L’Autorité néerlandaise de protection des données (AP) critique l’intention de stocker des données gouvernementales dans le cloud d’entreprises telles que Google, Microsoft et Amazon. Les données, par exemple des bases de données contenant des données de citoyens néerlandais, sont stockées sur des serveurs en dehors des Pays-Bas.
Selon l’AP, l’utilisation de services cloud commerciaux pose des risques majeurs pour la confidentialité. Avant que le gouvernement ne commence à utiliser l’environnement cloud des entreprises, la politique gouvernementale doit être élaborée plus avant. C’est ce que l’AP a conseillé à la secrétaire d’État Alexandra van Huffelen (Numérisation).
Fin août, le secrétaire d’État a présenté une nouvelle politique cloud. Avec cela, elle veut s’assurer que les agences gouvernementales sont autorisées à utiliser des services cloud commerciaux. Pour le moment, le gouvernement n’est pas encore autorisé à stocker des informations sur les Néerlandais sur des serveurs, par exemple, d’entreprises américaines.
« Le gouvernement dispose d’une énorme quantité de données sur nous tous », a déclaré le président de l’AP, Aleid Wolfsen. « Combien vous gagnez, votre numéro de sécurité sociale, votre numéro de compte bancaire et bien plus encore. Ces informations ne doivent pas tomber entre de mauvaises mains. »
« Si vous ne les stockez pas sur vos propres serveurs, mais sur ceux d’une entreprise, vous devez être sûr qu’ils sont en sécurité. Cela dépend donc beaucoup de la bonne mise en œuvre et du respect de cette politique cloud. Cela m’inquiète « , a déclaré M. les loups.
Le Cabinet a une compréhension insuffisante des risques pour la vie privée
Selon l’AP, les risques pour la vie privée n’ont pas été suffisamment cartographiés dans la politique cloud. Selon le superviseur, la confidentialité devrait être le principe directeur dans la question de savoir si vous pouvez stocker des informations sur les citoyens avec une entreprise. « S’il n’y a pas suffisamment d’enquêtes sur les risques, aucune mesure ne peut être prise pour éliminer ces risques », déclare l’organisme de surveillance de la vie privée.
L’AP demande au secrétaire d’État d’accorder une attention particulière aux risques de stockage de données personnelles dans des pays hors Europe. Le règlement général sur la protection des données (RGPD) ne s’y applique pas. Par conséquent, la protection des données personnelles n’y est souvent pas du même niveau qu’au sein de l’UE.
Les règles européennes ne s’appliquent pas aux services cloud américains
Selon l’AP, les services de renseignement américains peuvent, par exemple, demander des données personnelles de Néerlandais à des entreprises américaines. Même si les serveurs de ces sociétés sont situés en Europe. « En conséquence, ces services peuvent vous associer à tort au terrorisme ou à la fraude, par exemple, vous empêchant d’entrer aux États-Unis et dans d’autres pays », explique Wolfsen.
L’AP rappelle au secrétaire d’État que le stockage dans une entreprise européenne est le meilleur choix en termes de confidentialité. Parce que la grande majorité des fournisseurs de cloud couramment utilisés sont actuellement américains, le secrétaire d’État devrait également encourager les alternatives européennes, a déclaré le régulateur.
Enfin, selon l’AP, la politique est désormais trop évasive. Par exemple, les organes administratifs indépendants, tels que l’UWV ou la Banque d’assurance sociale, ne sont pas obligés de suivre la politique.