Flint

Flint Production

Données personnelles : RGPD, CLOUD Act, FISA, comment s’y retrouver ?

Données personnelles : RGPD, CLOUD Act, FISA, comment s’y retrouver ?

Il y a quelques semaines, avec des membres de la communautĂ© Flint, je discutais des questions qu’ils se posaient sur divers sujets, pour voir comment Flint pouvait les aider Ă  y voir plus clair. L’un d’eux, KĂ©dem FerrĂ©, s’interrogeait sur les cadres lĂ©gislatifs du RGPD europĂ©en et des textes amĂ©ricains comme le CLOUD Act ou le FISA, tous censĂ©s encadrer le transfert de donnĂ©es personnelles. Il m’a posĂ© quelques questions, mais comme je ne suis pas familier du sujet, qui mĂ©rite des connaissances vraiment pointues, j’ai prĂ©fĂ©rĂ© aller les poser Ă  un expert, Amaury Lesplingart, dĂ©veloppeur et actuel CTO de CheckFirst.

Avant de répondre aux questions, il est nécessaire de poser un peu de contexte. RGPD, CLOUD Act, FISA, de quoi parle-t-on ?

🇺🇸 En 1978, le Congrès amĂ©ricain vote le FISA (Foreign Intelligence Surveillance Act), base lĂ©gale des surveillances physiques et Ă©lectroniques des États-Unis, ainsi que de la collecte d’informations sur des puissances Ă©trangères soit directement, soit par l’Ă©change d’informations avec d’autres puissances Ă©trangères (WikipĂ©dia). En 2008, un amendement est ajoutĂ© Ă  cette loi, le FISA Amendments Act of 2008. Il contient notamment la section 702, qui autorise l’administration amĂ©ricaine Ă  collecter, utiliser et partager des donnĂ©es personnelles Ă©trangères stockĂ©es sur des serveurs amĂ©ricains. Seule restriction : les personnes ciblĂ©es ne doivent pas ĂŞtre amĂ©ricaines (Center for Democracy & Technology, Electronic Frontier Foundation, Seald). 

🇫🇷 En 2016, l’Union européenne adopte le RGPD (Règlement général sur la protection des données), qui est entré en vigueur en 2018. Il s’agit du cadre légal européen concernant le traitement et la circulation des données à caractère personnel, valable pour tous les États membres. Par cette nouvelle loi, une entreprise doit obtenir un consentement écrit de l’internaute avant tout traitement de ses données personnelles. Le texte précise que toute entreprise, européenne ou non mais qui manipule des données d’utilisateurs européens, est soumise au RGPD. Pour un transfert de données européennes en dehors du continent, l’article 48 du RGPD stipule qu’un accord entre les deux pays est nécessaire (Numerama, Le journal du net, CNIL).

🇺🇸 Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) a été adopté aux États-Unis par Donald Trump, la même année que le RGPD européen. Cette disposition autorise l’administration américaine, en cas d’enquête criminelle, à saisir de manière légale et sans procédure, tous documents et communications électroniques (qui pourraient “menacer l’ordre public”, formule critiquée pour son flou juridique) localisés dans les datacenters d’entreprises américaines, situés au États-Unis et à l’étranger, sans que l’utilisateur concerné n’en soit informé. Ces informations pourront ensuite être échangées avec d’autres gouvernements, par des accords bilatéraux. Cela veut dire que des administrations étrangères concernées par ces accords peuvent demander l’accès à ces données aux autorités américaines (NextInpact, L’Usine digitale). 

Ces premiers Ă©lĂ©ments posĂ©s, place aux questions. 

Est-ce le CLOUD Act et le FISA rendent le RGPD inapplicable ? Sommes-nous vraiment dans un entre-deux juridique pour le traitement de donnĂ©es personnelles aux États-Unis ? 

Alors clairement oui, le CLOUD Act et le FISA rendent le RGPD inapplicable. Sauf que l’Europe a trouvĂ© des moyens pour permettre l’application de son texte. On est totalement dans un entre-deux juridique. 

Il faut le dire : on est sur un Internet globalisĂ©. Il y a une rĂ©alitĂ© Ă  prendre en compte, c’est qu’on ne peut pas du jour au lendemain couper les câbles entre les États-Unis et l’Europe et dire “on ne fait plus de transferts”. Ă€ la suite du procès Schrems 1 [en 2013, Maximilian Schrems, un utilisateur allemand, attaque Facebook en lui reprochant de ne pas assez protĂ©ger ses donnĂ©es], alors que la Cour europĂ©enne de justice avait donnĂ© raison Ă  l’activiste allemand, l’Europe a conclu un accord via les clauses contractuelles types (SCC) qui n’autorisaient plus le transfert de donnĂ©es europĂ©ennes vers les États-Unis sauf si celles-ci Ă©taient cryptĂ©es. Seulement, Ă  ce moment-lĂ , qui a les clĂ©s pour lire ces donnĂ©es cryptĂ©es ? Les entreprises amĂ©ricaines. Donc il y a eu un second procès, Schrems 2 [deuxième procès intentĂ© par Maximilian Schrems], oĂą la CJUE a estimĂ© que les conditions de transferts [le cryptage des donnĂ©es] restaient insuffisantes pour garantir leur sĂ©curitĂ©. Aujourd’hui, tout le monde se tourne vers l’article 49 du RGPD qui crĂ©e des exceptions, pour justifier ces transferts. 

Donc oui, le CLOUD Act et le FISA sont antagoniques Ă  la dĂ©finition mĂŞme du RGPD. Les donnĂ©es continuent de voyager. Mais il y a quand mĂŞme eu de gros changements, ce n’est plus comme avant oĂą tous les data centers Ă©taient aux États-Unis. Les plus gros opĂ©rateurs ont dĂ©sormais montĂ© des data centers en Europe. Il y a toujours des transferts de donnĂ©es, moins qu’avant, mais parce qu’Internet est construit comme ça. La question est : comment va-t-on rĂ©ussir Ă  faire rentrer ces transferts de donnĂ©es dans les règles de la loi ? C’est un vrai dĂ©fi, je ne pense pas que ça sera rĂ©solu d’ici dix ans, peut-ĂŞtre dans cinquante ans ! Le seul moyen d’y arriver serait que les États-Unis et l’Europe soient totalement d’accord sur la notion de vie privĂ©e. Ce qui paraĂ®t impossible, alors mĂŞme que nous vivons dans un monde globalisĂ© ! Et on n’a pas encore introduit la Chine dans toutes ces questions. Car les donnĂ©es des gadgets, des camĂ©ras qu’on utilise, vont directement en Chine. 

Le verdict Schrems 2 implique-t-il rĂ©ellement une interdiction de tout traitement de donnĂ©es Ă  caractère personnel aux USA ?   

Alors, oui, Schrems 2 implique bien une interdiction de traitement de donnĂ©es personnelles aux États-Unis, mais il y a Ă©videmment des exceptions. C’est lĂ  qu’arrive l’article 49 du RGPD que je mentionnais juste avant. C’est un peu le jeu du chat et de la souris : le lĂ©gislateur met une barrière, on va essayer de contourner la barrière, une nouvelle barrière, un nouveau contournement, etc. D’autant plus quand on est en informatique, dans un rĂ©seau globalisĂ© et qui tend Ă  ĂŞtre de plus en plus dĂ©centralisĂ©. Car aujourd’hui, on ne parle que du Web 2.0, avec Facebook, Twitter, Microsoft. Mais il faut penser au Web 3.0 [« version dĂ©centralisĂ©e d’Internet basĂ©e sur la blockchain« , Les Echos], oĂą chaque ordinateur va commencer Ă  stocker des donnĂ©es, ou des morceaux de donnĂ©es pour les constituer dans un rĂ©seau plus global. Comment faire pour contrĂ´ler toutes ces donnĂ©es ? 

Cette question du transfert de donnĂ©es, c’est un peu quelque chose qui se passe pour l’Internet d’hier, qu’on va encore garder un peu aujourd’hui, mais qui ne sera plus lĂ  demain. Il faut rappeler une chose : si c’est sur internet, c’est public. OĂą que ce soit, que ce soit cryptĂ©, etc. Le problème actuellement, c’est l’écart gĂ©nĂ©rationnel : ceux qui rĂ©digent ces lois, font du lobbying, ce sont des gens qui ne sont pas nĂ©s avec Internet. Ceux qui le sont n’ont pas encore ces positions de pouvoir. Aujourd’hui, ceux âgĂ©s entre 20 et 30 ans vivent avec le Web 3.0 ce que leurs parents ont vĂ©cu avec Internet. 

Je suis pro RGPD, il faut absolument continuer dans cette direction, mais le problème c’est que quand on fait face à un marché globalisé, on ne peut pas espérer imposer nos règles à tout le monde. Je suis plutôt en faveur des SCC, qui conditionnent ces transferts à un cryptage des données en s’assurant qu’il est impossible de les décrypter. Parce que cette dernière condition est vérifiable. On ne peut pas vérifier si une société n’envoie pas de données aux États-Unis, car on ne peut pas contrôler internet. Par contre, on peut dire à une société qu’elle peut envoyer toutes les données qu’elle veut aux États-Unis, mais que qu’on va contrôler ce qu’il se passe aux États-Unis. Pour cela, il faut faire évoluer les législations.

Pour revenir Ă  Maximilian Schrems, c’est un peu le poil Ă  gratter du RGPD mondial, mais c’est juste une personne qui n’a pas lâchĂ© l’affaire. L’avantage qu’il a eu est qu’il est allemand. Et en Europe, il y a deux autoritĂ©s de la vie privĂ©e qui sont très regardantes, c’est l’allemande et la nĂ©erlandaise. Il ne faut pas rigoler avec le RGPD dans ces deux pays-lĂ , ils infligent des amendes record, ils sont les plus gros dĂ©fenseurs de la vie privĂ©e. En France, pour la CNIL, c’est plus compliquĂ© bien que son travail Ă©volue notamment en matière de recommandations, malheureusement trop peu suivies. 

Face Ă  ces dĂ©fis, une « souverainetĂ© numĂ©rique » française, ou du moins europĂ©enne, est-elle possible ? 

Cela dĂ©pend de ce qu’on entend par souverainetĂ© numĂ©rique. La souverainetĂ© numĂ©rique de la Chine, par exemple, consiste Ă  laisser voir ce qu’elle veut bien nous laisser voir. Celle de la Russie, en tout cas celle qu’elle espère obtenir, c’est vouloir son propre internet. Il y a eu des tests il y a pas longtemps, qui se sont très mal passĂ©s. En France, souverainetĂ© numĂ©rique ça veut dire vouloir mettre en avant et utiliser les produits europĂ©ens. C’est louable, mais le silicone utilisĂ© dans les puces, oĂą va-t-on le trouver ? Car sans puce, pas de composant essentiel pour tout produit informatique. Donc c’est un peu une illusion.

Pendant des annĂ©es, on s’est uniquement basĂ© sur les technologies amĂ©ricaines et chinoises, alors qu’il y a aujourd’hui de vrais talents en Europe. Nokia a des produits rĂ©seaux vraiment performants. Il y a un vrai intĂ©rĂŞt Ă  avoir sa propre technologie, tu la connais, tu la maĂ®trises, et tu ne dĂ©pends plus des autres. Ça, en Europe, on l’a souvent oubliĂ©. Donc, mĂŞme si c’est illusoire, ce qu’il y a de très positif avec la recherche d’une souverainetĂ© numĂ©rique, c’est de regarder ce que l’on a et ce que l’on peut faire de manière Ă  contrĂ´ler ces transferts. Il ne faut pas partir sur le modèle russe ou chinois, oĂą il faut tout faire, chez nous, parce qu’il y a de meilleures solutions ailleurs. On a des partenaires alliĂ©s dans le monde, il faut juste faire attention. 

Aujourd’hui, il y a un cloud europĂ©en institutionnel, Gaia-X, il y a des choses qui se crĂ©ent et c’est très positif, parce qu’il faut ĂŞtre compĂ©titeur. Mais il y a aussi des solutions qui existent dĂ©jĂ , et personne n’est au courant. OVH [entreprise française de tĂ©lĂ©communication] est le troisième prestataire de cloud computing au monde. Il y a Google, Microsoft et ensuite OVH. Donc, on a un cloud compĂ©titif en France, et en Europe. Mais les politiques font appel Ă  des consultants, qui eux font appel Ă  des entreprises amĂ©ricaines. Pourquoi faire ces rapports lĂ  en externe alors qu’on a des gens en interne pour le faire et pour amener des solutions ? Atteindre une souverainetĂ© numĂ©rique paraĂ®t très compliquĂ©, mais chercher Ă  tendre vers celle-ci va dans le bon sens car cela nous pousse Ă  dĂ©velopper nos outils.