Un an plus tard, les entreprises sont toujours à la recherche de réponses
8 min read
Pour les pays de l’Union européenne, trouver un moyen de transférer légalement des données personnelles vers les États-Unis est un problème sans réponse facile.
Il y a eu beaucoup de discussions, de conseils juridiques, de correctifs techniques et de solutions à court terme, mais aucun ne peut résoudre le problème sous-jacent – que les lois de l’UE et des États-Unis sont fondamentalement incompatibles.
Il y a peu d’appétit aux États-Unis en ce moment pour dépenser de l’argent et du capital politique pour réformer les lois de surveillance américaines afin de protéger la vie privée des citoyens non américains.
UNE étude commandé par le Parlement européen Commission des libertés civiles, de la justice et des affaires intérieures a défini une feuille de route sur la manière dont les réformes pourraient être réalisées à l’avenir.
Mais pour l’instant, les entreprises ont deux choix : soit effectuer des évaluations de risques coûteuses dans l’espoir de montrer qu’elles font de réels efforts pour se conformer au règlement général européen sur la protection des données (RGPD), soit s’assurer qu’elles conservent leurs données dans des centres de données européens qui sont à l’abri de la portée extraterritoriale de la loi américaine.
De nombreuses entreprises de taille moyenne choisissent cette dernière option, a déclaré Max Schrems, l’avocat autrichien dont les plaintes contre Facebook ont conduit à la Cour de justice européenne. annulant l’accord de partage de données UE-États-Unis, Privacy Shield, il y a un an.
C’est au mieux une solution à court terme, a déclaré Schrems dans un débat en ligne avec un avocat en protection des données Eduardo Ustaran, partenaire chez Hogan Lovells.
Se familiariser avec les lois mondiales sur la surveillance est une tâche presque impossible, a déclaré Ustaran.
Des milliers d’universitaires et d’activistes ont passé des années à étudier les lois de surveillance américaines et doivent encore les faire correspondre aux exigences de l’UE en matière de protection des données.
Mais les États-Unis ne sont qu’un seul pays. “Qu’en est-il du reste du monde?” il a dit. « Qu’en est-il des pays où nous ne parlons pas leur langue et où nous n’avons pas d’universitaires qui analysent la loi ? »
En réalité, la plupart des pays avec lesquels les organisations de l’UE pourraient vouloir partager des données auront des lois qui permettent aux gouvernements d’accéder aux données. Le point de départ, a déclaré Ustaran, consiste à trouver un moyen de mieux protéger les données lors de leur transfert.
Les grands fournisseurs de services technologiques et cloud se tournent vers des moyens juridiques créatifs pour protéger la confidentialité des données lorsqu’elles sont hébergées ou partagées en dehors de l’UE.
le Comité européen de la protection des données (EDPB) publié recommandations en juillet 2020 informant les entreprises, par exemple, qu’elles peuvent partager des données avec des pays ayant une « législation problématique » si elles n’ont aucune raison de croire qu’elles seront affectées par celle-ci dans la pratique.
Et la Commission européenne (CE) a publié des clauses contractuelles types (CCS) mises à jour, lequel a donné une plus grande sécurité juridique aux entreprises européennes qui souhaitent utiliser ces accords contractuels pour partager des données à l’étranger.
« L’EDPB a été, je pense, très utile en fournissant un vaste menu de mesures à entreprendre et les nouveaux SCC ont des dispositions spécifiques indiquant ce que les organisations doivent faire pour faire face à ces problèmes », a déclaré Ustaran.
En conséquence, les entreprises technologiques mettent en place des processus transparents sur la manière de traiter les demandes des gouvernements concernant les données de leurs clients.
Cela implique souvent de mettre la demande en attente afin qu’un organe judiciaire puisse examiner la question et de donner autant d’informations que possible aux clients concernés.
“Je vois cela se produire tout le temps – déployer des politiques globales internes traitant de la façon de réagir aux demandes d’accès du gouvernement”, a-t-il ajouté.
Corrections techniques ou huile de serpent ?
Pour Schrems, les correctifs techniques ne peuvent pas résoudre ce qui est un problème insoluble.
Microsoft ou Google, par exemple, peuvent fournir des services pour crypter les données lors de leur passage de l’UE aux États-Unis, et sont capables de stocker les données sous forme cryptée sur les serveurs américains.
Mais si le gouvernement américain demande d’examiner les données en vertu d’un mandat de la FISA, les entreprises n’ont d’autre choix que d’obliger.
Ustaran a déclaré qu’il s’agissait pour les entreprises technologiques de faire un effort supplémentaire pour résister aux demandes de données du gouvernement.
«Ils feront de leur mieux pour tenter de se soustraire aux obligations et de contester. Tout est donc une question d’effort », a-t-il déclaré. « Il peut être possible de rejeter une demande.
Schrems a fait valoir que pour la plupart des entreprises, la solution la plus simple – pour l’instant – sera simplement d’héberger leurs données en Europe.
Il n’a fallu que quelques minutes à sa propre organisation de campagne, nyob, pour évaluer sa responsabilité après la décision Schrems II qui a fait tomber le Privacy Shield.
Nyob conserve toutes ses données dans un centre de données en Allemagne et ne fait appel à aucun sous-traitant, il n’y avait donc aucun risque que les données quittent le pays.
Schrems a fait valoir que pour de nombreuses entreprises, il serait financièrement judicieux de déplacer leurs données vers l’Europe plutôt que de payer des honoraires d’avocat pour une solution de contournement qui sera inévitablement annulée si le partage de données UE-États-Unis est porté devant la Cour de justice européenne pour une troisième fois.
“Vous pouvez payer à un cabinet d’avocats des dizaines de milliers d’euros pour produire des papiers qui seront déchiquetés la prochaine fois qu’il ira au tribunal, ou vous pouvez investir le même argent dans le déplacement de vos systèmes”, a-t-il déclaré.
Pour les entreprises qui ne sont pas susceptibles de faire l’objet de demandes de données au titre de la FISA, les SCC pourraient également être une réponse.
Par exemple, si une société hôtelière souhaite envoyer les détails de ses clients à une succursale aux États-Unis, un SCC répondra aux exigences de protection des données de l’UE.
Il existe certaines situations dans lesquelles les CSC et des mesures similaires peuvent s’appliquer à des secteurs industriels particuliers dans des situations particulières, a déclaré Schrems.
“Mais c’est distinct des grandes entreprises qui sont simplement les principaux moteurs ou les principaux assistants de la surveillance du gouvernement américain, où je pense qu’il est clair que nous n’avons pas de réponse pour le moment du moins”, a-t-il ajouté.
Ustaran a déclaré que pour les entreprises multinationales, garder leurs données locales n’est pas une réponse. Ils souhaitent stocker les données localement afin qu’elles soient accessibles rapidement par les clients dans une partie du monde, mais souhaitent également que les mêmes données soient disponibles dans le monde entier.
Alors que les entreprises technologiques américaines proposent d’héberger les données de leurs clients dans des centres de données européens, la question de savoir si cela est suffisant pour protéger leurs données conformément aux normes requises par le RGPD est discutable.
Les entreprises technologiques peuvent aller plus loin en créant des structures juridiques garantissant que leurs opérations en Europe ne sont pas soumises à des mandats américains FISA car la société mère est une société américaine.
“Vous avez besoin d’une barrière factuelle légale où vous pouvez simplement, en tant qu’entreprise américaine, dire, je suis vraiment désolé, gouvernement américain, que les données se trouvent quelque part en Europe, et je ne peux pas les atteindre”, a déclaré Schrems.
Pour Ustaran, il ne s’agit pas de « jouer à des jeux légaux » en hébergeant un serveur dans un pays ou un autre, il s’agit de prendre des mesures pratiques pour protéger la vie privée.
La question en jeu n’est pas de savoir si les gouvernements peuvent accéder aux données dans leur juridiction, mais s’ils le font de manière massive et sans discrimination.
“Nous méritons tous d’être protégés des excès de l’État”, a déclaré Ustaran.
Mais la manière d’y parvenir est multiforme – en partie grâce à des solutions juridiques, en partie à travers la façon dont les organisations gèrent les données, et en partie grâce à une technologie innovante.
Une idée en discussion, par exemple, est de trouver un moyen de crypter les données et de garantir que la clé de cryptage reste en Europe lorsque les données sont exportées vers d’autres pays.
Si l’importateur de données est éloigné d’au moins une étape du détenteur de la clé de chiffrement, cela peut fournir un outil plus défendable pour protéger les données de l’attention indésirable du gouvernement.
Schrems a déclaré qu’il n’avait pas encore vu de technologie permettant à un fournisseur de services cloud de traiter des données sans avoir accès à la clé de cryptage, à moins qu’il ne stocke simplement des données d’archive.
« À long terme, nous avons besoin d’une sorte d’« accord de non-espionnage » entre les pays occidentaux – assurez-vous qu’il y a une libre circulation des données sans avoir à vous inquiéter si vos données vont à l’étranger », a-t-il déclaré.
Pour Ustaran, le stockage des données localement ne peut pas être la solution. Après tout, a-t-il dit, les grandes entreprises technologiques américaines ont des opérations en Europe qui les soumettent au RGPD.
« Pourquoi limiter les transferts à ces organisations qui sont déjà soumises au régime même que nous essayons de leur appliquer contractuellement ? il a dit.
Il peut exister des moyens, par le biais de contrats ou en établissant des politiques, de résoudre la tension entre la législation européenne sur la protection des données et les lois d’autres juridictions qui s’appliquent aux multinationales.
Schrems a déclaré que le débat sur les transferts de données lui rappelait le débat sur le changement climatique. “C’est comme, vous savez, la réalité est juste que nous avons tous besoin d’une voiture, et nous devons conduire et il y a du pétrole, et c’est ainsi que le monde fonctionne”, a-t-il déclaré. “Et puis il y a une petite Greta Thunberg qui dit, les gars, vous savez quoi, ça ne va pas fonctionner comme ça pour toujours.”
