Tags :
L'autorité française de protection des données déclare qu'elle ne peut pas confier des données personnelles européennes à de grandes entreprises américaines du secteur de l'internet, même si elles les conservent dans l'UE
Par Glyn Moody – Privacy News Online – 15/10/2020
Titre original : « French data protection authority says it can’t trust top US Internet companies with EU personal data – even if they keep it in the EU » – Traduction française : Erick Mascart – 14/02/2021
Retour à l'accueil de la catégorie...
—
Le mois dernier, ce blog a examiné les répercussions persistantes de la décision de la plus haute juridiction de l'UE, la Cour de justice de l'Union européenne (CJUE), d'annuler l'accord du bouclier de protection de la vie privée – le « Privacy Shield » – qui rendait légal la plupart des flux d'informations personnelles de l'UE vers les États-Unis. Le militant de la protection de la vie privée qui a porté plainte contre Facebook il y a sept ans, Max Schrems, se bat toujours pour que la Commission irlandaise de protection des données (DPC) examine si Facebook respecte le règlement général de l'UE sur la protection des données (RGPD). Comme l'a écrit Privacy News Online, au lieu de répondre à la plainte initiale de M. Schrems, la DPC a ouvert une deuxième enquête – une enquête qui, de plus, est largement hors de propos, pour les raisons expliquées le mois dernier. L'organisation de Schrems, noyb.eu, a maintenant engagé une nouvelle action en justice contre le DPC, et a obtenu un contrôle judiciaire des actions du DPC par la Haute Cour irlandaise. Schrems espère que l'audience aura lieu d'ici la fin de l'année, et déclare : « Le DPC a déjà promis à la Cour en 2015 qu'il se prononcera rapidement. Il semble que nous ayons besoin d'un jugement clair pour obliger le DPC à faire son travail ».
Un « jugement clair » pourrait rendre beaucoup plus difficile le transfert de données personnelles de l'UE vers les États-Unis, non seulement pour Facebook, mais aussi pour de nombreuses autres grandes sociétés Internet américaines. Mais même sans cet arrêt, la décision de la CJUE d'annuler le l’accord du bouclier de protection de la vie privée a déjà entraîné un développement majeur en France. En décembre 2019, le gouvernement français a annoncé la création d'une plate-forme de données sur la santé – Health Data Hub –, qui regrouperait de nombreuses données personnelles sur la santé des citoyens français dans une seule et même base de données. L'espoir est qu'une telle plate-forme permettra à la recherche sur les maladies, leurs remèdes et leurs traitements de progresser plus efficacement.
La création d'une base de données massive de ces données sensibles soulève d'importantes questions en matière de protection de la vie privée. Les choses n'ont pas été facilitées lorsque le gouvernement français a annoncé qu'il confiait le contrat d'exploitation de la base de données à Microsoft, plutôt qu'à une entreprise locale. Lorsque la CJUE a invalidé l’accord du bouclier de la vie privée, 18 organisations françaises, dont un groupe représentant la communauté française du logiciel libre, le CNLL, ont demandé l'arrêt du transfert aux États-Unis des données françaises sur la santé détenues par Microsoft. Dans un premier temps, les autorités françaises ont refusé d'examiner cette idée. Mais les 18 organisations ont fait une autre tentative, cette fois-ci avec plus de succès. En raison de la gravité de la question, l'autorité nationale française de protection des données, la CNIL, a produit un rapport explorant les questions juridiques et techniques de l'utilisation de sociétés américaines pour stocker des données personnelles françaises.
Elle a souligné qu'à l'origine, les transferts de Microsoft de la France vers les États-Unis étaient autorisés par l'accord « Privacy Shield ». Cependant, après la dernière décision de la CJUE, ce n'est plus le cas. Comme l'expliquait un précédent billet de blog, même s'il existe une alternative aux transferts précédemment autorisés par l’accord du Privacy Shield, sous la forme de clauses contractuelles types (SCC), il faut toujours qu'il soit clair que les données personnelles des citoyens de l'UE seront protégées aux États-Unis. Pour les grandes entreprises comme Facebook et Microsoft, ce n'est pas le cas. Elles sont toutes deux soumises à la section 703 du FISA Amendments Act, qui autorise la collecte de renseignements étrangers auprès de non-Américains situés en dehors des États-Unis. Selon la CNIL, cela signifie qu'il n'y a pas de moyen légal pour Microsoft de transférer des données de santé françaises aux États-Unis.
Cette conclusion n'est pas surprenante en soi : la plupart des experts en matière de vie privée sont d'accord. Mais le document de la CNIL va encore plus loin. Il estime que la portée de la FISA est telle que même si Microsoft conservait toutes les données sanitaires françaises au sein de l'UE, le gouvernement américain pourrait toujours exiger qu'elles soient envoyées de l'autre côté de l'Atlantique. En conséquence, la CNIL est arrivée à une conclusion novatrice : le Health Data Hub ne devrait pas être géré par Microsoft – ni par aucune autre société américaine. Elle a recommandé que le gouvernement français trouve une autre solution auprès d'une société européenne. Elle reconnaît que le passage de Microsoft à une nouvelle entreprise européenne n'est pas une opération banale, et suggère donc que les données restent chez Microsoft pendant un peu plus longtemps, malgré les risques pour la vie privée. Elle justifie cette décision par le fait qu'une migration précipitée pourrait causer plus de dommages aux citoyens français que le risque de surveillance par le gouvernement américain. Le conseiller juridique du gouvernement français, le Conseil d'État, a un avis similaire.
La CNIL souligne que ses conclusions s'appliquent non seulement à Microsoft qui héberge le Health Data Hub, mais aussi à tous les autres types de données de santé françaises détenues sur des systèmes gérés par des entreprises américaines. Par conséquent, elle suggère que toutes ces données soient transférées à des sociétés d'hébergement de l'UE. Par extension, les conclusions s'appliqueraient à tous les types de données personnelles de l'UE. Pour des entreprises comme Facebook, il sera clairement plus difficile de transférer leurs données à des entreprises locales de l'UE que pour le Health Data Hub. Mais la CNIL a trouvé une solution intéressante qui pourrait bien s'avérer être la voie à suivre. Elle suggère de créer une sorte de partenariat avec une entreprise européenne qui a une licence d'accès à toutes les données européennes d'une société américaine – par exemple, celles de Facebook – et qui peut les utiliser pour fournir un service similaire dans l'UE. C'est une approche compliquée, que des entreprises comme Facebook détesteront sans doute. Mais si d'autres pays de l'UE suivent l'exemple de la France, les géants américains de l'Internet n'auront peut-être pas beaucoup de choix.
Crédit image : La Grande Arche de la Défense and the Yaacov Agam Fountain (1977) - Coldcreation - Wikimédia
Pages dans la catégorie :