Nous sommes dans une zone d'incertitude extrêmement préjudiciable à nos activités. Typiquement, un DSI comme moi devant héberger des données personnelles et voulant faire appel à une solution américaine aurait, depuis l'invalidation du Privacy Shield, de démontrer que la protection des données par l'entreprise extra-européenne choisie est au moins du même niveau que celle imposée sur le territoire européen par le RGPD. Toutefois, la relation contractuelle que peut avoir un adhérent du Cigref avec un hyperscaleur comme Amazon Web Services, Microsoft ou Google est une relation du faible au fort. Il est évident que, même avec le maximum de « blindage juridique », il est extrêmement difficile de démontrer que Google exercera sa propre activité, dans ses propres data centers, sur un territoire extra-européen, dans des conditions me permettant, à moi DSI d'une entreprise française, de garantir que le niveau de protection des données est équivalent à celui du RGPD.
Cette invalidation transfère aux responsables des entreprises françaises une responsabilité qu'ils ne sont pas capables d'assumer et pour laquelle ils ne disposent pas des outils juridiques qui leur permettraient d'être sereins.
Les entreprises qui avaient déjà hébergé des données à caractère personnel dans des clouds américains se trouvent dans une espèce de vide juridique avec des risques pour elles. De notre point de vue, cette situation mérite une clarification et plonge dans l'insécurité les entreprises potentiellement utilisatrices de solutions dans des clouds extra-européens.