Données personnelles : RGPD, CLOUD Act, FISA, comment s’y retrouver ?

Avant de répondre aux questions, il est nécessaire de poser un peu de contexte. RGPD, CLOUD Act, FISA, de quoi parle-t-on ?

🇺🇸 En 1978, le Congrès américain vote le FISA (Foreign Intelligence Surveillance Act), base légale des surveillances physiques et électroniques des États-Unis, ainsi que de la collecte d’informations sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangères (Wikipédia). En 2008, un amendement est ajouté à cette loi, le FISA Amendments Act of 2008. Il contient notamment la section 702, qui autorise l’administration américaine à collecter, utiliser et partager des données personnelles étrangères stockées sur des serveurs américains. Seule restriction : les personnes ciblées ne doivent pas être américaines (Center for Democracy & Technology, Electronic Frontier Foundation, Seald). 

🇫🇷 En 2016, l’Union européenne adopte le RGPD (Règlement général sur la protection des données), qui est entré en vigueur en 2018. Il s’agit du cadre légal européen concernant le traitement et la circulation des données à caractère personnel, valable pour tous les États membres. Par cette nouvelle loi, une entreprise doit obtenir un consentement écrit de l’internaute avant tout traitement de ses données personnelles. Le texte précise que toute entreprise, européenne ou non mais qui manipule des données d’utilisateurs européens, est soumise au RGPD. Pour un transfert de données européennes en dehors du continent, l’article 48 du RGPD stipule qu’un accord entre les deux pays est nécessaire (Numerama, Le journal du net, CNIL).

🇺🇸 Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) a été adopté aux États-Unis par Donald Trump, la même année que le RGPD européen. Cette disposition autorise l’administration américaine, en cas d’enquête criminelle, à saisir de manière légale et sans procédure, tous documents et communications électroniques (qui pourraient “menacer l’ordre public”, formule critiquée pour son flou juridique) localisés dans les datacenters d’entreprises américaines, situés au États-Unis et à l’étranger, sans que l’utilisateur concerné n’en soit informé. Ces informations pourront ensuite être échangées avec d’autres gouvernements, par des accords bilatéraux. Cela veut dire que des administrations étrangères concernées par ces accords peuvent demander l’accès à ces données aux autorités américaines (NextInpact, L’Usine digitale). 

Ces premiers éléments posés, place aux questions. 

Est-ce le CLOUD Act et le FISA rendent le RGPD inapplicable ? Sommes-nous vraiment dans un entre-deux juridique pour le traitement de données personnelles aux États-Unis ? 

Alors clairement oui, le CLOUD Act et le FISA rendent le RGPD inapplicable. Sauf que l’Europe a trouvé des moyens pour permettre l’application de son texte. On est totalement dans un entre-deux juridique. 

Il faut le dire : on est sur un Internet globalisé. Il y a une réalité à prendre en compte, c’est qu’on ne peut pas du jour au lendemain couper les câbles entre les États-Unis et l’Europe et dire “on ne fait plus de transferts”. À la suite du procès Schrems 1 [en 2013, Maximilian Schrems, un utilisateur allemand, attaque Facebook en lui reprochant de ne pas assez protéger ses données], alors que la Cour européenne de justice avait donné raison à l’activiste allemand, l’Europe a conclu un accord via les clauses contractuelles types (SCC) qui n’autorisaient plus le transfert de données européennes vers les États-Unis sauf si celles-ci étaient cryptées. Seulement, à ce moment-là, qui a les clés pour lire ces données cryptées ? Les entreprises américaines. Donc il y a eu un second procès, Schrems 2 [deuxième procès intenté par Maximilian Schrems], où la CJUE a estimé que les conditions de transferts [le cryptage des données] restaient insuffisantes pour garantir leur sécurité. Aujourd’hui, tout le monde se tourne vers l’article 49 du RGPD qui crée des exceptions, pour justifier ces transferts. 

Donc oui, le CLOUD Act et le FISA sont antagoniques à la définition même du RGPD. Les données continuent de voyager. Mais il y a quand même eu de gros changements, ce n’est plus comme avant où tous les data centers étaient aux États-Unis. Les plus gros opérateurs ont désormais monté des data centers en Europe. Il y a toujours des transferts de données, moins qu’avant, mais parce qu’Internet est construit comme ça. La question est : comment va-t-on réussir à faire rentrer ces transferts de données dans les règles de la loi ? C’est un vrai défi, je ne pense pas que ça sera résolu d’ici dix ans, peut-être dans cinquante ans ! Le seul moyen d’y arriver serait que les États-Unis et l’Europe soient totalement d’accord sur la notion de vie privée. Ce qui paraît impossible, alors même que nous vivons dans un monde globalisé ! Et on n’a pas encore introduit la Chine dans toutes ces questions. Car les données des gadgets, des caméras qu’on utilise, vont directement en Chine. 

Le verdict Schrems 2 implique-t-il réellement une interdiction de tout traitement de données à caractère personnel aux USA ?   

Alors, oui, Schrems 2 implique bien une interdiction de traitement de données personnelles aux États-Unis, mais il y a évidemment des exceptions. C’est là qu’arrive l’article 49 du RGPD que je mentionnais juste avant. C’est un peu le jeu du chat et de la souris : le législateur met une barrière, on va essayer de contourner la barrière, une nouvelle barrière, un nouveau contournement, etc. D’autant plus quand on est en informatique, dans un réseau globalisé et qui tend à être de plus en plus décentralisé. Car aujourd’hui, on ne parle que du Web 2.0, avec Facebook, Twitter, Microsoft. Mais il faut penser au Web 3.0 [« version décentralisée d’Internet basée sur la blockchain« , Les Echos], où chaque ordinateur va commencer à stocker des données, ou des morceaux de données pour les constituer dans un réseau plus global. Comment faire pour contrôler toutes ces données ? 

Cette question du transfert de données, c’est un peu quelque chose qui se passe pour l’Internet d’hier, qu’on va encore garder un peu aujourd’hui, mais qui ne sera plus là demain. Il faut rappeler une chose : si c’est sur internet, c’est public. Où que ce soit, que ce soit crypté, etc. Le problème actuellement, c’est l’écart générationnel : ceux qui rédigent ces lois, font du lobbying, ce sont des gens qui ne sont pas nés avec Internet. Ceux qui le sont n’ont pas encore ces positions de pouvoir. Aujourd’hui, ceux âgés entre 20 et 30 ans vivent avec le Web 3.0 ce que leurs parents ont vécu avec Internet. 

Je suis pro RGPD, il faut absolument continuer dans cette direction, mais le problème c’est que quand on fait face à un marché globalisé, on ne peut pas espérer imposer nos règles à tout le monde. Je suis plutôt en faveur des SCC, qui conditionnent ces transferts à un cryptage des données en s’assurant qu’il est impossible de les décrypter. Parce que cette dernière condition est vérifiable. On ne peut pas vérifier si une société n’envoie pas de données aux États-Unis, car on ne peut pas contrôler internet. Par contre, on peut dire à une société qu’elle peut envoyer toutes les données qu’elle veut aux États-Unis, mais que qu’on va contrôler ce qu’il se passe aux États-Unis. Pour cela, il faut faire évoluer les législations.

Pour revenir à Maximilian Schrems, c’est un peu le poil à gratter du RGPD mondial, mais c’est juste une personne qui n’a pas lâché l’affaire. L’avantage qu’il a eu est qu’il est allemand. Et en Europe, il y a deux autorités de la vie privée qui sont très regardantes, c’est l’allemande et la néerlandaise. Il ne faut pas rigoler avec le RGPD dans ces deux pays-là, ils infligent des amendes record, ils sont les plus gros défenseurs de la vie privée. En France, pour la CNIL, c’est plus compliqué bien que son travail évolue notamment en matière de recommandations, malheureusement trop peu suivies. 

Face à ces défis, une « souveraineté numérique » française, ou du moins européenne, est-elle possible ? 

Cela dépend de ce qu’on entend par souveraineté numérique. La souveraineté numérique de la Chine, par exemple, consiste à laisser voir ce qu’elle veut bien nous laisser voir. Celle de la Russie, en tout cas celle qu’elle espère obtenir, c’est vouloir son propre internet. Il y a eu des tests il y a pas longtemps, qui se sont très mal passés. En France, souveraineté numérique ça veut dire vouloir mettre en avant et utiliser les produits européens. C’est louable, mais le silicone utilisé dans les puces, où va-t-on le trouver ? Car sans puce, pas de composant essentiel pour tout produit informatique. Donc c’est un peu une illusion.

Pendant des années, on s’est uniquement basé sur les technologies américaines et chinoises, alors qu’il y a aujourd’hui de vrais talents en Europe. Nokia a des produits réseaux vraiment performants. Il y a un vrai intérêt à avoir sa propre technologie, tu la connais, tu la maîtrises, et tu ne dépends plus des autres. Ça, en Europe, on l’a souvent oublié. Donc, même si c’est illusoire, ce qu’il y a de très positif avec la recherche d’une souveraineté numérique, c’est de regarder ce que l’on a et ce que l’on peut faire de manière à contrôler ces transferts. Il ne faut pas partir sur le modèle russe ou chinois, où il faut tout faire, chez nous, parce qu’il y a de meilleures solutions ailleurs. On a des partenaires alliés dans le monde, il faut juste faire attention. 

Aujourd’hui, il y a un cloud européen institutionnel, Gaia-X, il y a des choses qui se créent et c’est très positif, parce qu’il faut être compétiteur. Mais il y a aussi des solutions qui existent déjà, et personne n’est au courant. OVH [entreprise française de télécommunication] est le troisième prestataire de cloud computing au monde. Il y a Google, Microsoft et ensuite OVH. Donc, on a un cloud compétitif en France, et en Europe. Mais les politiques font appel à des consultants, qui eux font appel à des entreprises américaines. Pourquoi faire ces rapports là en externe alors qu’on a des gens en interne pour le faire et pour amener des solutions ? Atteindre une souveraineté numérique paraît très compliqué, mais chercher à tendre vers celle-ci va dans le bon sens car cela nous pousse à développer nos outils.