Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Arrêt du transfert automatique de données personnelles vers les États-Unis : la fin du Cloud américain ?

octobre 2015 par Charles d’Aumale, Fondateur de Trust and Tech

L’actualité juridique récente montre l’extrême difficulté de concilier un monde globalisé avec les prérogatives et contraintes géographies des États. Le 6 octobre 2015, la Cour de Justice de l’Union Européenne (CJUE) a pris une décision particulièrement importante sur les enjeux de données personnelles. La Cour a ainsi décidé d’annuler les facilités de transfert et de traitement de données personnelles de ressortissants européens aux États-Unis. Connu sous le nom de Safe Harbor, le dispositif mis en place en 2000 permettait aux entreprises transférant de telles données outre Atlantique de s’auto-certifier et de ne pas être obligées de par des procédures complexes auprès de chaque État membre. Si les conséquences de cette décision sont difficiles à établir, il est intéressant de noter que la CNIL a diffusé un message d’impossibilité de transfert de données personnelles dans le cadre du Safe Harbor moins de 48 heures après la décision de la Cour.

Lu sur le site de la CNIL le 9 octobre 2015 [1] :

Par décision de la Cour de Justice de l’Union Européenne du 06 Octobre 2015 (affaire C-362/14), le mécanisme d’adéquation " Safe Habor " permettant le transfert de données vers les entreprises adhérentes aux États-Unis a été invalidé.
En conséquence, il n’est désormais plus possible de réaliser un tel transfert sur la base du Safe Harbor.

La CNIL examine actuellement avec ses homologues au sein du G29 les conséquences juridiques et opérationnelles de cet arrêt. Des informations complémentaires seront mises en ligne très prochainement.
Cette diffusion pose très clairement plus de questions qu’elle n’en résout. Alors, pour aider les organisations à appréhender plus en profondeur la situation, cet article a pour objectif de rappeler le contexte juridique actuel en matière de données personnelles, d’étudier les différents scénarios réglementaires et l’impact sur les entreprises en fonction de leur origine et de la localisation de leurs données.
2015 : les juges s’emparent des données personnelles

Deux cas sont à suivre en particulier : (1) les conséquences de l’arrêt de la CJUE du 6 octobre et (2) les évolutions du procès de Microsoft contre les autorités américaines sur l’accès à des données en Irlande.

Safe Harbor : un autrichien se prend pour le Zorro des données personnelles

L’arrêt évoqué ci-dessus est la conséquence d’une attaque en justice effectuée par Max Schrems, jeune juriste autrichien qui est particulièrement actif sur les enjeux de données personnelles. M. Schrems a démarré sa démarche en Irlande, pays hôte de la maison mère européenne de Facebook. Après avoir essayé d’obtenir gain de cause à l’échelon national irlandais, M Schrems est monté au niveau européen. D’où son attaque contre le Data Protection Commissioner (la CNIL irlandaise). Tout l’enjeu fut pour lui de montrer que, suite aux révélations de M. Snowden sur les accès massifs des autorités américaines aux données stockées aux États-Unis, il n’était plus possible pour les autorités européennes de continuer à autoriser le transfert et le traitement de données personnelles européennes aux États-Unis dans le cadre du Safe Harbor. M. Schrems a eu gain de cause. La cour considère en effet que les accès répétés par les autorités américaines à de nombreuses données personnelles stockées par des entreprises américaines (cf le programme PRISM) sont disproportionnés et ne permettent plus de garantir une protection appropriée aux données personnelles des ressortissants européens.

Microsoft contre FBI : le procès qui fait trembler la Silicon Valley

Ce procès a fait la une en 2013 et 2014 : Microsoft perdait contre l’État Fédéral américain concernant l’accès à des données d’un ressortissant irlandais, stockées en Irlande chez Microsoft, liées à un contrat de droit irlandais via la filiale locale du fournisseur américain. Les autorités américaines ont utilisé les différents dispositifs juridiques américains, dont le Patriot Act, pour forcer la maison américaine à fournir les données. De son côté, Microsoft a fait valoir les enjeux d’extraterritorialité et le respect des lois irlandaises. En août 2014, Microsoft a perdu en appel et a de nouveau fait appel. Depuis, Microsoft a reçu le soutien de toute l’industrie informatique américaine, ainsi que de nombreux hommes politiques. A ce titre, une proposition de loi sur le sujet a été annoncée en février au Sénat [2]. Intitulé LEADS (Law Enforcement Access to Data Stored Abroad), ce texte a pour objectif de limiter l’accès aux données stockées en dehors des États-Unis par les autorités américaines.

Les deux cas ensembles : un vrai impact

La pire des situations pour les acteurs américains seraient (1) que l’arrêt de la Cour européenne soit totalement exécuté par tous les régulateurs européens et (2) que Microsoft perde sa procédure définitivement contre les États-Unis. En effet, si tel était le cas, les entreprises américaines seraient contraintes de déployer des infrastructures en Europe (ce qui est en partie le cas) mais resteraient sous la menace d’intervention des autorités de leurs maisons mères aux États-Unis. Cela les mettrait dans des situations schizophréniques par rapport à leurs clients européens.

Analyse des scénarios

Réglementation des données personnelles

Avant d’étudier les différents scénarios, il convient de rappeler que la réglementation des données personnelles en Europe est en pleine mutation. En effet, suite à la directive de 1995 dans chaque pays de l’Union, le vieux continent attend une nouvelle réglementation européenne dans les mois à venir. Cette réglementation sera applicable telle quelle car ce type de procédure évite de devoir passer par les systèmes législatifs de chaque État membre. Un des mérites sera de créer une vraie homogénéité de la protection des données personnelles à travers toute l’Union Européenne. Des exigences et contraintes particulières seront imposées aux entreprises, comme la notification de perte/attaque de données. En France, jusqu’à présent, seuls les opérateurs de communications électroniques y sont assujettis.

Scénario 1 : statu quo

Dans ce premier scénario, les régulateurs européens et la Commission trouvent un terrain de convergence rapide avec les États-Unis pour revenir à une situation similaire à celle d’avant l’arrêt de la CJUE, un Safe Harbor bis.
Ce scénario est sans doute le plus probable d’un point de vue politique pour ne pas créer trop de turbulence dans le domaine des technologies de l’information à un moment où la croissance mondiale est atone, où les deux zones négocient un nouvel accord économique transatlantique, et où les tensions avec le reste du monde sont exacerbées. Si l’angle politique va clairement dans un sens du consensus, le risque juridique va rendre toute décision délicate. En effet, comment va-t-il être possible de justifier un statu quo suite à une telle décision de la CJUE ? L’implication de Max Schremps a créé un élan en Europe où de nombreuses personnes utiliseront les circuits juridiques pour mettre en cause tout futur accord.
Au regard des premières réactions des différentes agences nationales de protection des données personnelles (les CNILs à travers l’Europe), on ne peut que confirmer à la fois cette volonté de trouver une solution rapidement tout en étant conscient de l’extrême difficulté juridique.
Si un tel scénario devait se confirmer, il n’y aurait pas d’implication particulière pour les entreprises et les utilisateurs de l’Internet par rapport à la situation d’avant le 6 octobre 2015.

Scénario 2 : utiliser les procédures prévues pour les pays non conformes à la réglementation de l’UE

A la lecture des communiqués des différents régulateurs européens, il apparait très clairement que nous sommes déjà dans le scénario 2. A savoir qu’une entreprise qui souhaite transférer des données personnelles vers les États-Unis doit respecter les procédures édictées pour les pays où l’UE considère que les protections ne sont pas suffisantes. Les règles sont explicites et détaillées. Pour la France, il suffit d’aller sur le site de la CNIL et de remplir les documents [3]. Il y a néanmoins une petite pointe d’ironie dans cette suggestion : il faut d’abord identifier le cas dans lequel l’entreprise se trouve et remplir des documents appropriés. Pour information, il existe des contrats types pour gérer les aspects transferts de données personnelles entre sociétés européennes et leurs sous-traitants hors UE.
Autre point : cette démarche devra être réalisée dans chaque pays de l’UE où l’entreprise récupère des données personnelles transférées aux États-Unis.
Ce scénario est non seulement hautement probable, mais il semble être le seul à court terme compte tenu des motivations de la décision de la Cour du 6 octobre 2015. En revanche, il est clairement complexe à maintenir en l’État.

Scénario 3 : interdiction total de transférer des données personnelles vers les États-Unis ou vers une société américaine

C’est le scénario de l’arrêt de la globalisation. Même s’il semble totalement aberrant, il convient de l’avoir en tête et pour les raisons suivantes. Tout d’abord, l’arrêt de la CJUE du 6 octobre est en partie motivé par les révélations de l’affaire Snowden, à savoir le traitement massif de données par les pouvoir publics américaines. Parallèlement, le cas Microsoft contre FBI est toujours en cours concernant l’accès à des emails hébergés par Microsoft en Irlande. Si le jugement du premier appel devait être confirmé, il ira très certainement au niveau de la Cour Suprême. Les autres sociétés high-tech ont bien compris le risque et soutiennent toutes Microsoft [4]. En effet, c’est tout l’enjeu du Cloud et l’hégémonie américaine sur l’informatique mondiale qui est en jeu.
La confirmation de la jurisprudence Microsoft couplée à l’arrêt de la Cour européenne impliquerait que, même si une entreprise américaine mettait un Data Center en Europe via une filiale européenne, elle ne pourrait pas garantir aux autorités européennes le non accès à ces données par un État tiers, à savoir les États-Unis. Vous rajoutez à cela les pénalités de la future réglementation européenne, et toutes les entreprises américaines et les entreprises européennes utilisant leurs services risqueront jusqu’à 2% ou 5% de leur chiffre d’affaires [5].

Analyse d’impacts pour les sociétés européennes

Pour les sociétés européennes, on peut estimer qu’il y a plusieurs situations (cette liste n’est pas exhaustive) :
 Aucun lien avec les États-Unis d’un point de vue données personnelles (non traité ici car totalement évident) ;
 Sous-traitance auprès de filiales de sociétés américaines de certaines données personnelles sans information sur la localisation des datacenters ;
 Utilisation de Saas (software-as-a-serice) américains.

Sous-traitance auprès de filiales de groupes américains

Qui s’est déjà soucié de savoir où étaient les serveurs des cabinets d’audit, des prestataires de paye, des bases de données marketing, des bases de corrélation de visites de sites web, des bases de notation de crédit pour les particuliers, etc. ? Certainement peu de gens.

En fonction des scénarios précédents, voici ce que l’on peut prévoir :
 Scénario 1 : pas de changement ;
 Scénario 2 : l’entreprise européenne va devoir s’assurer que ses sous-traitants ne transfèrent aucune donnée vers les États-Unis, sinon il conviendra de faire les démarches nécessaires auprès des autorités étatiques pour obtenir l’autorisation de transfert. Ceci est aussi vrai pour les données de sauvegarde ;
 Scénario 3 : il va falloir très sérieusement envisager de trouver de nouveaux fournisseurs.

Avec le monde cloudisé, cette analyse va devenir réellement complexe. En effet, comment savoir où sont les données d’un prestataire ? Le sait-il lui-même ?

Utilisation de Saas américains

Il y a de plus en plus de sociétés et de particuliers qui utilisent des applications en ligne dont les maisons mères et les hébergements sont réalisés outre-Atlantique. Cela peut aller du stockage de photos personnelles à l’outsourcing de toutes les applications bureautiques. Dans ce dernier cas, il y a très clairement des données personnelles d’employés ne seraient-ce que les noms et prénoms et certains attributs pour les authentifications aux services (sans parler d’éventuelles géolocalisations). On peut aussi imaginer le cas de logiciels de relation clients en mode Saas. Y sont stockées toutes les bases de données personnelles sur les clients.

Dans cette situation, il convient de prendre les devants. A savoir (1) faire un état des lieux des différents Saas utilisés (si ce n’est déjà fait, et ne pas hésiter à responsabiliser les directions qui auraient pu souscrire des services indépendamment des DSI), (2) demander à tous les fournisseurs de Saas, qu’ils soient européens ou américains, où sont stockées les données (principales et sauvegardes), (3) demander aux autorités nationales la démarche à suivre (grosso modo scénario 1, 2 ou 3). Ces suggestions peuvent sembler trop exigeantes. C’est vrai à l’heure actuelle où les sanctions financières contre les entités qui ne respectent les règles sur les données personnelles sont plutôt faibles [6]. Mais il vaut mieux préparer son organisation aux règles européennes qui arrivent. Ces dernières prévoient des sanctions bien plus fortes.
Conclusion : après les barrières réglementaires, les barrières des données

Les entreprises du Web dont le business model est basé sur la publicité créent de la valeur sur l’exploitation des données personnelles qu’elles attirent et participent à créer. La plupart de ces sociétés sont aux États-Unis. Or, ce pays ne compte que 300 millions d’habitants, l’Union Européenne plus de 500 millions et le reste du monde plus de 6 milliards. L’enjeu sur les données personnelles est donc au cœur de la révolution de l’information et de la globalisation.

Le XXème siècle avait vu tomber un grand nombre de taxes douanières sur les produits. Mais les complexifications administratives et réglementaires avaient créé de nouvelles barrières. Le XXIème est en train de voir émerger la protection des données. Il ne serait pas étonnant d’observer d’autres régions du monde rentrer dans le mouvement. C’est d’ailleurs déjà le cas en Russie et en Chine.


[1] http://www.cnil.fr/vos-obligations/transfert-de-donnees-hors-ue/safe-harbor/
[2] http://www.hatch.senate.gov/public/index.cfm/2015/2/hatch-coons-and-heller-introduce-bipartisan-leads-act-to-protect-data-stored-abroad
[3] http://www.cnil.fr/vos-obligations/transfert-de-donnees-hors-ue/quelles-formalites/
[4] http://www.techtimes.com/articles/22265/20141216/tech-giants-sign-amicus-briefs-in-microsofts-ireland-email-warrant-case.htm
[5] Le niveau de sanction n’a pas été encore finalisé dans la nouvelle réglementation.
[6] Les sanctions de la CNIL sont de quelques milliers d’euros avec un plafond à 150 000 euros et 300 000 euros en cas de récidive.


Voir les articles précédents

    

Voir les articles suivants