En direct
Best of
Best of du 9 au 15 janvier
En direct
ça vient d'être publié
pépites > Politique
« Cher Tayyip »
Emmanuel Macron et Recep Tayyip Erdogan s'écrivent pour apaiser les tensions
il y a 2 jours 8 heures
pépites > Justice
Révélations de Mediapart
Justice : enquête ouverte contre Nicolas Sarkozy pour « trafic d’influence » dans le cadre d’activités de conseil pour le groupe russe Reso-Garantia
il y a 2 jours 13 heures
pépites > Politique
Jupiter
Nouvelle colère d'Emmanuel Macron, cette fois contre certains ministres
il y a 2 jours 13 heures
décryptage > International
Démocratie américaine en danger

Assaut sur le Capitole : autopsie de trois jours de folies américaines

il y a 2 jours 14 heures
pépite vidéo > Santé
Eviter la pénurie
Le PDG de Moderna, Stéphane Bancel, alerte sur la question de l'approvisionnement des vaccins pour l'hiver prochain
il y a 2 jours 15 heures
décryptage > International
Université de Bogazici

Révolte étudiante à Istanbul ou les prémices d’un printemps turc

il y a 2 jours 15 heures
pépites > Santé
Coronavirus
Bruno Le Maire et Gabriel Attal indiquent qu'un confinement est toujours possible
il y a 2 jours 16 heures
décryptage > Santé
Espoir

Une étude démontre que les crises cardiaques pourraient être détectées des années à l’avance en surveillant le niveau de calcium dans les artères

il y a 2 jours 16 heures
décryptage > Environnement
instrumentalisation judiciaire

Procès contre l’inaction de l’Etat : l’affaire du siècle est aussi la pire imaginable pour... le climat lui-même

il y a 2 jours 17 heures
décryptage > Santé
Urgence sanitaire

Face à la Covid-19, finissons-en avec l’amateurisme public ! Le diagnostic implacable de fonctionnaires de la santé

il y a 2 jours 17 heures
rendez-vous > Consommation
Atlantic-tac
Quand les billes précisent le moment et quand les disques détournent les heures : c’est l’actualité hivernale des montres
il y a 2 jours 11 heures
pépites > Santé
Pénurie
Le maire de Neuilly-sur-Seine déplore que les quantités de vaccins annoncées ne soient pas au rendez-vous
il y a 2 jours 13 heures
pépites > Santé
Coronavirus
La présence du virus dans les eaux usées de l'Ile-de-France en forte augmentation
il y a 2 jours 14 heures
pépites > Santé
Bug
Après avoir été volontairement fermé hier le site Santé.fr de rendez-vous pour les vaccinations est ouvert en version simplifiée aujourd'hui
il y a 2 jours 14 heures
décryptage > France
Couvre-feu à 18h

La fatigue de l’épidémie, cet élément historiquement documenté, qu’ignore superbement le gouvernement français

il y a 2 jours 15 heures
décryptage > International
Guerre de l'information

A propos d’infox : la tentation de Joe Biden de suivre la politique des néoconservateurs

il y a 2 jours 15 heures
décryptage > Santé
Mesures efficaces contre le virus

Covid-19 : les modèles d’efficacité sanitaire asiatiques, impossibles à reproduire en Europe ? 5 arguments pour démonter une imposture intellectuelle

il y a 2 jours 16 heures
décryptage > Economie
Impact économique de la pandémie

Records à l’export : la Chine est-elle en train de gagner une bataille... ou la guerre des puissances commerciales ?

il y a 2 jours 17 heures
décryptage > France
"Je ne livre pas les Juifs"

Il paraît qu'on ne peut pas accueillir toute la misère du monde. Mais qui est responsable de toute la misère du monde ?

il y a 2 jours 17 heures
pépites > Politique
Voile
Aurore Bergé dépose un amendement interdisant le port du voile aux petites filles
il y a 2 jours 17 heures
© REUTERS / Yves Herman
Europe souveraineté numérique
© REUTERS / Yves Herman
Europe souveraineté numérique
Privacy Shield

Construire une souveraineté numérique européenne

Publié le 02 septembre 2020
La Cour de Justice de l’Union Européenne, en juillet dernier, a invalidé le Privacy Shield, adopté en 2016 par la Commission européenne pour remplacer le Safe Harbor. Ce dispositif était censé garantir un standard de traitement conforme aux exigences du Régime Général de Protection des Données (RGPD) aux informations stockées par des hébergeurs américains, mais la CJUE a noté que cela n’était en réalité pas le cas.
Florian Gerard-Mercier
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Florian Gerard-Mercier est directeur des études du Millénaire, think-tank spécialisé sur les politiques publiques et travaillant à la refondation de la droite.
Voir la bio
Geoffroy de Neuville
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Geoffroy de Neuville est expert auprès du Millénaire, doctorant en droit international.
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
La Cour de Justice de l’Union Européenne, en juillet dernier, a invalidé le Privacy Shield, adopté en 2016 par la Commission européenne pour remplacer le Safe Harbor. Ce dispositif était censé garantir un standard de traitement conforme aux exigences du Régime Général de Protection des Données (RGPD) aux informations stockées par des hébergeurs américains, mais la CJUE a noté que cela n’était en réalité pas le cas.

Alors que Donald Trump a signé des décrets présidentiels interdisant l’application TikTok aux Etats-Unis si elle n’est pas rachetée par une entreprise américaine d’ici au 20 septembre (Microsoft est déjà sur les rangs), et que les dirigeants des GAFA ont passé le 30 Juillet une audition difficile face au Congrès américain pour leurs pratiques anticoncurrentielles, de ce côté-ci de l’Atlantique, la Cour de Justice de l’Union Européenne a également tapé fort du poing sur la table le 16 juillet dernier dans l’affaire dite « Shrems ». Elle a en effet invalidé le Privacy Shield, adopté en 2016 par la Commission européenne pour remplacer le Safe Harbor – déjà très critiqué. Ce dispositif était censé garantir un standard de traitement conforme aux exigences du Régime Général de Protection des Données (RGPD) aux informations stockées par des hébergeurs américains, mais la CJUE a noté que cela n’était en réalité pas le cas.

Le Privacy Shield, un projet en réalité mort-né ?

Les juges de la CJUE avaient dans leur ligne de mire deux cibles. En premier lieu, les garanties de protection quant au traitement général (accès et usage) des données à caractère personnel par la règlementation américaine qui ne répondaient plus aux standards minimums européens. Les programmes américains de surveillance des données utilisateur explicitement dénoncés dans l’arrêt excèdent le « strict nécessaire » selon les dires de la Cour, rendant caduc l’argument d’autorité de la « sécurité nationale » et de l’intérêt public qui étaient alors brandis pour justifier ces ingérences douteuses. En second lieu, l’insuffisante protection juridictionnelle des individus en cas de violation de leurs droits à la protection de leurs données. L’indépendance douteuse du médiateur américain chargé des litiges n’était plus assurée et privait alors le requérant de garanties procédurales équivalentes à celles requises par l’UE.

Les transferts de données à destination des Etats-Unis sur le fondement du Privacy Shield sont donc désormais illicites. L’invalidation du Privacy Shield est ainsi un séisme juridique, mais aussi politique en envoyant un signal fort aux géants de la tech américaines. Néanmoins, si l’on souhaite éviter une redite de l’échec du passage du Privacy shield pour remplacer le Safe harbour, puis du retoquage récent du Privacy shield, il convient d’adopter une approche plus globale et d’organiser une riposte européenne à plusieurs niveaux.

Le premier problème est d’ordre structurel puisqu’il réside dans notre hyper dépendance aux services numériques proposés par des entreprises de nationalité américaine : Google, Amazon, Facebook, Apple et Microsoft. Or, ces services, hébergés aux USA par des entreprises américaines, se trouvent logiquement soumis à l’ordre juridique américain. Intrinsèquement, la protection des données européennes traitées par des services américains aux USA ne serait donc possible que si les USA renonçaient volontairement à leur souveraineté pour aligner leur droit sur celui européen. C’est ce que semblait naïvement espérer imposer le Privacy Shield, et c’est pour cela qu’il s’est logiquement soldé par un échec cuisant.

Cet échec n’est pas étonnant : rétrospectivement, on peut s’interroger sur l’authenticité des « bons sentiments » du législateur américain quant à sa volonté d’apporter des protections équivalentes au RGPD : 2 mois avant son entrée en vigueur le 25 mai 2018, le parlement américain se postait en contre-offensive en promulguant le Cloud Act lequel exige que

Le second problème pour la souveraineté numérique européenne est, si l’on s’en donne les moyens, d’ordre conjoncturel : c’est le lieu physique d’hébergement et de traitement des données. En effet, si les données européennes traitées par des services américains l’étaient sur des serveurs européens, alors l’Europe pourrait garantir sa souveraineté et la sécurité de ces données. La faiblesse numérique actuelle de l’Europe vient donc aussi du fait que près de quatre serveurs sur dix sont physiquement localisés sur le territoire américain exposant ainsi nos données au principe de territorialité : quasiment toutes les données internet européennes transitent en effet par les USA. De même, l’Europe reste aussi très exposée à la domination américaine du fait de la répartition du marché des cloud services : Google, Apple et Facebook absorbent à eux seuls 85% du marché du cloud.

Se donner les moyens d’imposer une interdiction de l’exportation des données personnelles européennes hors d’Europe

Une réponse globale européenne devrait donc d’abord se doter d’une politique industrielle permettant la création d’acteurs européens de l’hébergement de données et des cloud services d’une taille suffisante pour que l’on puisse ensuite imposer aux services numériques étrangers l’interdiction de l’exportation ou du transit de données personnelles européennes hors de l’Union Européenne.

En effet, à l’ère du « tout digital », il est capital de bien comprendre le lien entre le quasi-monopole des sociétés de la tech américaines – le fait – et notre exposition aux lois américaines – le droit. Pour cela, il faut brièvement mettre en exergue la théorie des compétences internationales de l’Etat. Plus simplement dit : dans quel cas un Etat peut-il prétendre régir une situation ? La territorialité des lois et des juridictions veut qu’un Etat ne puisse pas régir sans limite des situations qui lui seraient trop éloignées en vertu de la souveraineté légale et judiciaire de ses pairs. Ainsi, les situations en dehors du territoire national ne peuvent être soumises à la loi d’un pays qu’à condition qu’il existe un lien de rattachement pertinent avec ledit territoire. La nationalité (compétence personnelle) ou encore la présence sur le territoire (compétence territoriale) sont les deux points de contact les plus connus. Ainsi, l’exposition de nos données aux lois américaines est fonction du nombre de rattachements avec leur territoire, et c’est pour cela qu’il est capital que l’Europe adopte, en matière numérique, une politique globale de découplage maximal vis-à-vis des Etats-Unis.

Ce découplage signifierait la mort d’une certaine idée de l’internet, ouvert, universel, libre des contraintes étatiques. Néanmoins, il y a bien longtemps que cette utopie est morte et enterrée. En réalité, la Chine, quand elle a fermé son internet aux services américains, a montré la voie à nombre de pays en développement, qui ont eux-aussi refermé leur internet. L’interdiction ou le rachat de TikTok aux USA est le signe que cette boucle est bouclée, avec les pères de l’internet ouvert, les USA, refermant également leur réseau sur un modèle continental. L’Europe, si elle parvient à rapatrier l’hébergement et le traitement de ses données, et qu’elle fait la preuve que la RGPD fonctionne et permet de garantir la protection des données personnelles, pourrait alors non seulement recouvrer sa souveraineté numérique, mais également, si elle étend ses garanties de protection aussi aux données étrangères, devenir un sanctuaire pour les données de pays tiers désireux de s’émanciper du contrôle américain ou chinois. Dans l’affrontement qui se joue entre Chine et Etats-Unis, l’Europe pourrait alors servir de zone neutre et protégée pour les données du monde entier, une sorte de « Suisse de la donnée » qui permettrait de garder vivante la flamme d’un internet comme outil d’émancipation et non de contrôle.

Florian Gerard-Mercier, Directeur des études du Millénaire, think-tank spécialisé en politiques publiques et travaillant à refondation de la droite.

Geoffroy de Neuville, Expert auprès du Millénaire, doctorant en droit international.

Les commentaires de cet article sont à lire ci-après
Le sujet vous intéresse ?
Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Pas d'autres commentaires