Data et vie privée
Touche pas à mon cloud
Avant même que, le 6 octobre dernier, la Cour de justice de l’Union européenne (CJUE) n’attaque l’accord “Safe Harbour” [Sphère de sécurité, ndt] sur les données personnelles conclu entre l’Union européenne et les États-Unis, les avocats spécialistes de ces questions étaient très recherchés. Les clients américains les consultaient pour savoir si les transferts de données de leurs sociétés allaient tomber sous le coup d’un changement de la loi, et dans un tel cas, quel recours envisager. Leurs craintes se sont révélées fondées. Même si la décision ne “casse pas l’Internet”, comme les alarmistes le proclament, les entreprises peuvent avoir à trouver un moyen de contournement coûteux et compliqué pour transférer leurs données. Dans le cas contraire, elles devront les héberger dans des centres de données en Europe. Plus largement, le problème concerne l’inquiétante escalade du bras de fer transatlantique autour de la vie privée et de la protection des données personnelles. L’accord Safe Harbour, conclu en 2000, était une tentative de combler les différences culturelles et politiques sur la confidentialité des données personnelles en ligne. L’Union européenne considère en effet la protection de ces données comme un droit humain, alors que l’Amérique les classe principalement au chapitre “défense des consommateurs”, ce qui laisse une grande place aux arbitrages. Le pacte permet aux entreprises de transférer des données de l’Union européenne vers les États-Unis, si celles-ci présentent des garanties de protection de la vie privée équivalentes à celles imposées par la directive européenne sur la protection des données ( d’où le nom de “sphère de sécurité”). À l’époque de ces premières négociations, l’Internet en était à ses tout débuts, et les flux de données transatlantiques étaient minimes. La Commission européenne avait donc accepté un accord basé sur l’auto-certification. Les entreprises pouvaient ainsi rédiger leur propre charte sur la protection des données personnelles et se déclarer en conformité. Mais le ruisseau de données qui traverse l’Atlantique a grossi pour devenir un tsunami, faisant grandir d’autant les inquiétudes en Europe. Il a fallu les fuites provoquées par l’ancien prestataire de la NSA Edward Snowden, qui révélaient une surveillance généralisée, pour pousser la Commission à entamer sérieusement une nouvelle négociation. Fin 2013, elle a publié une liste des “carences” de l’accord actuel, dont la faible application des mesures, les politiques à la conception stupéfiante de la vie privée et un mauvais suivi des plaintes. Les négociations sur l’ajournement ont débuté peu après. Elles auraient pu progresser sans faire de bruit si Max Schrems, un activiste autrichien, ne s’en était pas mêlé. Pour lui, la surveillance de la NSA signifiait que Facebook n’était pas capable de protéger la confidentialité de ses données, il a donc déposé plainte contre le réseau social en Irlande, siège de Facebook en Europe. L’Autorité irlandaise de protection des données a répondu qu’elle ne pouvait aller contre la Commission européenne qui, en ratifiant l’accord Safe Harbour, avait considéré que la protection des données personnelles en Amérique était adéquate. M. Schrems a alors porté sa plainte devant la Cour suprême irlandaise, qui en a référé à la Cour européenne de justice. Le 23 septembre, l’avocat général de la Cour, Yves Blot, a publié un avis dans lequel il ne mâchait pas ses mots et donnait raison à M.Schrems. La décision de la Cour, cette semaine, a dans ses grandes lignes suivi cet avis. Elle invalide l’accord Safe Harbour, au motif qu’une “législation permettant à des autorités publiques [américaines] un accès systématique au contenu des communications électroniques doit être considérée comme dommageable à l’essence du droit fondamental au respect de la vie privée”. Elle a donné aux autorités nationales de protection des données le pouvoir de décider elles-mêmes si les accords européens garantissent une protection suffisante selon elles, ou de recourir aux tribunaux nationaux si elles concluent que ces protections sont insuffisantes. Les tribunaux peuvent ensuite porter l’affaire devant la Cour européenne de justice, qui a le dernier mot. La conséquence en est que tout remaniement de l’accord Safe Harbour, de même que les politiques internes de protection des données des entreprises, vont se trouver sous surveillance constante. L’incertitude qui va en découler ira plus loin : même les sociétés qui ne se basaient pas sur les clauses de l’accord Safe Harbour pour leurs transferts transatlantiques de données, mais sur des modèles alternatifs tels que “les contrats types” de la Commission pour les services d’hébergement dans le cloud, pourraient devoir réviser leur position juridique. Selon certaines sources à Bruxelles, les entreprises risquent désormais d’avoir à certifier que les données sont cryptées de façon satisfaisante (par exemple, qu’elles ne seront pas accessibles à la NSA).
On n’obtient ppas toujours ce que l’on veut
“met en péril une économie digitale transatlantique florissante”, selon Penny Pritzker, secrétaire au département du Commerce américain. Son ample portée va compliquer la finalisation de la renégociation du pacte Safe harbour entre l’Union européennep et les États-Unis. Un accord a déjà été trouvé sur la plupart des questions soulevées par la Commission, mais celle de l’accès des autorités américaines aux données demeure en suspens. La résoudre demande à coup sûr que l’Amérique consente à contrôler plus étroitement la NSA que l’US Freedom Act (Loi sur la liberté) ne le demande, qui interdit la collecte à grande échelle de données personnelles (en revanche, tout est permis sur les personnes résidant à l’étranger). Des projets parallèles destinés à ajourner la directive européenne sur les données, vieille de 20 ans, vont encore creuser le fossé entre les conceptions américaine et européenne de la vie privée. Un projet envisage de nouvelles règles pour les organisations se trouvant en dehors de l’Union européenne mais qui traitent les données de citoyens européens. Cela signifie qu’un site américain pourrait tomber sous le coup de la loi européenne uniquement parce qu’un visiteur, disons allemand, est en visite. L’exploitation du “big data” – l’analyse de très grandes quantités d’informations numériques pour isoler des récurrences et inventer de nouveaux services – va aussi être compromise. Les entreprises pourraient avoir à obtenir le “consentement explicite” pour tout nouvel usage. Les révélations de M. Snowden ont déjà accéléré une tendance à la balkanisation de l’Internet. Pour protéger les données de leurs citoyens et entreprises de la surveillance américaine, certains pays imposent que leurs données soient hébergées localement. Ce qui facilite la censure et l’espionnage local, et signifie que les consommateurs et entreprises devront utiliser des services d’hébergement locaux plus coûteux. Comme pour le commerce, les barrières à la libre-circulation des données peuvent produire des dégâts économiques importants : une étude du Centre européen pour l’économie politique internationale a déterminé que l’obligation d’hébergement local des données en Chine ou au Vietnam réduisait respectivement le PIB de 1,1 % et 1,7 %. Si l’Amérique et l’Union européenne ne trouvent pas une entente, d’autres pays vont en conclure que eux aussi peuvent imposer leurs ppropresp normes. “En dépitp de leurs différences, les États-Unis et l’Union européenne ont beaucoup en commun” affirme Christopher Kuner du centre de recherche Brussels Privacy Hub. “S’ils ne peuvent s’entendre sur la protection des données personnelles, comment le reste du monde le peut-il ?”