Transfert des données vers les Etats-Unis, le bout du tunnel ?
Transfert des données vers les Etats-Unis, le bout du tunnel ?
Par Florent Cochard
La communauté enseignante ne sait pas toujours si les solutions informatiques américaines respectent les règles européennes. Peut-on utiliser Google, Microsoft ? Le ciel s'est éclairci sur ce sujet. Par une décision du 10 juillet 2023, la Commission européenne constate que les États-Unis assurent un niveau de protection des données personnelles équivalent à celui de l’Union européenne. Les transferts de données personnelles depuis l'UE vers certains organismes étasuniens peuvent désormais s’effectuer librement, sans encadrement spécifique. Mais ce ne fut pas un long fleuve tranquille.
Microsoft et Google accusés de tous les maux
Les origines
L’histoire avait bien commencé : le Privacy Shield (Bouclier de protection des données en français), était un mécanisme d'auto-certification pour les sociétés établies aux État-Unis d'Amérique. Ce dispositif avait été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles transférées depuis une entité européenne vers des sociétés établies aux États-Unis.
Le Privacy Shield UE-États-Unis entrait en vigueur le 1er août 2016. Victoire, clamaient les partisans de la libre circulation des données. Mais la partie n’était pas jouée .
Marche arrière toute !
Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) rendait un arrêt majeur, dit « Schrems II », invalidant le régime de transferts de données entre l’Union européenne et les États-Unis validé par le Privacy shield. Les conséquences de cet arrêt étaient nombreuses pour les organismes qui souhaitent transférer des données.
Dans la foulée, les solutions américaines dans les administrations françaises étaient remises en cause. Le directeur interministériel du numérique (Dnium), Nadi Bou Hanna, publiait une circulaire le 15 septembre 2021 interdisant aux ministères d'utiliser Microsoft 365 (suite bureautique hébergée dans le cloud) sauf pour les projets de migration déjà très avancés.
Un cloud oui, mais bien de chez nous !
Des définitions d’un cloud souverain sont formulées. Un cloud est souverain si et seulement si :
- Le fournisseur cloud est une entreprise française et cette entreprise est soumise au droit français
- Le fournisseur cloud héberge ses données dans des datacenters localisés sur le sol français
- Chaque maillon de la chaîne du traitement des données est soumis à la juridiction française
Autrement dit, les solutions des GAFAM comme Microsoft One Drive ou Google Drive ne pouvaient pas être considérées comme souveraines. Et ce, même si elles hébergent leurs données sur le sol français : elles sont soumises à la législation étasunienne.
De même, une entreprise française qui hébergeait des données dans un autre pays n’était pas considérée comme une solution souveraine.
Enfin, une entreprise française qui hébergeait les données de ses clients en France n’était pas nécessairement souveraine ! Par exemple, un fournisseur cloud français, qui hébergeait ses données en France, mais qui utilisait une solution de chiffrement étasunienne pour protéger les données de ses clients, n’était pas considérée comme souveraine.
Heureusement, la CNIL préconisait une période de transition afin de développer une solution locale. Ouf…
Retournement de situation
10 juillet 2023, la fumée blanche sort enfin de la Commission européenne
La Commission européenne a adopté une nouvelle décision d’adéquation concernant les États-Unis. Elle a validé, par une décision d’adéquation du 10 juillet 2023, prise en application de l’article 45 du RGPD, un nouvel accord – dit Data Protection Framework – passé avec le gouvernement des États-Unis.
Par cette décision, la Commission décide que les modifications apportées par les États-Unis à leur législation nationale permettent désormais d’assurer un niveau de protection adéquat des données personnelles transférées de l'UE vers les organisations situées aux États-Unis lorsqu’ils font la démarche de respecter ce nouveau « cadre de protection des données ».
La liste de ces organismes est gérée et publiée par le ministère américain du commerce.
Enfin on y voit clair, et c’est une bonne nouvelle
Les transferts de données personnelles depuis l'Union européenne vers les organismes figurant sur cette liste peuvent donc s’effectuer librement, sans encadrement spécifique par des « clauses contractuelles types » ou un autre instrument de transfert.
« Le nouveau cadre UE-États-Unis de protection des données personnelles garantira la sécurité des flux de données pour les Européens et apportera une sécurité juridique aux entreprises des deux côtés de l'Atlantique », s'est félicitée Ursula von der Leyen, la présidente de la Commission européenne. De son côté, Joe Biden a salué une décision qui « reflète », selon lui, « l'engagement commun » des deux partenaires envers « la protection forte des données personnelles ».
« Les flux de données sont à la base des exportations de services de l'UE vers les États-Unis, qui s'élèvent à 1 000 milliards d'euros par an, et cette décision donnera aux entreprises plus de confiance pour mener leurs activités et contribuera à la croissance de nos économies », a commenté, pour sa part, Cecilia Bonefeld-Dahl, de DigitalEurope, une autre organisation du secteur.
La riposte déjà engagée
La riposte à cette décision ne s’est pas fait attendre, notamment par la voix de NOYB, association autrichienne de défense de la vie privée, et de son président, le militant Max Schrems. Selon eux, ce « prétendu » nouvel accord transatlantique est « en grande partie une copie du bouclier de protection des données (Privacy Shield, ndlr) qui a échoué (…) La législation américaine et l’approche adoptée par l’UE n’ont guère changé ».
Il faut s’attendre à ce que la CJUE soit à nouveau saisie au début de l’année prochaine, avec une possible suspension de l’accord le temps de son examen.
Conclusion
« Vingt fois sur le métier remettez votre ouvrage. Polissez-le sans cesse, et le repolissez… ». Rarement cet extrait d’un poème de la fin du XVIIe siècle, de Boileau-Despréaux, n’a eu une telle résonance si l’on en juge par le caractère laborieux des discussions entamées entre l’Union européenne (UE) et les États-Unis il y a vingt-cinq ans !