La plateforme DocuSign reçoit, exécute et conserve des millions de transactions contractuelles que lui confient ses clients. En Europe, cette plateforme est hébergée et opérée sur 3 sites situés dans 3 pays de l’UE (France, Allemagne, Pays-Bas). Au cœur de ce dispositif, DocuSign France est le Prestataire de Service de Confiance qui garantit la valeur légale des signatures électroniques, sa propre infrastructure est hébergée et opérée en France.

Malgré le niveau de sécurité et de fiabilité sans équivalent de ces infrastructures, nos clients nous posent souvent la question de savoir si les données qu’ils nous confient et qui transitent donc par nos datacenters (documents à signer + informations personnelles des signataires) sont sécurisées – et comment.

Et que se passerait-il si le gouvernement américain demandait un jour à DocuSign de pouvoir accéder à ces données pour une quelconque raison ?

Si la question a peu de sens pour DocuSign France qui est une société française, assujettie au droit français, sur la protection des données personnelles, et bénéficiant des agréments de Prestataire de Service de Confiance Qualifié en France et en Europe, cette question se posait pour DocuSign,Inc qui est une société américaine.

Les données stockées dans les datacenters européens de DocuSign sont-elles vraiment protégées contre un accès du gouvernement américain ?

L’information suivante n’a pas eu beaucoup de visibilité dans les médias, mais le 24 janvier 2017 a été une date importante pour le monde du high-tech et du cloud. Ce jour-là, la cour d’appel de New York a donné raison à Microsoft dans une affaire contre le gouvernement américain à propos du droit des données d’un datacenter hébergé en dehors du territoire américain.

L’affaire a débuté en 2013 : un tribunal new-yorkais exigeait alors par mandat que l’éditeur fournisse les emails de l’un de ses utilisateurs. Microsoft a refusé, estimant que cette information étant stockée dans ses datacenters en Irlande, elles n’étaient pas assujetties à un mandat émis aux Etats-Unis.
En 2014, l’affaire est portée en appel. Puis, en juillet 2016, Microsoft remporte sa première victoire devant les tribunaux contre le gouvernement des Etats-Unis. Six mois plus tard, ce fameux 24 janvier 2017, la Cour d’appel de New York lui donne à nouveau raison.

Voilà une information qui devrait rassurer tous les clients européens de services cloud, quels qu’ils soient.

Assurez-vous simplement que vos fournisseurs hébergent bien leurs services sur le sol européen, sans réplication des données en dehors de l’UE… Attention également aux services hébergés par des prestataires qui ne distinguent pas vraiment la localisation de leurs données au sein de leurs différents datacenters répartis à travers le monde. Enfin, attention aux services hébergés dans des infrastructures à la construction insuffisamment sécurisée (assurez-vous que les datacenters respectent les certifications suivantes par exemple : ISO 27001, SSAE 16).

Il y a de quoi se réjouir : cette décision de la cour d’appel de New York, qui va maintenant servir de jurisprudence, a de quoi réconforter même les plus suspicieux.

Auteur : Lorenzo Stranges

(Visited 153 times, 1 visits today)

Tags