Un peu d’histoire (récente)

Il était une fois Max Schrems, un étudiant en droit autrichien obstiné et persévérant, qui se sentait concerné par la manière dont ses données personnelles étaient traitées par Facebook.

Réalisant que l’accord Safe Harbor [1] passé entre les États-Unis (EU) et l’Union européenne (UE) ne protégeait pas suffisamment nos données personnelles stockées aux États-Unis, il obtenait en 2015 rien moins que l’invalidation de cet accord par la Cour de justice de l’Union européenne [2], au motif que « les États-Unis n’offrent pas un niveau de protection adéquat aux données personnelles transférées ». Pour situer l’ampleur de cette décision, rappelons que Safe Harbor a regroupé presque 4000 entreprises américaines, dont Microsoft, Google, Amazon, Facebook, General Motors, etc.

Aie ! Rien ne va plus : Safe Harbor annulé, quid de nos données personnelles stockées aux États-Unis ?

La Commission européenne et le gouvernement des États-Unis entament des discussions et le 12 juillet 2016, la Commission (après approbation de la plupart des États membres de l’UE) adopte un nouvel accord, baptisé cette fois-ci Privacy Shield [3].

Il se compose d’une série d’engagements de la part du gouvernement fédéral des États-Unis et une décision de la Commission européenne. La Commission stipule que « les garanties pour le transfert des données sur la base de la nouvelle protection des données UE-EU protègent selon les normes de protection des données dans l’UE ». Privacy Shield garantit donc aux citoyens européens que leurs données stockées aux États-Unis bénéficient d’une protection identique à celle dont ils bénéficient en Europe.

Bon, alors tout est bien qui finit bien ? Eh bien non.

Le Privacy Shield est invalidé par la même Cour de justice de l’Union européenne le 16 juillet 2020 [4] pour les mêmes motifs, suite à une nouvelle plainte de … Max Schrems !

En résumé, le Privacy Shield facilitait les échanges outre-Atlantique en stipulant que la législation américaine offrait les mêmes garanties que le droit européen, mais … la Cour de justice de l’Union européenne n’est pas de cet avis, notamment eu égard au fait que l’administration américaine peut disposer de nos données et de l’absence de recours possible.

Nous sommes aujourd’hui le 16 février 2021, et il n’existe plus d’accord entre les États-Unis et l’Union européenne à ce sujet. Cependant, nous restons soumis au RGPD qui impose des règles contraignantes pour le transfert de nos données personnelles vers des pays jugés moins protecteurs que l’union européenne.

Et les européens utilisent beaucoup de solutions logicielles américaines !

Le RGPD en résumé

Notre « identité numérique » est un bien précieux.

Elle est matérialisée par toutes les informations stockées auxquelles nous sommes nommément liés : les articles que nous avons « liké », les groupes de discussion suivis, les produits consultés ou commandés, les émissions télé regardées, nos mails, nos commentaires, nos comptes en banque, etc. Nous sommes liés à de très nombreuses informations, et le nombre de ces liens est en croissance rapide.

Le législateur européen a établi le RGPD, le Règlement Général sur la Protection des Données. C’est grâce à lui que nous sommes désormais régulièrement questionnés à propos des cookies des sites web que nous visitons ! Je vous invite à suivre ce lien [5], le RGPD n’est pas si indigeste que cela et plein de bonnes intentions.

Quelques extraits : le RGPD définit « les principes et les règles régissant la protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant … ». Il vise à assurer « … le libre flux des données à caractère personnel entre les États membres » et le droit de chaque citoyen à accéder « aux données à caractère personnel qui ont été collectées à son sujet » et à pouvoir « faire rectifier des données à caractère personnel les concernant, et disposer d’un «droit à l’oubli» ». De plus, « toute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une seule autorité de contrôle ».

Tous les pays membres de l’UE appliquent le RGPD, et c’est ainsi que nos données personnelles peuvent librement circuler et être stockées dans le territoire de l’UE.

Mais quid hors de l’Union européenne ?

Hum !

Pour l’instant, dès lors que des données personnelles sont stockées aux États-Unis (ou tout autre pays n’ayant pas d’accord avec l’Europe), elles devraient être suffisamment cryptées pour garantir une « inviolabilité raisonnable », ou bien encore « anonymisées » [6]. Oui ?

Wojciech Wiewiórowski, Contrôleur européen de la protection des données, espère que l’Administration Biden classera ce sujet au rang des priorités pour offrir d’ici quelques mois une solution aux entreprises européennes qui transfèrent des données outre-Atlantique. Est-il urgent d’attendre ?

Pour certains, cette situation n’est pas sans conséquences.

Conséquences bien illustrées par les récentes péripéties du « Health Data Hub » [7], la plateforme gouvernementale qui a commencé à recueillir une grande quantité de données médicales des Français à des fins de recherche, et à qui il est reproché d’avoir passé un contrat avec Microsoft pour l’hébergement de ces données, et plus encore à la suite d’un décret passé en plein confinement élargissant les types de données versées afin de nourrir des algorithmes d’intelligence artificielle [8] [9].

Consulté avant l’été 2020, le Conseil d’État avait estimé que la protection des données était globalement assurée par la plateforme. Mais survint le 16 juillet 2020 la décision de la Cour de justice de l’UE estimant que le Privacy Shield ne respectait pas le droit européen. C’est ainsi que les juges ont ordonné à la plateforme Health Data Hub de renégocier en urgence les contrats passés avec Microsoft. Mais comme l’indique la CNIL [10], « les « garanties » qui permettent de pallier la fin du Privacy Shield sont « particulièrement difficiles à apporter » dans le cadre d’un contrat avec Microsoft ».

A ce sujet, voici un extrait de la page « Infrastructures de bouclier de protection des données UE-EU » [11] publié par Microsoft le 6 février 2021. A la question « le transfert de données en vertu du bouclier de protection des données UE-EU est-il conforme au RGPD ? », la réponse est claire « le bouclier de protection des données n’est pas un mécanisme de conformité RGPD, mais plutôt un cadre qui permet aux entreprises participantes de répondre aux exigences de l’UE en matière de transfert de données personnelles en dehors de l’UE. ». Claire, mais comment interpréter cette réponse ?

De son coté, « La CNIL conclut que l’hébergement ne peut être confié légalement à un hébergeur américain comme Microsoft. » Et selon la CNIL « la solution la plus effective consiste à confier l’hébergement de ces données à des sociétés non soumises au droit états-unien ». Depuis, le secrétaire d’état Cédric O annonce travailler au transfert du Health Data Hub sur des plateformes françaises ou européennes.

Ah oui, rien que cela ? Changer ses contrats, puis changer de fournisseur ?

De leur côté, nos amis Belges militent pour protéger les entreprises d’éventuelles sanctions [12]. En France, le journal Le Monde nous dit que l’Europe tente ainsi de récupérer la souveraineté de ses données. En effet, pour l’instant, seules 20% d’entre elles sont stockées en Europe.

European Data Protection Board

De son côté, le Comité Européen de la Protection des Données [13] nous propose ce processus pour vérifier la conformité de nos entreprises à la loi.

Ah, ces américains !

Derrière cette situation, se profile le Patriot Act [14], loi du Congrès des États-Unis signée le 26 octobre 2001 par George W. Bush, qui en pratique autorise les services de sécurité à accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation préalable et sans en informer les utilisateurs.

Et chez nous ?

Eh bien, selon l’article 16 du RGPD, les états de l’Union européenne se réservent le droit de déroger … au RGPD : « Le présent règlement ne s’applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale. Le présent règlement ne s’applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l’Union. »

Conclusion ?

La perplexité règne quant aux actions à conduire. Je ne peux que conseiller de rester attentif aux évolutions qui ne manqueront pas de se produire.

De son côté, il y a quelques années, J2S a choisi de monter sa plateforme cloud chez OVH. Nous n’avions pas anticipé ce qui allait suivre, simplement il nous semblait nécessaire de pouvoir garantir à nos clients que leurs données seraient physiquement stockées en France par une société de droit français, et nous avions été convaincus par l’offre OVH « private cloud ».

De fait, ceux qui sont hébergés par des sociétés assujetties au droit européen et assurant un stockage sur le même territoire échappent aux incertitudes nées des différences juridiques entre pays.

 

Vous voulez en savoir plus, ou souhaitez une démonstration live ?
Prenez contact avec nous : nous serons ravis d’échanger.

David Lantier
Business Developer