La CJUE Cour de Justice de l’EU a pris un arrêté l’été 2020 en invalidant le Privacy Shield EU-USA ou Bouclier de Protection des Données entre l’Europe et les États-Unis d’Amérique. Cet accord était né pour permettre une dérogation du RGPD pour les sociétés américaines qui sont dans l’incapacité de le respecter vis-à-vis du Cloud Act notamment.
Qu-est-ce que le Privacy Shield?
Tout le monde a déjà entendu parler du RGPD (présenté par la CNIL) qui depuis 2016 définit, encadre et protège les données personnelles de tout ressortissant de l’Union Européenne partout sur la planète.
En 2018 aux USA, le gouvernement émet une loi fédérale le Cloud Act pour Clarifying Lawful Overseas Use of Data Act sur l’accès aux données de communication et données personnelles. Elle permet aux instances de justice et aux administrations de contraindre les fournisseurs de services établis sur le territoire américain à fournir les données stockées sur des serveurs informatiques qu’ils soient situés sur le sol américain ou dans des pays étrangers.
Les entreprises américaines se trouvent face à une contradiction évidente, elles ne peuvent respecter le Cloud Act et le RGPD en même temps. S’installe alors une négociation entre l’Europe et les USA pour un accord commercial permettant d’apporter des garanties supplémentaires pour les données des européens malgré le Cloud Act.
Toujours en vigueur le Cloud Act (présenté par Wikipedia) permet l’accès aux données sur des serveurs dans le monde entier à toutes les administrations américaines sans forcément avoir d’action judiciaire liée à la demande. On comprend alors aisément qu’une infrastructure de serveurs hébergés en France ou en Europe n’est pas un gage de sécurité si l’entreprise qui propose ces services est américaine.
Nous le verrons plus loin, cela pose des problèmes évidents pour l’actionnariat des entreprises et les contrats commerciaux que des entreprises européennes peuvent passer avec des entreprises américaines.
Quels sont les raisons de l’invalidation du Privacy Shield par l’Europe?
Dès 2017, le CNNum Conseil National du Numérique français indiquait pourquoi le Privacy Shield doit être renégocié. Le conseil s’inquiétait déjà sur les questions de surveillance des données et des communications faites en masse par les USA. Les révélations d’Edouard Snowden, ancien agent de la CIA, ont validé l’ampleur de cette surveillance, les méthodes et logiciels employés.
Le CNNum mettait aussi en évidence l’asymétrie critique de la gestion des données, le fait de posséder et d’exploiter les données par une force judiciaire et étatique extra territoriale est anormale. Le grand public mais aussi les entreprises utilisent massivement les réseaux sociaux et les outils de communication associés : WhatsApp, Instagram, Facebook, Twitter, Outlook, Office 365. Si on y ajoute l’hébergement de données d’entreprises de tout secteur sur les offres Amazon AWS, Google Cloud, Microsoft Azur, CloudFlare, GoDaddy, et bien d’autres, la quantité de données à disposition de la justice et des administrations américaines est considérable.
Il est essentiel de ne pas faire preuve de naïveté et de ne pas répéter les erreurs du passé. La position de prédominance des acteurs extra-européens sur le territoire de l’Union peut à ce titre justifier une approche prioritairement défensive.
CNNum Conseil National du Numérique 2017
Le Groupe de travail Article 29 dénommé G29 qui estimait en 2016 le Privacy Shield comme un progrès majeur, rencontre des difficultés à évaluer le respect de ce contrat auprès de plusieurs sociétés américaines : documents qui se contredisent, non-réponse ou réponse vague à des questions précises.
Tout cela mène le Groupe 29 a estimer ne pas avoir suffisamment de garanties sur le Privacy Shield. C’est le point de départ de l’action judiciaire en Europe qui mènera le 16 juillet 2020 dans la décision C311-18, la Cour de Justice de l’Union Européenne CJUE a annulé l’accord du Privacy Shield.
Qui est concerné par la rupture du Privacy Shield?
Tout ressortissant européen habitant ou non en Europe et toute entreprise européenne.
Vous êtes un particulier et vous utilisez des services américains comme WhatsApp, Twitter, Instagram? Vous êtes en tord et vous vous rendez coupable d’envoyer des données personnelles de vos amis / famille (photos, messages, communications) sur des entreprises qui ne respectent pas le RGPD et ce sans le consentement de vos correspondants.
Vous êtes une entreprise et vous héberger vos serveurs et données de vos applications ou service de messagerie email chez des opérateurs comme Office 365, Amazon AWS, … Vous êtes en tord même si les serveurs sont situés en Irlande, France ou tout autre pays européen. Vous vous rendez coupable de faire transiter / stocker des données personnelles de vos utilisateurs ou clients chez des entreprises qui ne peuvent pas garantir le respect du RGPD.
Quels conséquences de l’invalidation du Privacy Shield?
En tant que particulier il faut réduire l’usage des plateformes américaines, il existe des alternatives décentralisées ou européennes pour tous les réseaux sociaux ou la fourniture d’email.
Pour les entreprises, la CNIL a précisé que vous pouvez continuer à utiliser ces services si et seulement si vous obtenez un contrat reprenant tous les éléments du RGPD. Or dans la pratique les hébergeurs américains ne font pas ce type de contrat car cela les forcerait à ne plus respecter leurs lois américaines dont le Cloud Act. Ils doivent respecter leurs lois et en conséquence ils ne peuvent pas vous faire d’exception.
Je participe en ce moment à des négociations contractuelles pour utiliser un service fourni par un GAFAM.[…]
DPO d’une grande société française https://mastodon.xyz/@Roka/107439878262786818
ils nous font un gros rabais, mais bon s’agissant d’un GAFAM je pousse ma boîte à exiger de très grosses garanties pour la protection des données et à refuser leurs clauses types qui sont rédigées avec les pieds.[…]
Ça fait plusieurs semaines que ça dure et ce matin on avait un appel avec GAFAM pour répondre à nos inquiétudes.
On pensait parler à des juristes, mais non, on se retrouve face à une équipe commerciale[…]
Ils nous garantissent oralement que les données sont protégées, loin de la NSA ou d’autres agences étatiques mais refusent par contre de mettre ça par écrit…[…]
Bref des belles paroles mais sans garanties sérieuses. Et beaucoup d’inquiétudes quand on pose des questions de fond.
Pour rappel même une adresse IP est une donnée personnelle, faire transiter un flux par une société américaine devient de fait illégal. Le stockage de données soumises au RGPD le devient aussi.
Par contre pour toutes données non soumises au RGPD, IA sur des photos de fleurs, calcul scientifique, business intelligence peuvent toujours être hébergées et traitées chez ces sociétés.
Quelles solutions pour héberger légalement des données RGPD ou sensibles?
Plus que jamais il est important de respecter le RGPD car les sanctions sont énormes et l’impact de l’image de la société envers vos clients peut ruiner tous les efforts marketing et nuire durablement à votre société.
- Privilégiez des hébergements en Europe chez des hébergeurs dont la société n’est pas détenue par des fonds extra européens.
- Évitez l’usage de technologies américaines sous contrat avec des acteurs européens. Les solutions d’acteurs français et européens qui ont contractualisé un droit d’usage des solutions américaines ne sont pas viables. Le code source de la solution n’étant pas accessible, aucune garantie ne peut être faite sur la non-divulgation d’informations.
- Valider juridiquement vos prestataires informatiques.
Vous voulez héberger sereinement vos services?
Échangeons sur vos besoins en gardant à l’esprit le respect du RGPD et des droits de vos clients.
