Les conséquences du Cloud Act et la riposte réglementaire européenne

Lorsque l’on aborde le sujet de la souveraineté numérique, nous ne pouvons échapper aux questions de réglementation, qu’il s’agisse :

• des lois américaines auxquelles nous sommes soumis malgré nous,
• ou de la réglementation européenne mise en place pour contrecarrer notre perte de maîtrise de nos données.

Cloud Act, Privacy Shield, RGPD… qu’impliquent ces notions ?

Pour nous aider à y voir plus clair Grégoire Hanquier, Directeur juridique, conformité et affaires publiques de Data Legal Drive, a accepté de répondre à nos questions.

Quelles sont les conséquences du Cloud Act dans l’espace numérique européen ?

Grégoire Hanquier :

Joe Biden assure que les États-Unis sont «prêts à guider le monde». Pas uniquement.

Nous savons, nous européens, que les États-Unis sont depuis les années 80 prêts à lancer des mandats de réquisition de données via leurs autorités judiciaires fédérales auprès de fournisseurs de services de communication basés en Europe. Les États-Unis s’ingèrent et agissent là où l’entraide judiciaire classique, lente et complexe entre pays, s’efface peu à peu.

Le fameux Clarifying Lawful Overseas Use of Data Act ou Cloud Act de mars 2018 en est le plus récent exemple. Comme son nom l'indique, il prévoit que dans le cadre d’une enquête pénale, le lieu de stockage des données ne soit pas un motif d'opposition à la communication de données électroniques réclamées par un juge américain à un prestataire de services électroniques immatriculé aux États-Unis.

Pour rappel, le Cloud Act s'applique à toute société immatriculée aux États-Unis ainsi qu'à ses filiales, même immatriculées à l'étranger. La «Législation teintée d'extraterritorialité» (pour reprendre l'expression de Régis Bismuth), conjuguée à l’absence de lois européennes sur la nécessité de localisation des data, confère hélas aux États-Unis un accès facilité aux données des entreprises européennes hébergées par les prestataires américains.

Le problème fondamental vient du fait que les GAFAM étant en position dominante sur le cloud, les États-Unis ont donc un accès aisé à toutes les données européennes de nos entreprises, tant pour une recherche d’information dans le cadre d’une enquête américaine sur des infractions graves que pour toutes les sortes d'incriminations, les plus bénignes possibles voire les suspensions d’infractions...

Comment se fait-il alors que l'Union européenne n'ait pas encore mis sur pied les moyens de protéger les données de nos entreprises en positionnant un dispositif comparable et efficace ?

Le RGPD ne s’intéresse hélas qu’aux données personnelles et non pas aux données de nos entreprises…

RGPD, invalidation du Privacy Shield… comment doivent réagir nos entreprises européennes ?

Grégoire Hanquier :

Deux questions préalables et essentielles que doivent se poser nos entreprises sur leurs prestataires américains :

• Est-ce que ces prestataires sont dans l’obligation de fournir au gouvernement américain des données personnelles de citoyens EU en vertu de la section 702 du Fisa et de l'executive order 12 333 ?
  
  
• Le fournisseur se revendique-t-il toujours seulement du Privacy Shield sans avoir mis en place des règles d’entreprises contraignantes (les fameuses Binding Corporate Rules ou BCR) ou des clauses contractuelles types exprimant des mesures appropriées pour compenser l’absence de protection ?

Si la réponse est oui aux deux questions, toute entreprise européenne qui a une hygiène RGPD de la data de ses salariés, clients et prospects doit SUSPENDRE le transfert de données vers les US.

Si toutefois le fournisseur américain démontre sa capacité de mise en place de mesures techniques qui présentent des «garanties appropriées» et/ou de «mesures supplémentaires» pour permettre un transfert des données personnelles, alors poursuivre des échanges transatlantiques peut être possible.

Les meilleurs alliés pour sécuriser ces situations d’incertitude : les DPO (délégués à la protection des données) et les juristes d’entreprises, toujours opérationnels sur le champ de bataille de la data.

Quels conseils donneriez-vous aux entreprises pour rester raccord avec le RGPD ?

Grégoire Hanquier :

1. Poursuivre l’engagement volontaire avec ses collaborateurs et son DPO dans son propre projet RGPD.
   Former les collaborateurs est l’étape indispensable afin de consolider une mise en œuvre conforme du RGPD dans toutes les strates de l’entreprise : faire de chaque salarié un protecteur des données personnelles !
   
   
2. Ne pas sous-estimer l’importance du changement des comportements.
   Un comportement éthique autour de la donnée personnelle présuppose une conviction, une détermination et un engagement de l’entreprise. L’obligation d’information et de transparence sur ce qui est fait de la donnée est un must have pour toute société qui se dit avoir une excellente hygiène de la data.
   
   
3. Plateforme métier RGPD, un must have !
   Justifier à tout moment sa conformité est une des exigences posées par la réglementation : mécanismes et procédures internes au sein des entreprises permettent de démontrer le respect des règles relatives à la protection des données. Afin de les mettre en place puis de suivre ces process, souscrire à une plateforme métier RGPD à l’instar de Data Legal Drive est une solution efficace pour les directions juridiques et data protection officers.

Quel est votre point de vue sur la question de la souveraineté numérique en général ?

Grégoire Hanquier :

Le concept interpelle puisque, dans nos régimes démocratiques, il revient au peuple d’exercer cet attribut de souveraineté : le peuple français, et donc ses représentants incarnant l’État, doivent-ils s’affirmer plus franchement dans le digital, dans le cyberespace, en luttant contre la tentative de dépossession de leur souveraineté exercée par les GAFAM ?

La réalité ne peut plus nous faire ignorer notre dépendance numérique aux GAFAM du fait de nos comportements, voire même des choix des représentants que nous désignons (Microsoft avec le Heath Data Hub, avec l’Éducation nationale, etc.).

Le RGPD est venu réaffirmer, contre toute attente et comme première étape, que le concept de souveraineté pouvait se conjuguer au niveau européen, notamment dans l’exercice du transfert de données personnelles vers les États-Unis.

L’invalidation du Safe Harbour, puis du Privacy Shield, constitue les premiers actes de souveraineté dans le cyberespace. La réponse américaine a été de riposter, si l’on peut dire, avec le Cloud Act.

La course à l’armement juridique pour défendre les nouveaux territoires du monde numérique ne fait que commencer.

Au-delà de ces querelles juridiques, la réponse sera avant tout technologique grâce à l’émergence de champions européens, français notamment, stockant leurs données en Europe sous le contrôle d'entreprises non établies aux États-Unis de manière à contrer le Cloud Act.

Article promotionnel. Les contributeurs experts sont des auteurs indépendants de la rédaction d’Appvizer. Leurs propos et positions leur sont personnels.