Accueil Expert Exclusif – Le Privacy Shield invalidé. Et maintenant ?

Exclusif – Le Privacy Shield invalidé. Et maintenant ?

Stefano Maffulli, Director of Community & Marketing chez Scality

Stefano Maffulli, directeur du Community & Marketing chez Scality, revient pour les lecteurs de Solutions Numériques sur les implications de la récente chute du bouclier de protection de la vie privée entre l’Union Européenne et les États-Unis.

La circulation des données personnelles entre pays se fait aussi vite que celle des dollars et des euros. Mais le flux des données personnelles entre les entreprises américaines et les citoyens européens s’est brusquement tari suite au jugement de la Cour de justice de l’Union européenne mettant fin au Privacy Shield (bouclier de protections des données) – l’accord transatlantique permettant la circulation des données entre l’UE et les États-Unis.

Cela signifie que tout transfert d’informations entre les citoyens de l’UE et les entreprises américaines se fait désormais en plein flou juridique. Vous lisez cet article sur votre téléphone portable ? Vos informations de navigation sont transférées vers les États-Unis. Chaque fois que vous saisissez un message sur votre portable à Rome, le clavier prédictif transfert les données à Google ou Apple de l’autre côté de l’Atlantique. Et si vous conduisez votre Tesla dans les rues étroites d’Amsterdam, les données sont directement acheminées vers les USA. Mais sans le cadre légal du Privacy Shield, toutes ces activités du quotidien sont techniquement illégales.

Alors, que faire ?

Les entreprises doivent repenser leurs politiques de transfert et de stockage des données avant qu’elles ne deviennent hors-la-loi. Ce ne sera pas simple. Toute entreprise qui collecte et gère les données de citoyens européens doit passer au crible ses politiques d’application et de stockage, et stocker les informations en Europe dans des centres de données appartenant à des sociétés basées aux États-Unis ne sera plus suffisant. 

Des géants de l’industrie comme Google et Facebook cherchent des échappatoires, estimant que la CJUE n’a pas invalidé les clauses contractuelles types (CCT), la partie du Privacy Shield qui facilite le transfert des données. 

Mais sans ce bouclier de protection des données, les Clauses Contractuelles Types ne leur permettront pas d’exporter des données depuis l’UE, souligne Carlo Piana, expert en droit informatique européen depuis 1995. Ce qui était assez simple auparavant, comme stocker les journaux d’un serveur dans l’un des nombreux centres de données européens disponibles, ne l’est aujourd’hui plus du tout. « Réussir à confiner en Europe des données issues d’applications telles que la reconnaissance vocale des téléphones portables est devenu beaucoup plus complexe », ajoute-t-il.

Et même si la Cour suprême n’a pas directement annulé les clauses contractuelles types, celles-ci ne sont valables que si elles respectent les mêmes normes de protection que celles conférées par la législation européenne. Alors, où est le problème ? Toutes ces entreprises tombent sous la juridiction de la Foreign Intelligence Surveillance Act (FISA), ce qui invalide les CCT.

Les législateurs doivent donc revoir leur copie. La Chambre de commerce des États-Unis s’évertue à limiter les dégâts, voyez pour exemple la lettre envoyée et soutenue par des milliers d’entreprises, exhortant les gouvernements à « développer un mécanisme stable et durable permettant aux entreprises de transférer des données entre l’Union européenne et les États-Unis », faute de quoi les quelques 1,1 trillion de dollars qui constituent le total des échanges commerciaux de biens et de services entre les deux puissances risquent d’être sérieusement impactés. 

L’association activiste NOYB (My Privacy is None Of Your Business – « Mes données ne sont pas vos affaires ») a d’ores et déjà esquissé une FAQ de 1800 mots pour les entreprises européennes. Les amendes qui sanctionnent les violations du RGPD sont astronomiques, même si l’association admet que sept ans après le premier jugement, le Commissaire irlandais chargé de la protection des données doit encore fournir les lignes directrices qui obligeraient Facebook à le respecter.

Quelles sont les implications pour le stockage dans le Cloud ? 

Les efforts menés par la France et l’Allemagne pour construire une infrastructure cloud souveraine sont désormais plus importants que jamais. Prenons pour exemple GAIA-X, un projet initié en Europe et pour l’Europe avec pour but de définir des exigences communes pour une infrastructure de données européenne basée sur l’ouverture, la transparence et la portabilité au sein de l’UE. 

Bien évidemment, le stockage ne se fait pas en vase clos : les applications alimentent les besoins en espace de stockage, et les reconfigurer pour les rendre conformes est un véritable casse-tête. Il faut donc s’attendre à un exode hors des États-Unis, mené par les entreprises européennes. 

Le programme d’aide d’urgence lié au Covid ne va faire qu’accélérer les choses, poussant les gouvernements à s’éloigner des startups de la Silicon Valley. Exemple parmi d’autres, le contrat pharaonique de 500 000 places conclu avec Element, le concurrent direct de Slack, pour soutenir l’apprentissage à distance dans les écoles allemandes. Guidés par les aspects liés à la souveraineté des données, les gouvernements français et allemand avaient déjà porté leur choix sur Element. 

Le jeu de l’échelle : le Brexit et l’UE

Jusqu’à la fin 2020, le Règlement général sur la protection des données (RGPD) régit les échanges de données entre l’UE et le Royaume-Uni. Avant la fin de la période de transition du Brexit, l’UE devra évaluer l’adéquation des lois britanniques au vu du RGPD. Le résultat de cette évaluation sera le point de départ des futurs échanges de données une fois l’ancienne frontière rétablie.

Les deux parties ont indiqué qu’il serait assez simple d’aller de l’avant sur ce point étant donné que les lois sur la confidentialité du Royaume-Uni sont calquées sur le RGPD. Cependant, le Premier ministre britannique, Boris Johnson, a déclaré qu’il ne voyait aucune raison de s’y conformer à l’avenir, ce qui laisse présager une grande incertitude.

Et les lois entre les États-Unis et le Royaume-Uni ne font que rendre les choses encore plus complexes. Aujourd’hui, les échanges de données entre les deux pays se font grâce à un cadre légal plus ou moins identique au Privacy Shield. La Snooper’s Charter britannique est une copie presque conforme du Patriot Act américain en termes de surveillance des citoyens. Et les deux pays sont également membres de l’alliance des services de renseignements Five Eyes (ou Groupe des cinq). Bruxelles émet depuis longtemps des réserves sur ce groupe de surveillance, un sentiment toujours présent suite aux investigations menées par le Parlement européen sur le réseau Echelon au début des années 2000.

Avancez vite et fixez les codes

La façon dont le Brexit pourrait affecter cette évaluation d’adéquation est un pari que peu osent faire, pour le moment. Si l’UE n’octroie aucune dérogation d’adéquation au Royaume-Uni, un autre énorme problème va se poser : les données devront elles aussi s’arrêter net à la frontière irlandaise. Comme beaucoup de choses en 2020, il est assez difficile de prédire le dénouement de cette situation, si ce n’est dans la confusion la plus totale.

Tout cela étant, il faut agir vite. Cette fois-ci, il n’y aura pas de période de grâce pour la mise en conformité. Le Royaume-Uni et l’Europe ont besoin d’un marché unique pour les données qui saura attirer les développeurs locaux. Seul un effort concerté entre la Commission européenne, les gouvernements nationaux, les entreprises et les citoyens permettra aux données de retrouver leur place.