La protection des données personnelles hors d’Europe

Un accord de principe a été conclu entre la Commission européenne et le gouvernement américain sur le transfert des données personnelles. Le vendredi 25 mars dernier, Ursula von der Leyen (présidente de la Commission européenne) et Joe Biden (président américain) ont conjointement annoncé cette entente outre-Atlantique, à Bruxelles. Si la déclaration est une surprise pour l’ensemble des acteurs du Cloud, elle pose des questions ? Pour certains, cet accord entre Washington et Bruxelles cacherait d’autres enjeux bien plus importants.

Joe Biden and Ursula von der Leyen - La protection des données personnelles hors d'Europe
License : Wikimedia

Données personnelles contre gaz ?

Pour le moment rien n’est clair. Si l’annonce a été faite, aucun texte n’a été présenté pour le moment. Washington et Bruxelles souhaitent lever les contraintes juridiques pour les entreprises concernées. Il s’agit donc de trouver un équilibre entre la protection des données, le droit à la vie privée et la sécurité. L’enjeu de cet accord est tout aussi commercial que juridique.

octave Klaba gaz donness - La protection des données personnelles hors d'Europe

Suite à cette annonce, plusieurs acteurs du Cloud, dont Octave Klaba (fondateur d’OVHCloud), se sont émus de cette décision pour le moins surprenante. Est-ce qu’il y aurait des enjeux géopolitiques plus importants ?

La France surprise par cette annonce

Effectivement, c’est l’étonnement. La France préside pourtant le Conseil de l’Union européenne et travaille activement sur des dossiers numériques telle que la DMA (Digital Markets Act : régulation des géants de la technologie)… et cependant c’est la surprise.

Constat actuel

Le Web d’aujourd’hui est principalement dirigé par de grands groupes américains.  On peut rapidement citer Microsoft, Twitter, Netflix, Amazon, Google, Facebook… la liste des géants du Net de nationalité américaine est longue et va bien au-delà des GAFAM.

Les données personnelles et non personnelles, sur le Web, sont considérées comme une mine d’or. Eh oui, toutes les informations que vous laissez sur vous, vos habitudes, quels sites vous visitez… toutes ces données permettent de vous cibler avec des publicités, de connaître votre comportement et ainsi adapter au mieux pour répondre le plus précisément à vos besoins. La législation européenne est très stricte sur les données personnelles. Une entreprise ne peut récupérer ces informations si sa législation ne protège pas les données aussi bien que dans l’Union européenne.

A côté de cela, le quidam ne s’intéresse pas à ces détails techniques. En effet, les Européens seraient plus enclins à utiliser des services américains… au détriment des alternatives européennes.

Historique

Le Safe Harbor est entré en vigueur en 1998. Il permettait aux entreprises américaines, sous conditions, de transférer des données personnelles de l’Espace économique européen vers les États-Unis, tout en respectant la vie privée des internautes. Tout fonctionnait pour le mieux jusqu’en 2013. En effet, cette année-là, le lanceur d’alerte Edward Snowden dévoilait des défaillances importantes sur la sécurité des données des internautes européens (et les autres). En 2015, le Safe Harbor est invalidé par la Cour de Justice de l’Union européenne.

Dès 2016, un nouvel accord rentre en vigueur afin de réglementer à nouveau les transferts de données : Privacy Shield. Mais en 2020, il est également déclaré invalide par la même Cour de Justice. Ce dernier ne garantissait pas un niveau de protection suffisant…

Aujourd’hui, aucune garantie n’est considérée comme suffisante dans la sécurisation des flux de données entre les États-Unis et l’Europe selon les experts, dont Maximilian Schrems.

L’histoire se répète ?

Pour le moment, cet accord n’est que politique et les détails juridiques n’ont pas encore été dévoilés.  Il faudra attendre la sortie des textes pour connaître le contenu des règles. Malheureusement, si Les États-Unis n’ont pas fait évoluer entre temps leur législation, afin d’être plus en adéquation avec celle de l’Europe, il y a eu de grandes chances que le texte n’aboutisse pas.

Il mettra de nombreux mois avant de sortir. Tout le monde s’interroge sur ce document : comment pourrait-il satisfaire la réglementation européenne sur la protection des données personnelles ? La justice européenne ayant déjà invalidé les deux cadres juridiques précédents, estimant que la confidentialité des données personnelles hébergées aux US n’était pas assurée.

Une bonne nouvelle pour les Géants américains

Les géants américains saluent cette avancée significative qui retrouvera une sécurité juridique et augmentera les garanties des utilisateurs. Google, par le biais d’un porte-parole, salue les efforts faits par la Commission européenne et par le gouvernement américain. Mais cet arrangement pourrait remettre en cause la décision faite début février par la CNIL qui a évalué que « Google Analytics était une violation du RGPD« .

De nouveaux partenariats

A côté de cela, les sociétés américaines continuent de travailler en France et en Europe. On citera notamment les partenariats franco-américains autour d’un « Cloud de confiance » tels que Google et Thales, Orange avec Capgemini et Microsoft… Ces dernières opèrent parfois dans un flou juridique. Le nouvel accord apportera une base légale aux entreprises américaines pour exporter les données personnelles des internautes européens.

Les grandes lignes…

Cette entente est essentielle pour concilier les droits et libertés des internautes européens et l’économie numérique de chaque côté de l’atlantique. L’accord permettra également d’encadrer les activités de surveillance des services de renseignement américains. Ils devront démontrer que la surveillance électronique est nécessaire et proportionnée en fonction des objectifs de sécurité nationale prédéfinie. Dorénavant, l’enjeu est aussi de contrôler l’accès des données pour les services de renseignements américains.

Le prochain texte apportera de nombreux avantages aux entreprises qui gèrent les transferts de données. La collaboration entre les sociétés de part et d’autre de l’atlantique s’en trouverait grandement simplifiée.

d’un dossier quasi insoluble

La Cour européenne a déjà invalidé deux cadres juridiques auparavant. Elle estime que lorsque les données personnelles sont transférées aux États-Unis, les droits des citoyens européens ne sont pas assurés, principalement à cause de l’importante surveillance outre atlantique. Il semble néanmoins très peu probable que l’Union européenne diminue son niveau d’exigence sur la sécurité des données et que Washington modifie ses textes sur le renseignement.

Dans ce contexte, il semble compliqué d’atteindre l’objectif fixé par les deux parties. Le risque majeur pour les géants américains serait de mettre en péril la légalité de leurs activités au sein de l’Europe. Ce danger est bien réel.