Faut-il vraiment un accord transatlantique autour du transfert des données?

Secu

Accord transatlantique sur les données : pas d’accord plutôt qu’un mauvais accord !

Par La rédaction, publié le 08 juin 2022

Europe et USA ont annoncé avoir trouvé un accord “de principe” autour du transfert transatlantique des données. Dans les faits, tout reste à faire…

Par Guillaume Tissier,
Associé Avisa Partners et directeur du Forum International de la Cybersécurité

Le 25 mars dernier, le président américain et Ursula von der Leyen, présidente de la Commission européenne, annonçaient dans une certaine indifférence avoir trouvé un accord pour remplacer le Privacy Shield invalidé depuis l’arrêt rendu le 16 juillet 2020 par la Cour de justice de l’Union européenne (dit arrêt Schrems 2).

La concomitance de cette annonce avec les discussions sur l’indépendance énergétique européenne a de quoi étonner, certains allant jusqu’à évoquer un accord « gaz contre données ».

Mais surtout, aucun détail concret n’a pour le moment filtré sur ses modalités pratiques. Et pour cause : les dernières propositions américaines (création d’une agence chargée de surveiller le traitement des données européennes sous la direction du Département de la justice, possibilité pour les Européens de contester devant les tribunaux la collecte de leurs données…) ne seraient guère convaincantes.

Tout en se réjouissant de cette avancée, le Comité européen de la protection des données s’est d’ailleurs empressé de préciser que cet « accord de principe » ne constituait pas un « cadre juridique » et que les entreprises européennes souhaitant exporter des données outre-Atlantique devaient continuer à s’appuyer sur des clauses contractuelles types négociées au cas par cas.

Les interceptions extrajudiciaires restent possibles

La route vers un nouvel accord pourrait donc être longue. Pour devenir « pays adéquat » au sens du RGPD, les États-Unis doivent prouver qu’ils ont mis en œuvre les réformes nécessaires en matière de protection de la vie privée, et que leurs activités de surveillance sont proportionnées et nécessaires aux besoins de sécurité.

Or « les États-Unis n’ont pas bougé », constate l’avocat Max Schrems, tombeur du Privacy Shield.

Par ailleurs, cela ne répondra qu’aux défis posés par le Cloud Act sur l’accès par les autorités judiciaires américaines aux données stockées – aux États-Unis comme ailleurs – par des prestataires de services électroniques dans le cadre de procédures pénales.

Un tel accord n’apportera aucune solution aux interceptions extrajudiciaires menées en vertu de la section 702 du FISA (Foreign Intelligence Surveillance Act), qui autorise les services de renseignement américain à espionner tout citoyen non américain à l’extérieur des États-Unis, ou à l’Executive order 12 333, grâce auquel les agences de renseignement américaines peuvent exploiter les vulnérabilités des infrastructures de télécommunication pour mener un espionnage massif.

C’est sur ce fondement que le programme Prism, révélé par Edward Snowden en 2013, a été bâti afin de ménager aux agences de sécurité américaines un accès aux données détenues par Yahoo, Microsoft, Google, Facebook, Youtube, Apple, etc.

Un nouvel accord ne favorisera pas la souveraineté technologique de l’UE

Alors, oui, un nouvel accord transatlantique sur les données permettra de sortir de l’ambiguïté dans laquelle se trouvent de nombreuses entreprises européennes et américaines depuis l’invalidation du Privacy Shield. Mais cela ne peut pas se faire à n’importe quel prix.

L’ambiguïté reste préférable à un accord déséquilibré, lequel aurait de toute façon de fortes chances d’être invalidé à son tour.

En outre, si cet accord permet de sécuriser les données personnelles des citoyens européens, il ne contribuera aucunement à la souveraineté technologique du Vieux Continent. Il fera même au contraire le jeu des acteurs américains, en simplifiant et en accélérant les exportations de données vers le Nouveau Monde.

C’est tout le paradoxe de la stratégie européenne qui consiste à accélérer la transition numérique et, pour ce faire, à recourir à chaque fois que nécessaire aux solutions des grandes plateformes américaines, en particulier sur les couches PaaS et SaaS, en les encadrant grâce à des normes juridiques contraignantes, et dans le même temps à développer sa souveraineté en matière de technologies numériques.

Le récent « cloud de confiance » en France illustre parfaitement cette « Realpolitik » : en s’appuyant sur le référentiel SecNumCloud, il offre des garanties de cybersécurité et de protection juridique face au Cloud Act, mais il n’est plus nécessairement « souverain », puisque parfois basé sur des logiciels fournis sous licence à des opérateurs d’infrastructures français. En cas d’interruption de ces licences, les sociétés françaises se retrouveront ainsi dans l’incapacité de fonctionner, un risque qui pourrait bien se matérialiser pour les entreprises françaises en Russie.

Il s’agit donc pour l’Europe de concilier une stratégie de court terme, pour répondre à des besoins de cybersécurité et de protection des données personnelles, tout en développant dans la durée sa base industrielle et technologique dans le numérique pour voir émerger une souveraineté, même partielle, au plan technologique grâce à la mobilisation de l’ensemble des leviers de politique industrielle.

Cet « en même temps » numérique sera à n’en pas douter l’un des grands enjeux des prochaines années.


A LIRE EGALEMENT

Un accord en vue entre les USA et l’Europe sur les données privées

Avancées et limites des nouvelles clauses contractuelles types

Ce qu’implique l’invalidation du Privacy Shield par la Cour de justice européenne

Nouvelles règles d’échange de données avec le Royaume-Uni

Première application du principe de la neutralité du Net par la CJUE

Dans l'actualité