Lorsque l’on aborde le sujet de la souveraineté numérique, nous ne pouvons échapper aux questions de réglementation, qu’il s’agisse :
Cloud Act, Privacy Shield, RGPD… qu’impliquent ces notions ?
Pour nous aider à y voir plus clair Grégoire Hanquier, Directeur juridique, conformité et affaires publiques de Data Legal Drive, a accepté de répondre à nos questions.
Grégoire Hanquier :
Joe Biden assure que les États-Unis sont «prêts à guider le monde». Pas uniquement.
Nous savons, nous européens, que les États-Unis sont depuis les années 80 prêts à lancer des mandats de réquisition de données via leurs autorités judiciaires fédérales auprès de fournisseurs de services de communication basés en Europe. Les États-Unis s’ingèrent et agissent là où l’entraide judiciaire classique, lente et complexe entre pays, s’efface peu à peu.
Le fameux Clarifying Lawful Overseas Use of Data Act ou Cloud Act de mars 2018 en est le plus récent exemple. Comme son nom l'indique, il prévoit que dans le cadre d’une enquête pénale, le lieu de stockage des données ne soit pas un motif d'opposition à la communication de données électroniques réclamées par un juge américain à un prestataire de services électroniques immatriculé aux États-Unis.
Pour rappel, le Cloud Act s'applique à toute société immatriculée aux États-Unis ainsi qu'à ses filiales, même immatriculées à l'étranger. La «Législation teintée d'extraterritorialité» (pour reprendre l'expression de Régis Bismuth), conjuguée à l’absence de lois européennes sur la nécessité de localisation des data, confère hélas aux États-Unis un accès facilité aux données des entreprises européennes hébergées par les prestataires américains.
Le problème fondamental vient du fait que les GAFAM étant en position dominante sur le cloud, les États-Unis ont donc un accès aisé à toutes les données européennes de nos entreprises, tant pour une recherche d’information dans le cadre d’une enquête américaine sur des infractions graves que pour toutes les sortes d'incriminations, les plus bénignes possibles voire les suspensions d’infractions...
Comment se fait-il alors que l'Union européenne n'ait pas encore mis sur pied les moyens de protéger les données de nos entreprises en positionnant un dispositif comparable et efficace ?
Le RGPD ne s’intéresse hélas qu’aux données personnelles et non pas aux données de nos entreprises…
Grégoire Hanquier :
Deux questions préalables et essentielles que doivent se poser nos entreprises sur leurs prestataires américains :
Si la réponse est oui aux deux questions, toute entreprise européenne qui a une hygiène RGPD de la data de ses salariés, clients et prospects doit SUSPENDRE le transfert de données vers les US.
Si toutefois le fournisseur américain démontre sa capacité de mise en place de mesures techniques qui présentent des «garanties appropriées» et/ou de «mesures supplémentaires» pour permettre un transfert des données personnelles, alors poursuivre des échanges transatlantiques peut être possible.
Les meilleurs alliés pour sécuriser ces situations d’incertitude : les DPO (délégués à la protection des données) et les juristes d’entreprises, toujours opérationnels sur le champ de bataille de la data.
Grégoire Hanquier :
Grégoire Hanquier :
Le concept interpelle puisque, dans nos régimes démocratiques, il revient au peuple d’exercer cet attribut de souveraineté : le peuple français, et donc ses représentants incarnant l’État, doivent-ils s’affirmer plus franchement dans le digital, dans le cyberespace, en luttant contre la tentative de dépossession de leur souveraineté exercée par les GAFAM ?
La réalité ne peut plus nous faire ignorer notre dépendance numérique aux GAFAM du fait de nos comportements, voire même des choix des représentants que nous désignons (Microsoft avec le Heath Data Hub, avec l’Éducation nationale, etc.).
Le RGPD est venu réaffirmer, contre toute attente et comme première étape, que le concept de souveraineté pouvait se conjuguer au niveau européen, notamment dans l’exercice du transfert de données personnelles vers les États-Unis.
L’invalidation du Safe Harbour, puis du Privacy Shield, constitue les premiers actes de souveraineté dans le cyberespace. La réponse américaine a été de riposter, si l’on peut dire, avec le Cloud Act.
La course à l’armement juridique pour défendre les nouveaux territoires du monde numérique ne fait que commencer.
Au-delà de ces querelles juridiques, la réponse sera avant tout technologique grâce à l’émergence de champions européens, français notamment, stockant leurs données en Europe sous le contrôle d'entreprises non établies aux États-Unis de manière à contrer le Cloud Act.
Grégoire Hanquier est Directeur juridique, conformité et affaires publiques chez Data Legal Drive.
Diplômé de Paris 2 Panthéon-Assas et d’HEC Paris, Grégoire a construit sa carrière en conjuguant le droit aux nouvelles technologies. Après Total et Capgemini, il rejoint LexisNexis, 1er groupe mondial des legaltechs, en tant que Directeur juridique CEMEA. En 2020, il rejoint Data Legal Drive.
Article promotionnel. Les contributeurs experts sont des auteurs indépendants de la rédaction d’Appvizer. Leurs propos et positions leur sont personnels.
![[Cloud Week] Le village start-up](https://www.datocms-assets.com/17507/1606823922-village-stratup-cloud-week-2017.jpg?fit=max&fm=webp&q=60&w=227)
