Une décision rendue par la Cour de Justice de l’Union Européenne (CJUE) le 6 octobre
2014 a érodé les fondations de l’accord de « Safe Harbor » entre l’UE et les
États-Unis. La décision a entraîné la consternation dans les services juridiques des
entreprises américaines stockant des données de citoyens européens, et fait planer
le spectre d’une explosion d’actions en justice dans l’ensemble des États membres de
l’UE.

Ce jugement historique représente un défi considérable pour plus de 4 000
entreprises européennes et américaines dont l’activité dépend de la fluidité de
leurs transferts de données transfrontaliers. Il augmente également les risques
potentiels pour les entreprises américaines qui traitaient jusqu’à présent les
données de citoyens européens aux États-Unis et croyaient que les protocoles de
transfert de données qu’elles avaient mis en place respectaient les normes requises
par la loi de l’UE.

L’accord de transfert des données Safe Harbor a gouverné les flux de données
européens au-delà de l’Atlantique ces 15 dernières années. Dans le cadre de cet
accord, les entreprises américaines pouvaient auto-certifier l’apport d’une « 
protection adéquate » aux données des utilisateurs européens, conforme aux exigences
européennes de protection des données - et aux droits humains fondamentaux comme le
respect de la vie privée. Toutefois, suite aux révélations d’Edward Snowden sur la
surveillance mondiale et indiscriminée de la NSA, la décision de la CJUE dans le
cadre du procès de Max Schrems contre Facebook a remis en question les protections
auto-certifiées promises par le Safe Harbor.

Par conséquent, toutes les organisations auparavant couvertes par le Safe Harbor
risquent maintenant la non-conformité avec la protection des données européennes
telle qu’elle se présente aujourd’hui. Cela a entraîné la frénésie dans les
entreprises américaines, autour de la question de la gestion, du stockage, du
transfert et de l’utilisation des données en Europe.

Les grandes entreprises, comme Google et Facebook, ont peut-être les ressources en
place pour se restructurer rapidement, grâce à la mise en œuvre de modifications de
procédures concernant les flux de données utilisateur et la construction de
datacenters européens supplémentaires pour traiter les données régionales, mais
quelle est la solution pour les petites et moyennes entreprises ? Par ailleurs,
qu’en est-il des clients de fournisseurs Internet et de services cloud suite au
jugement de la CJUE ? Les paquets de données ne connaissent pas les juridictions, et
ils sont souvent transférés à l’aveugle, afin de créer de la résilience et
d’accélérer l’accès.

Le débat a placé le respect de la vie privée et le consentement au centre de
l’attention pour les entreprises technologiques autant que les entreprises non
technologiques. Cela comprend les entreprises européennes, qui réfléchissent à une
collecte plus authentique du consentement pour se préparer à l’arrivée du Régime
Général de Protection des Données (RGPD), qui doit prendre effet en décembre 2017.
La nouvelle réglementation normalisera les lois gouvernant la protection des données
dans l’ensemble de la région et sa portée s’étend à toute entreprise étrangère
traitant des données de résidents européens.

Pourquoi les entreprises n’opérant que dans la région de l’Europe prêtent-elles
autant d’attention à la problématique du Safe Harbor ? Parce que la décision de la
CJUE n’a des conséquences importantes que sur les mécanismes de transfert de données
entre l’Europe et les États-Unis, il est probable que d’autres outils juridiques,
au-delà du Safe Harbor, soient également examinés de plus près avec l’arrivée du
RGPD européen - tout cela fait planer l’incertitude sur la possibilité de respecter
les normes de l’UE avec les procédures de transfert de données actuelles.

De fait, l’ETNO (association des opérateurs européens des télécommunications et
réseaux) dénonce depuis longtemps les faiblesses du cadre de la Sphère de sécurité.
Selon l’ETNO, l’économie numérique actuelle nécessite une certitude juridique dans
ce domaine, et l’organisation demande que les futurs accords garantissent un haut
degré de protection des données, pour relever les défis - et saisir les opportunités
– de l’ère numérique.

Une chose est sûre. Nous allons voir arriver une nouvelle vague de réponses
orientées sur la conformité sous la forme de solutions plus complexes de
segmentation/résidence/souveraineté des données, de tokenisation des données et de
réaction en cas de violation. Mais les entreprises devront relever un nouveau
challenge à l’ère du RGPD, et les solutions tactiques ne suffiront pas à cela. Voyez
plutôt la formulation de cette ébauche de la législation du RGPD : « Afin de
garantir un consentement libre, ... le consentement ne fournira pas de base
juridique valide si l’individu n’a pas de choix véritable et libre et n’est donc pas
en mesure de refuser son consentement sans préjudice... L’individu concerné par les
données aura le droit de retirer son consentement à tout moment. »

L’approche la plus stratégique sur le long terme ? Mettre en place des mécanismes
pour un transfert des données consenti par l’utilisateur. Par chance, il existe
maintenant des technologies qui rendent cela possible : c’est là que l’accès géré
par l’utilisateur (UMA pour User-Managed Access) peut jouer un rôle clé.

L’UMA est une norme de confidentialité de nouvelle génération qui repose sur le
protocole d’autorisation web OAuth actuel et offre aux utilisateurs un contrôle
pratique et centralisé sur le partage de leurs données, même avec plusieurs sources
de données. Il opère en permettant aux utilisateurs de choisir des « portées » de
partage en fonction de règles spécifiques. Ils peuvent ainsi déterminer les
informations qu’ils partagent sur eux-mêmes, avec qui et pour quelle durée. Par
exemple, un propriétaire possédant des appareils intelligents à son domicile
compatibles UMA pourrait déléguer l’accès vidéo à l’entrée de sa maison à sa
babysitter afin qu’elle puisse voir qui est à la porte et laisser les personnes
entrer, mais ne pas l’autoriser à désactiver la caméra de l’interphone.

Pour les entreprises cherchant à opérer leur transformation numérique, l’UMA
représente une solution hyper efficace au dilemme de la confidentialité et du
consentement. En réussissant à combiner la gestion des identités et des contrôles
efficaces de la vie privée, l’UMA apporte les fonctionnalités de « confidentialité
dès la conception » dont ont besoin les entreprises et les organismes publics pour
respecter leurs obligations en matière de protection des données.

Alors que le débat fait encore rage sur ce qui constitue un « consentement informé »
et la question de savoir s’il peut s’appliquer à des données comportant de multiples
dimensions, il peut être utile de rappeler que le respect de la vie privée n’est PAS
le secret. Il s’agit plutôt de contexte, de contrôle, de choix et de respect. Et
c’est exactement ce qu’apporte l’UMA.

Alors que les organisations cherchent une réponse aux conséquences de l’invalidation
du Safe Harbor, l’UMA représente une approche durable et agile à la gestion après
consentement, déterminant un point de contrôle unifié qui permet aux individus
d’autoriser des personnes, organisations ou objets à accéder à leurs données
personnelles, contenus et services en ligne.