Gouvernance
Data Privacy Framework : du gaz dans la data !
Par Thierry Derouet, publié le 12 juillet 2023
Nouvelle partie de ping-pong en vue à propos du nouveau cadre juridique Privacy Framework pour le transfert de données personnelles vers les États-Unis. Un cadre déjà fissuré.
Après le Privacy Shield, voici le Privacy Framework ! Un règlement de plus (ou de trop ?) pour tenter de régler le transfert des données personnelles de l’UE vers les États-Unis.
Mais à peine, le règlement est-il annoncé que le militant autrichien pour le respect de la vie privée, Max Schrems, à l’origine de l’invalidation devant la Cour de justice de l’UE des deux précédents dispositifs, nous fait savoir qu’il est prêt à tout faire pour y mettre fin : « Nous avons déjà dans les tiroirs des options pour un nouveau recours, bien que nous soyons fatigués de ce jeu de ping-pong juridique. Nous nous attendons à ce que l’affaire soit de nouveau devant la Cour de justice au début de l’année prochaine ».
Pour Max Schrems, on est donc reparti pour un tour !
Un copié-collé du Privacy Shield ?
Pourtant, ce lundi, tout semblait joué. C’est par voie de communiqué, que la présidente de la Commission européenne Ursula von der Leyen, nous faisait savoir que Bruxelles avait enfin adopté Lundi un nouveau cadre légal pour permettre le transfert des données personnelles de l’UE vers les États-Unis : « Le nouveau cadre UE-Etats-Unis de protection des données personnelles garantira la sécurité des flux de données pour les Européens et apportera une sécurité juridique aux entreprises des deux côtés de l’Atlantique ».
Certains commentateurs ne peuvent s’empêcher de rappeler qu’à propos de « sécurité de flux », les États-Unis et l’UE se sont engagés « à travailler pour maintenir un niveau élevé d’approvisionnement en GNL américain vers l’Europe en 2023, d’au moins 50 milliards de mètres cubes. Cela est nécessaire compte tenu de la situation difficile de l’approvisionnement et de la nécessité d’assurer le remplissage des stocks pour l’hiver 2023-2024. »
Ce Privacy Framework ne serait-il donc rien d’autre qu’un accord « Data contre Gaz » ?
Privacy Framework : “circulez, il n’y a rien à voir !”
Le nouveau cadre juridique, nous dit-on, prévoit des garde-fous supplémentaires pour limiter l’accès des agences américaines de renseignement aux données recueillies en Europe et transférées ou hébergées aux États-Unis, à ce qui est « nécessaire » et « proportionné ». Il offrirait également aux citoyens européens la possibilité de recours s’ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains.
Dit ainsi, n’est-ce pas déjà admettre que les renseignements américains ont toujours un libre accès aux données ?
Dit ainsi, qui pourrait avoir gain de cause contre la « bienveillance » de la NSA, qui, comme le rappellent certains de nos interlocuteurs, a déjà, avec le FISA Act, la main sur les données des neuf plus grandes sociétés américaines ?
À LIRE AUSSI :
Le ver est toujours dans le fruit !
Côté géants du numérique, c’est donc la bonne nouvelle. Les sanctions ne s’appliquent plus. Toutefois, « les responsables de traitement des données portent la responsabilité de l’entreprise » comme le rappelle Sébastien Lescop, directeur général de Cloud Temple. « Cet accord, pour les géants du numérique, lève une incertitude juridique. Mais pour nos entreprises, le risque que les Américains puissent accéder librement à des données métier, reste une réalité. À l’heure où l’on parle de réindustrialisation, il est temps de définir nos priorités. L’informatique en est une. »
Faire preuve de prudence
Patrick Blum, délégué général de l’AFCDP, l’association qui réunit les professionnels de la protection des données personnelles en France apporte une réponse des plus sarcastiques. Car s’il voit « un certain soulagement » dans « la décision de la Commission européenne de reconnaître l’adéquation des États-Unis pour les transferts de données personnelles », il admet « que la décision de la Commission, prise malgré l’opposition du Parlement européen et les importantes réserves formulées par le CEPD/EDPB, consultés pour avis, est en effet très politique et sans doute peu robuste sur le plan juridique. » Et d’en conclure que « l’AFCDP recommande de faire preuve de prudence dans le recours à ce Safe Harbor v3 ».
À LIRE AUSSI :
Les DSI doivent considérer le Privacy Shield, comme invalide
Selon Jérôme Valat, cofondateur de Cleyrop, un data hub européen, « la Commission européenne ne fait que repousser le problème sans mettre fin à l’incertitude juridique pour de nombreuses entreprises. » D’après lui, nous repartons au minimum « pour 2 ans de procédure dont on connaît déjà l’issue : une invalidation, pour la troisième fois, par la Cour de justice. »
Il estime que si vous êtes un DSI et que vos projets dépassent un horizon de trois ans, vous devriez déjà considérer cet accord comme invalide. Il souligne également que si, il y a 5 ans, les hyperscalaires étaient incontournables, aujourd’hui ils ne le sont plus. « Après avoir légué une dette financière et une dette écologique, allons-nous accepter de transmettre une dette technologique à nos enfants ? »
Sébastien Lescop se veut plus optimiste : « Nous avançons dans la bonne direction. Même si cette décision va à contre-courant des nouvelles régulations, les référentiels existent et les efforts du gouvernement français pour stimuler la concurrence nationale portent leurs fruits. Cependant, l’incertitude réglementaire autour du cadre législatif retarde les prises de décisions. Nous devons résister à ces tentations d’inertie. L’aventure du cloud européen n’en est qu’à ses débuts, pourquoi capituler si tôt ? »
À LIRE AUSSI :
