Par définition, les données des applications SaaS/cloud peuvent se trouver n'importe où, sauf à l'intérieur de l'entreprise. Un atelier EuroCloud intitulé “Les données, noeud Gordien ? Spécificités des habitudes et des cadres juridiques entre pays”, animé par Maître Olivier Iteanu, a été l'occasion de faire un point sur les aspects légaux du sujet. David Morvan, de Risc Group, y a notamment exposé son approche pratique d'un projet en cours, consistant à monter une offre composite via l'offre Microsoft, dont les données sont hébergées en Irlande. Il en ressort que le prestataire va stipuler expressément la localisation des données et que le tribunal compétent sera fixé en France, régi par le droit français. La difficulté de ce type de contrats est la délimitation claire des responsabilités de chacun des intervenants. Ce qu'il faut retenir, c'est que le responsable juridique est le responsable des traitements. C'est donc la première question à se poser : dans le cas d'une offre composite, associant une application en mode SaaS à un hébergement (comme c'est le cas pour la plupart des éditeurs), le responsable des traitements est l'éditeur, non l'hébergeur. “Le cadre juridique de la circulation des données interpersonnelles au sein de l'UE et hors UE date de 1978”, explique Olivier Lesobre, spécialiste du droit de l'informatique. Celui-ci prévoit notamment qu'il est interdit d'exporter des données personnelles en dehors de l'UE, même si la CNIL fait souvent preuve d'une certaine permissivité et qu'il existe des exceptions, comme les États-Unis, qui ont pour cela mis sur pied le programme Safe Harbour.Adhèrent notamment à ce programme Microsoft, Facebook et Google.
SUIVRE TOUTE L'ACTUALITÉ
•Ready For IT
du 14/05/2024 au 16/05/2024
Grimaldi Forum – Monaco
•Cris Tour Strasbourg
du 23/05/2024 au 23/05/2024
Strasbourg
