Protection et souveraineté des données : comment ne pas se perdre avec le cadre législatif ?

Depuis plusieurs mois, la souveraineté numérique agite les débats de la sphère IT avec en toile de fond des législations complexes, parfois contradictoires. Spécialiste de cette problématique, le DPO (Délégué à la Protection des Données) intervient pour assurer la conformité des traitements des entreprises avec le RGPD (Règlement général sur la protection des données) et les informer notamment sur le niveau de protection des données qu’elles confient à des tiers.

Par Pascal Alix, Avocat, DPO de NetExplorer et Lead auditor (certification RGPD)

Nous avons assisté, ces derniers mois, à de vifs débats entre les acteurs de l’IT au sujet du label “Cloud de confiance” mis en place par l’Etat pour renforcer la souveraineté et la protection des données traitées par les entreprises françaises. L’annonce de l’alliance de Thales avec Google, soumise à la législation américaine, pour commercialiser une offre “Cloud de confiance” est en effet apparue en contradiction avec l’objectif du label.

Des législations antagonistes

Il y a depuis longtemps un antagonisme entre les Etats-Unis et l’Union européenne. Il provient en partie de l’entrée en vigueur du Patriot Act, voté après le 11 septembre 2001. Il s’est ensuite renforcé avec le FISA Amendments Act de 2008, dont l’article 702 permet au Procureur général des États-Unis et au Directeur du renseignement national d’autoriser la collecte de données de personnes situées hors des Etats-Unis, puis de l’entrée en vigueur du Cloud Act (loi fédérale) qui permet l’accès aux données hébergées par des entreprises américaines quelle que soit leur localisation.

L’application de ces lois est incompatible avec des règlements européens, dont le RGPD, pris notamment en son article 48, qui exige un accord international pour tout transfert de données à caractère personnel à la suite de la décision d’une juridiction ou d’une autorité administrative d’un pays tiers.

Les Etats-Unis ont longtemps été considérés par l’UE comme un pays dit “adéquat” (voir encadré). Mais les accords dits “d’adéquation” ont été annulés par la Cour de Justice européenne, interdisant par conséquent tout transfert fondé ou non sur une décision rendue dans le cadre des législations fédérales précédemment rappelées. On comprend donc la levée de boucliers des acteurs de l’IT à propos de cette alliance Thales-Google.

Des compromis impossibles 

De son côté, la Chine a réglé de façon radicale le problème, en verrouillant totalement l’exploitation de ses données. De fait, elle oblige les entreprises à transférer toutes les données chinoises vers une infrastructure contrôlée par la SASAC (Commission chinoise d’administration et de supervision des actifs publics). Interdisant ainsi à tout acteur étranger de stocker des données chinoises.

Pour éviter ce type de posture extrême, l’UE maintient ouvertes les négociations avec les Etats-Unis pour parvenir à un nouvel accord. Mais on peut se poser la question de l’efficacité de la  réglementation européenne confrontée aux effets extraterritoriaux de la législation fédérale américaine. S’il est vrai que seul, le RGPD ne suffit pas à protéger, dans la réalité, la souveraineté numérique de l’UE, il a le mérite d’influencer les pratiques des GAFAM (l’UE étant un marché très important) et d’inspirer la législation de pays tiers, dont celle de l’État de Californie.

Le rôle central du DPO

Les évolutions technologiques étant plus rapides que les évolutions législatives, l’encadrement juridique et la sécurisation des traitements de données à caractère personnel, notamment dans le cadre des relations entre des organisations qui partagent des données (un hébergeur cloud et son client par exemple) sont de plus en plus complexes. Le Data Protection Officer ou DPO, dont le RGPD exige qu’il ait des connaissances spécialisées du droit et des pratiques en matière de protection des données, est bien placé pour être non seulement le garant de la conformité, mais également pour conseiller, de manière indépendante, les entreprises sur ces sujets.

Pour rappel, il assure quatre missions principales :
– Informer et conseiller l’entreprise en matière de protection des données;
– Contrôler le respect du droit français et européen en matière de protection des données (mission légale) ;
– Etre le relais de l’organisme de contrôle –  CNIL;
– Répondre aux interrogations des personnes concernées.

En tant qu’observateur et DPO, il m’apparaît parfois que les autorités européennes et françaises ne prennent pas toujours la mesure de l’importance des enjeux en matière de souveraineté des données.

Les GAFAM offrent des solutions très avancées, difficiles à concurrencer et rassurantes pour leurs utilisateurs, familiers de l’environnement qu’ils ont créé depuis des décennies. Les GAFAM mettent en avant, désormais, la localisation de leurs datacenters en Europe.

Cette localisation (des serveurs de stockage) des données a certes un effet juridique important puisqu’elle permet d’exclure ou de limiter les transferts de données à caractère personnel vers les pays tiers non adéquats. Mais la nationalité du fournisseur a aussi son importance, compte tenu des effets extraterritoriaux (effets sur le sol français) des lois de certains pays situées en dehors de l’UE (dont les Etats-Unis d’Amérique). D’où l’intérêt de se tourner vers des prestataires français, ce que l’Etat encourage finalement assez peu.

Il existe en effet des entreprises françaises en capacité d’assurer l’hébergement de données de manière souveraine et sécurisée. C’est, à mon sens, vers elles – ou leurs homologues européennes –  que les entreprises devraient se tourner en priorité pour protéger les données de leurs clients.

Des accords pour tenter de rapprocher les législations

Dès lors qu’une entreprise souhaite confier ses données à un acteur situé dans un pays ne faisant pas partie de l’Espace Economique Européen (E.E.E.), les transferts de données à caractère personnel de la France vers cet acteur ne peuvent être effectués que dans deux cas :

·  Soit, il y a une décision dite “d’adéquation”, article 45 du RGPD, c’est-à-dire qu’aux termes d’un examen de la législation et de négociations, le pays (tiers au sens du RGPD) sera considéré comme adéquat pour recevoir ces données  et en ce cas les transferts sont possibles sans autre formalité,

·  Soit il n’y a pas de décision d’adéquation, et en ce cas le responsable de traitement (par hypothèse l’entreprise située en France) doit prévoir des “garanties appropriées”, article 46 du RGPD, qui assureront une protection suffisante de ces données (le plus souvent la mise en place d’une documentation juridique et technique conforme aux “clauses contractuelles types” établies par la Commission Européenne).

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !