Le règlement no 2016/679, dit Règlement général sur la protection des données (RGPD) est un règlement de l’Union européenne qui constitue désormais le texte de référence en matière de protection des données à caractère personnel au sein de l’Union européenne.
Après quatre années de négociations, ce règlement avait fini par être adopté par le Parlement européen le 14 avril 2016. Ses dispositions sont directement applicables dans l’ensemble des 28 États membres de l’Union européenne à compter du 25 mai 2018. Les entreprises, les organismes, tous ceux qui utilisent dans leur système des données personnelles doivent se conformer à cette directive et à ses 99 articles. Aujourd’hui encore, on estime que près de la moitié des entreprises françaises ne sont pas conformes à à ce RGPD.
Les Américains de leur côté ont élargi le champ des possibles atteintes aux libertés grâce au « Cloud Act », la petite dernière des lois extraterritoriales américaines.
Pour comprendre les enjeux de la libre circulation des données, il est intéressant de remonter dans le temps, juste qu’en 1973.
Au commencement était la CNIL
En 1973, au moment où les ordinateurs commençaient à passer des bandes perforées aux bandes magnétiques, l’INSEE conçut le programme dit « SAFARI », dont l’idée était simple : à l’aide du numéro de Sécurité sociale, les administrations pourraient accéder à la totalité des données concernant chaque Français. .
Ce projet fit scandale, notamment suite à la publication d’un article resté célèbre, publié par le journaliste Philippe Boucher dans Le Monde du 21 mars 1974 et intitulé « Safari » ou la chasse aux Français.
Le mécontentement populaire face au projet SAFARI poussera le gouvernement de Valery Giscard d’Estaing à créer la Commission nationale de l’Informatique et des libertés en 1978.
La CNIL est le premier outil de défense de nos données personnelles.
Article 1er de la loi Informatique et libertés
Depuis 1978, la Loi informatique et liberté a connu pas moins de 19 modifications entre 1988 et 2017, afin de coller au mieux aux évolutions technologiques et sociétales (apparition des réseaux sociaux, nouvelles pratiques informatiques…)
La libre circulation des données en Europe
En 1995, 3 ans seulement après le Traité de Maastricht la Commission Européenne met en place la directive 95/46/CE qui instaure un cadre réglementaire pour le recueil et la circulation des données personnelles entre états membres de l’Union Européenne.
Extrait du Journal officiel n° L281 du 23/11/1995 p.0031
Tous les transferts vers un pays tiers se font sous réserve que le pays offre le même niveau de garantie, une « CNIL » locale capable de veiller à l’application de la loi.
« Sphère de sécurité » et « bouclier de protection »
Les années 2000 voient la montée des GAFAs et des transferts de données personnelles chez l’Oncle SAM. La Commission européenne négocie alors un accord avec les Etats-Unis qui n’est autre que la directive 95/46 adaptée plus spécifiquement aux entreprises américaines : le Safe Arbor.
C’est un ensemble de principes de protection des données publié par le Département du Commerce américain.
Les entreprises établies aux Etats-Unis y adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’union européenne.
La directive 95 qui pouvait paraitre naturelle et inoffensive avec des acteurs européens va s’avérer, sous les traits du Safe Arbor, une porte ouverte pour les Etats-Unis, hors de contrôle.
Pourquoi ?
Parce que pour la plupart des géants du Net américains, les européens représentent une part non négligeable de leur clientèle. Les GAFAs (Google, Apple, Facebook, Amazon) s’empressent d’entrer dans ce programme, peu contraignant, mais qui leur offre l’avantage d’accéder librement aux données personnelles du continent européen, une aubaine pour eux !
Nos données personnelles sont « l’or noir » des GAFAs : la moindre inscription à un site, à une newsletter, la simple création d’une boite mail ou un achat en ligne, sont autant de moyens pour les entreprises en ligne de récolter des informations sur vous.
Safe Arbor autorise les entreprises américaines à utiliser des données d’utilisateurs européens si elles respectent un certain nombre de règles. En réalité aucun contrôle sérieux n’est effectué sur l’usage qui est fait des données transférées. Safe Abor est basé sur « la bonne foi » des entreprises américaines.
En juin 2013, E. Snowden révèle au grand jour le programme PRISM, une surveillance mise en place par les Etats-Unis pour accéder aux données en ligne d’un grand nombre de personnes. La NSA collecte des données auprès des entreprises américaines, grâce à des « back doors » (portes dérobées) installées dans les logiciels les plus répandus.
Suite aux révélations de Snowden, Maximilian Scherms, un avocat autrichien, militant actif pour la défense des données dépose plusieurs plaintes contre les géants du NET. C’est la plainte qu’il dépose contre Facebook en Irlande qui aboutira à l’invalidation du Safe Abor en 2015.
Communiqué de presse de la cour de justice de l’Union européenne :
https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf
Le Safe Arbor au placard, il reste un vide juridique et un climat de défiance vis-à-vis des entreprises américaines.
En 2016 le G29 : un organisme de la commission européenne qui réunit toutes les CNIL européennes tente de mettre en place, un accord avec les américains susceptible de remplacer le désastreux Safe Arbor, le Privacy Shield.
« Le bouclier de protection fait lace à la sphère de sécurité ».
Mais le G29 émet, très vite, de vives critiques sur ce nouvel accord, comme par exemple la possibilité de collecter massivement des données, le flou autour des garanties que doivent fournir les entreprises américaines…
Le G29 demande également à la Commission européenne de s’assurer d’être informée par le Gouvernement des Etats-Unis de toute réglementation qui pourrait affecter les principes du Privacy Shield.
Source CNIL : Déclaration du G29 concernant le Privacy Shield
Les autorités américaines n’ont pas tenu compte de cette requête. Deux ans après Privacy Shield, le Cloud Act entre en scène, et la Commission européenne l’apprend … par la presse !
Cloud ACt contre RGPD
Le « Cloud Act »: Clarifying Lawful Overseas Use of Data.
« Eclaircir les règles concernant l’extraterritorialité des mandats américains sur les données stockées à l’étranger. » Effectivement cette loi rend les choses très claires… du point de vue américain.
Adopté en 2018, par le congrès américain, sans vote, puisque noyée volontairement dans les 2000 pages du projet de loi du budget fédéral.
Désormais les autorités américaines peuvent accéder aux données personnelles de tout un chacun, peu importe sa nationalité à partir du moment où ses données sont hébergées par une entreprise américaine, quel que soit le lieu où se trouve le data center et ce sans avoir l’aval d’un juge et bien évidemment sans avoir à notifier les personnes concernées :
« Tout opérateur ou fournisseur de services en ligne doit se conformer aux obligations (…) pour préserver, sauvegarder ou communiquer les contenus de communications électroniques et tous enregistrements et informations relatives à un client ou abonné dont ils sont en possession où dont ils ont la garde ou le contrôle, quel que soit le lieu où ces communications, enregistrements et informations sont localisés à l’intérieur ou à l’extérieur des Etats-Unis. »
Quid de la propriété intellectuelle ? De l’espionnage industriel ? De la sécurité nationale ?
Or depuis 2014 un règlement européen était en gestation au sein de l’union européenne. La RGPD, le règlement général sur la protection des données. La RGPD est devenu depuis le 25 mai dernier le texte de référence pour la circulation des données, remplaçant la directive 95/46/CE de 1995.
La RGPD concerne tous les organismes privés ou public qui utilisent des données personnelles.
Ce règlement directement applicable dans tous les pays membres, propose de nouveaux droits pour les utilisateurs mais également de nouveaux devoirs pour les entreprises.
Dorénavant une entreprise devra recueillir le consentement d’un individu mais également informer celui-ci quant à la collecte et au traitement de ses données. Les changements obligatoires que doivent effectuer les entreprises pour être conforme, sont couteux et conséquent. Plus une entreprise est ancienne plus ce travail s’avère complexe.
Si les données d’un utilisateur sont piratées, altérées, si l’entreprise subit une cyberattaque elle est tenue de le communiquer aux utilisateurs impactés et à la CNIL.
Les amendes sont assez dissuasives en cas de non-respect : 4% du chiffre d’affaire à l’international ou 20 millions d’euros, ou le plus grand des deux.
Ainsi nous avons d’un côté une loi européenne qui est censée protéger les données des européens et de l’autre une loi outre-Atlantique qui donne la permission d’accéder à ces mêmes données.
Le Cloud Act est clairement en contradiction avec des articles précis de la RGPD, notamment l’article 48 qui stipule :
« Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers [comme les Etats-Unis] exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international ».
Les prestataires américains vont-ils donc devoir choisir s’ils résistent à la Loi de leur pays pour se conformer au RGPD ou si au contraire, ils mettent le RGPD de côté ?
Chacun aura son idée sur la réponse à cette question.
On peut cependant constater que dans l’affaire qui opposait Microsoft au Gouvernement américain, au sujet du rapatriement aux Etats-Unis de données qui se trouvaient sur des serveurs en Irlande, Microsoft, a annoncé qu’il mettait fin à la bataille judiciaire devant la Cour Suprême. Le Cloud Act est passé par là.
La RGPD et le Cloud Act rebattent les cartes chez les hébergeurs et les éditeurs français et étrangers.
Le Cloud Act met à mal les investissements des fournisseurs américains sur le sol européen comme , par exemple, Microsoft Azure et Amazon Web services qui ont construit des datacenters en France pour rassurer les clients, et qui se trouvent contraints à divulguer leur données même lorsqu’elles sont hébergées en dehors des Etats-Unis. Les prestataires français utilisent d’ailleurs cet argument et mettent en avant leur maitrise de la protection de nos données personnelles par ce qu’ils échappent à la législation américaine.
Parallèlement, le RGPD avec les investissements lourds que nécessite sa mise en œuvre au sein des entreprises, ses sanctions financières, ne va il pas dissuader une entreprise de s’implanter au sein de l’union européenne ? Peux être verrons-nous apparaitre des paradis « RGPD », à l’instar des paradis fiscaux, dans les pays limitrophes ?
Nous avons à faire à une guerre commerciale et juridique dans le domaine du numérique, et bien entendu nous sommes liés aux décisions de 26 autres pays, sur ce sujet-là, comme sur beaucoup d’autre la France ne décide plus seule.