Tags :
Les prochaines grandes batailles de la vie privée : les flux de données transfrontaliers et la localisation des données
Par Glyn Moody – Privacy News Online – 04/11/2020
Titre original : « The next big privacy battles: cross-border data flows and data localization » – Traduction française : Erick Mascart – 15/11/2020
Retour à l'accueil de la catégorie...
—
Il y a quelques semaines, ce blog s'est penché sur une conséquence plutôt inattendue de la décision de la plus haute juridiction de l'UE, la Cour de justice de l'Union européenne (CJUE), d'invalider la réglementation du « bouclier de protection de la vie privée » (Privacy Shield) qui légalise la plupart des transferts de données personnelles de l'UE vers les États-Unis. À la suite de cette décision, l'autorité nationale française de protection des données, la CNIL, a non seulement déclaré que les grandes entreprises américaines comme Microsoft ne devraient pas être autorisées à transférer les données personnelles des citoyens européens, mais aussi qu'une entreprise européenne devrait traiter les données, et non une entreprise basée aux États-Unis. C'est une position extrême en matière de protection des données qui a rarement été soulevée auparavant par une agence gouvernementale. C'est peut-être une aberration, mais il y a de plus en plus de signes que les autorités européennes vont dans le même sens dans leur réflexion.
Par exemple, le Contrôleur européen de la protection des données (CEPD), qui surveille et contribue à la protection des données personnelles et de la vie privée lorsque les institutions et organes de l'UE traitent les informations personnelles des individus, a publié un document stratégique pour aider les institutions de l'UE à se conformer à l'arrêt de la CJUE mentionné ci-dessus. À court terme, il donne les conseils suivants :
En ce qui concerne le recours à de nouveaux prestataires de services et à de nouveaux traitements effectués avec des garanties appropriées et des mesures complémentaires appropriées, le CEPD a demandé aux [institutions de l'Union européenne] d'adopter une approche de précaution forte. Le CEPD encourage vivement les [institutions de l'Union européenne] à s'assurer que toute nouvelle opération de traitement ou tout nouveau contrat avec un fournisseur de services n'implique pas de transfert de données personnelles vers les États-Unis.
Le CEPD est prudent à juste titre, car on ne sait toujours pas comment les données personnelles peuvent être transférées légalement aux États-Unis. Mais il y a des signes que la Commission européenne elle-même – en fait le gouvernement de l'UE – cherche à adopter une position assez extrême sur les transferts de données. En septembre dernier, le commissaire au marché intérieur Thierry Breton, ancien directeur général de la technologie en France, a donné un avant-goût de ce qui allait se passer, en s'adressant à Politico : « Les données européennes devraient être stockées et traitées en Europe parce qu'elles appartiennent à l'Europe. Il n'y a rien de protectionniste dans tout cela ».
Cette remarque aurait pu être rejetée comme une remarque spontanée, mais la fuite d'une nouvelle loi européenne sur la gouvernance des données, obtenue par Politico et Euractiv, montre qu'elle fait partie d'un changement plus important. L'UE veut créer ce qu'elle appelle des “intermédiaires de données” pour servir d'intermédiaire entre les producteurs de données et les utilisateurs de ces données. L'idée est que cela permettra à l'UE de tirer un maximum de profit des données produites à l'intérieur de ses frontières, et fournira un moyen de contrer le pouvoir croissant des géants technologiques américains comme Facebook et Google. Il est essentiel que ces nouvelles sociétés de partage de données soient basées dans l'UE pour garantir le respect de la législation européenne : « La Commission souhaite que des règles soient mises en place pour garantir que les demandes d'accès à des données non personnelles émanant de pays tiers dans le nouvel écosystème de partage soient refusées ».
Il convient de noter que la Commission européenne ne veut pas seulement que les entreprises de l'UE refusent de se conformer aux « demandes de pays tiers » – essentiellement les États-Unis – mais que cela s'applique aux données non personnelles, ainsi qu'aux données personnelles, ce que le RGPD exige déjà dans la plupart des situations. Cette décision d'exiger la localisation des données, même pour les données non personnelles, est un changement de politique énorme, qui ne sera pas bien accueilli par les États-Unis. Comme le note un rapport du Congressional Research Service sur « les flux de données, la confidentialité en ligne et la politique commerciale », les objectifs de négociation commerciale de l'activité de promotion du commerce des États-Unis pour 2015 comprenaient l'exigence que les gouvernements acceptent de « s'abstenir de mettre en œuvre des mesures commerciales qui entravent le commerce numérique des biens et des services, restreignent les flux de données transfrontaliers ou exigent le stockage ou le traitement local des données ». Cependant, la situation des États-Unis n'est pas aussi claire ces jours-ci. En août de cette année, le président américain a publié un décret contre l'application chinoise TikTok, pour les raisons suivantes :
TikTok, une application mobile de partage de vidéos appartenant à la société chinoise ByteDance Ltd, aurait été téléchargée plus de 175 millions de fois aux États-Unis et plus d'un milliard de fois dans le monde. TikTok capture automatiquement de vastes pans d'informations de ses utilisateurs, y compris des informations sur l'internet et d'autres activités du réseau telles que les données de localisation et les historiques de navigation et de recherche. Cette collecte de données menace de permettre au Parti communiste chinois d'accéder aux informations personnelles et exclusives des Américains – ce qui pourrait permettre à la Chine de localiser les employés et les entrepreneurs fédéraux, de constituer des dossiers d'informations personnelles à des fins de chantage et de mener des activités d'espionnage d'entreprise.
En d'autres termes, même aux États-Unis, on s'inquiète de plus en plus des risques liés à la libre circulation des données personnelles, qui peuvent être utilisées pour créer des “dossiers” d'informations sensibles. Une solution proposée consiste à créer une version de TikTok basée aux États-Unis, sans que les données ne circulent à l'étranger. Des pourparlers ont eu lieu entre Oracle et Walmart pour créer une société américaine à cette fin, mais on ne sait pas encore s'ils aboutiront et si la Chine acceptera une approche aussi radicale.
Les appels à la localisation des données ne sont pas nouveaux. De nombreux pays dans le monde ont adopté des lois qui l'exigent depuis un certain temps. Un article paru en 2018 sur le site de l'Université de Washington a noté que l'Australie, la Colombie-Britannique, la Chine, l'Allemagne, l'Inde, le Nigeria et la Russie avaient tous des exigences plus ou moins strictes, celles de la Chine étant les plus exigeantes. Maintenant que l'UE et les États-Unis envisagent différents types de localisation des données, il semble probable que cela devienne une nouvelle caractéristique importante du paysage de la vie privée. On ne sait pas encore exactement quelle forme elle prendra, et il y aura sans doute de vifs débats dans les mois et les années à venir pour savoir quelle est la meilleure approche.
Crédit image : Suez canal top view - Mmelouk - Wikimédia
–
- Voir le document publié par le CEPD le 29/10/2020 : « Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling » – PDF, en anglais
Pages dans la catégorie :