GDS passe en revue la politique Cloud First post-Schrems II

Le Service numérique du gouvernement (GDS) procède à un examen de la politique et des orientations intergouvernementales en matière de cloud, y compris l’avenir de la politique Cloud First, à la lumière de l’arrêt Schrems II de juillet 2020 qui a annulé l’accord ue-US Privacy Shield.

L’examen a été confirmé par Lord Agnew en réponse aux questions écrites de son collègue Lord Clement-Jones, qui cherchait à établir quelle évaluation le gouvernement a fait de l’utilisation des fournisseurs de cloud basés aux États-Unis pour héberger les données du gouvernement britannique au Royaume-Uni, et ce qui, le cas échéant, prévoit qu’il doit réviser sa politique Cloud First.

« GDS procède actuellement à une évaluation des risques de tous ses services et produits (y compris Gov.uk) en ce qui concerne les flux transfrontaliers de données », a déclaré M. Agnew dans sa réponse. « Le nouvel arrêt de la CJUE sera examiné dans le cadre de cette évaluation.

« L’évaluation permettra d’identifier les flux de données pertinents et de s’assurer que des mesures d’atténuation appropriées sont mises en œuvre si nécessaire, à la suite des mises à jour et des directives du Bureau du Commissaire à l’information (BDI) et de l’Office européen de protection des données (EDPB). GDS s’est engagée avec d’autres ministères par l’entremise de groupes consultatifs de données et de réseaux de protection des données afin d’assurer une atténuation uniforme.

« n fin de compte, cependant, c’est une décision pour les organisations gouvernementales individuelles où et comment stocker leurs données, à condition qu’elles soient faites de manière sécurisée et offrent un bon rapport qualité-prix »

Un examen précédent de la politique Cloud First, vieille de sept ans, qui a été menée en 2019 en reconnaissance de l’appétit croissant pour les déploiements informatiques hybrides dans le secteur public, a conclu qu’elle était aussi pertinente aujourd’hui qu’elle l’était à sa création, et que sa reconnaissance de la marque au gouvernement était si forte que d’apporter des changements ne serait pas bénéfique.

L’examen conjoint mené par GDS et le Crown Commercial Service (CCS) a toutefois mis en place la création d’un nouveau groupe de travail pour examiner comment les utilisateurs peuvent mieux équilibrer les besoins techniques et commerciaux lorsqu’ils achètent des services cloud pour obtenir le meilleur rapport qualité-prix tout en minimisant le risque d’être enfermés avec un seul fournisseur.

Le jugement européen Schrems II a été rendu en juillet 2020. L’affaire remonte à une plainte contre Facebook, déposée en 2013 par l’activiste et écrivain autrichien Max Schrems, au sujet de la pratique consistant à transférer les données personnelles des citoyens de l’UE à Facebook Inc aux États-Unis, violant à la fois la protection des données de l’UE et le droit des droits de l’homme.

En annulant le bouclier de protection de la vie privée, les tribunaux européens ont conclu que l’accord ne permettait pas aux Européens d’avoir un droit à la vie privée adéquat en vertu des lois américaines sur la surveillance. Bien qu’elle ait remporté la vie privée et la liberté d’expression, cette décision provoque de l’incertitude et des perturbations pour les organisations qui transfèrent des données entre les États-Unis et l’UE. Même si le Royaume-Uni a quitté l’UE, la décision aura probablement un impact sur les transferts de données entre les deux à l’avenir.

Le Bureau du Conseil des ministres n’avait pas répondu à une demande de commentaires au moment de la publication.