droits et mêmes valeurs qu’au Luxembourg;

-Au Luxembourg, il y a reconversion (ou plutôt) extension du secret bancaire au secret de la données (coffres fort numérique, archivage légal, protection de la confidentialité -personne ne connait et ne peux décrypter la donnée hors du propriétaire-, pas besoin d’avoir un statut particulier -ex PSF, Profesionnel Secteur Financier- car la données n’est pas connu de l’hébergeur)

-Même moyen technique et IT/NTIC, voir en progression (y compris les backbones).



Donc … voilà le pourquoi

fred42 a écrit :



Il y a un peu de mélange :

• Le Patriot Act est applicable pour toute société des États Unis et leurs filiales, il s’applique donc même sur les serveurs européens du cloud d’Amazon ou de Microsoft pour ne citer qu’eux. Microsoft l’avait d’ailleurs reconnu il y a quelques temps.
  
  
  
  
  
  
  
  " /> Ce n’est applicable QUE pour les données hébergées aux US, c’est pour ça que OVH s’est installé au Canada. S’ils s’étaient installés aux US, seuls les données hébergées aux US tombaient sous le PA et non les données hébergées dans les Datacenter Roubaisien et Strasbourgeois.
  
  
  
  
  


• Aucune société états-unienne ne peut garantir que les données qui leur sont confiées en Europe ne sortiront pas d’Europe.
  
  
  
  
  
  " /> C’est justement le principe de la loi protection des données Luxembourgeoises qui visent la certifications que les données hébergées au Luxembourg quelques soit la société (Eu ou US) restent au Luxembourg (ou tout le moins en Europe).
  
  
  
  
  


• Si les données sont protégées pas une clé assez forte, cela protégera aussi du Patriot Act. Mais cela s’applique à des solutions qui ne font qu’archivage, stockage. C’est plus compliqué à gérer si l’application est aussi dans le cloud : la clé devra être à un moment donné sur les serveurs de l’hébergeur pour déchiffrer.
  
  
  
  
  
  " /> car le patriot act précise la nécessité de pouvoir décrypter la données en cas de soupçons de terrorisme/trafic international/autres. Dans le cadre de la loi Luxembourgeoise, il est possible que la clé ne soit accessible qu’au détenteur de la données en refusant toute possibilité de key escrow. C’est une extension du secret de la protection des données bancaires à tout type de donnée.
  
  
  
  
  
  
  
  Et je pense que l’attrait du Luxembourg est aussi lié à la fiscalité " />
  
  
  
  
  
  :oui: mais cela je l’ai précisé en plus.
  
  
  
  " />

Je répond par un demi-exemple, mais même chose, je chercherais les sources plus tard, mais en l’occurence, certains marché de cloud pour les institutions européens requièrent une indépendance total vis-à-vis du PA. Or Amazon étant un acteur majeur du Cloud, il leur faut se conformer à cela s’il veulent décrocher des contrats UE. Et par conséquent, l’ouverture d’une spin-off avec par ex. EBRC pour le stockage physique au Lux, serait un bon compromis permettant de se conformer à l’UE et à se dédouaner du PA (car la spin-off serait de droit Luxo).

fred42 a écrit :



Ceci est intéressant, mais n’est pas le sujet.

En effet, dans ce texte, il s’agit de transfert de données personnelles pour traitement à l’extérieur de l’Espace économique européen (par exemple aux États-Unis).

Ce dont je parle est la communication aux autorités états-uniennes en application du Patriot Act de données stockées en Europe (et qui n’ont pas vocation à en sortir de part la nature du service).





J’avais lu cet article, mais il explique juste l’avantage apporté par le fait que OVH s’est implanté au Canada et pas aux États-unis, il n’a rien à voir avec le fait qu’une société états-unienne doivent communiquer des données stockées en Europe dans certains cas.







Dans ce cas là, prenons le problème dans l’autre sens. Amazon ne peut attaquer certains marché européen qu’en se conformant à la non communication de données à l’extérieur. Ils recrutent des ingé cloud sur Luxembourg donc ce ne peut être que pour EC2. Dans ce cas, il devront passer une certification de conformité soit devant la CNPD (s’il n’ont pas accès aux contenus de leur client), soit au niveau de la CSSF (s’ils ont accès aux contenus sous réserve de mesures techniques précises, key escrow, procédure d’escalation technique, etc.). Si l’auditeur déclare qu’il y a un risque de fuite de données, l’agréement ne sera pas autorisé et Amazon ne pourra aller sur une partie des marchés Européen. Maintenant, cette certification existe au Luxembourg sur la base d’éléments historique. Maintenant, si des données sont effectivement “fuitées” vers les USA une fois la mise en oeuvre de l’EC2 locale, ils s’exposent à d’importante sanctions (financières et pénales).



Maintenant si le sujet est, qu’Amazon peut éventuellement faire fuiter des informations, ceci est le risque de toute activités dans le cloud, US ou pas. Mais en l’Etat, le déploiement d’un EC2 ici apporte la garantie qu’en cas “d’indélicatesse d’Amazon”, le bâton légal est là. Or Amazon ne peut pas dire, je n’implantes pas certaines activités en Europe, car les règlements Européens (voir nationaux) imposent que certains service soit localisé en Europe pour accéder au marché pour une raison simple … que le prestataire de service ne soit pas “hors juridiction”.



Donc pour résumer:

-Le risque de fuite de données peut exister mais n’est pas inhérent à ce Cloud;

-L’arsenal législatif luxembourgeois reconnu par les états membres est l’un des plus complets et répressif en cas de manquement, permet le déploiement de solutions cloud pour des domaines stratégique européen (défense, aviation, finance, autre).



C’est en fait exactement le même problème que le disque de la HSBC qui est allé en France ou en Allemagne, ou que les comptes de la joint-venture UBS-Morgan Stanley s’est retrouvé à l’IRS.