Le troisième « Fireside-Talk » de « Privacy Provided » avec le juriste autrichien et activiste de la protection des données Max Schrems, ce matin, a été consacrée à l’informatique d’entreprises et aux réseaux. Selon Schrems, travailler avec des fournisseurs européens est souvent la solution la plus facile, la plus sûre et la plus rentable pour les utilisateurs en matière de conformité au RGPD.
Dans le passé, le transfert de données personnelles de l’Europe vers les États-Unis était possible en vertu de la loi sur la protection des données grâce aux accords bilatéraux Safe Harbor et, plus tard, Privacy Shield. Toutefois, la Cour de justice de l’Union européenne a depuis déclaré ces deux accords invalides, considérant que le niveau de protection des données aux États-Unis n’est pas comparable à celui de l’Europe. Depuis lors, de nombreuses entreprises européennes ont été contraintes d’avoir recours à des clauses contractuelles types pour justifier un transfert de données.
Clauses contractuelles types : une procédure compliquée
Selon Max Schrems, ces clauses contractuelles types (y compris les mises à jour de juin 2021) sont toutefois nettement plus compliquées à appliquer car, en principe, une évaluation au cas par cas doit être effectuée. Néanmoins, si l’entreprise qui reçoit les données n’est pas un fournisseur de services de communications électroniques aux États-Unis, il devrait y avoir, en théorie, moins de problèmes en matière de confidentialité. Pour illustrer son propos, Max Schrems a mentionné un cas concret. Par exemple, si le sidérurgiste autrichien Voest transfère des données à une filiale américaine qui travaille uniquement l’acier sur son sol, le RGPD ne s’y oppose pas. Toutefois, il faut toujours garder à l’esprit l’existence éventuelle de sous-traitants impliqués aux États-Unis, qui font alors partie du domaine des communications électroniques.
Selon Max Schrems, il n’est pas toujours facile d’évaluer la situation des fournisseurs américains dont le traitement des données est géographiquement réparti, comme c’est le cas dans les domaines de la messagerie électronique, de la sécurité ou de la fourniture de contenu. Cela soulève, entre autres, la question de savoir s’il s’agit d’un traitement de données nécessaire et indispensable qui est couvert par l’article 49 du RGPD. Pour Max Schrems, la situation est pourtant très claire : même si les fournisseurs américains de services dans le cloud exploitent leurs propres datacenters en Europe, cela ne protège pas les données qui y sont stockées contre l’accès permis par la loi FISA. Tout simplement parce que cette loi n’a pas de limite géographique. Seules les données auxquelles le fournisseur ne peut accéder lui-même sont sûres : par exemple, une sauvegarde chiffrée stockée dans le cloud et pour laquelle il n’y a pas d’accès local aux clés.
Des avis juridiques divergents
Max Schrems estime que le droit américain et le droit européen sont diamétralement opposés en matière de protection des données. Pour l’essentiel, on ne pourrait y remédier qu’en modifiant les lois. Dans l’UE, il s’agirait de revoir la Charte des droits fondamentaux, ce qui semble extrêmement improbable. À moyen terme, on pourrait plutôt espérer une modification des lois américaines de surveillance FISA et CLOUD Act (qui, par ailleurs, pourraient également servir à légitimer l’espionnage industriel).
D’ailleurs, un rapport de Bloomberg va dans ce sens. Brad Smith, cadre supérieur et avocat de Microsoft, regrette que les citations secrètes des entreprises technologiques américaines détruisent la confiance des clients européens et rendent les affaires plus difficiles. Des médias ont également rapporté que les géants Apple et Microsoft avaient été contraints par des agences gouvernementales de céder des données sur les opposants politiques du président pendant le mandat de Donald Trump. Avec, dans chaque cas, l’obligation de garder le secret et l’interdiction d’informer les personnes concernées.
Incertitude générale
En réponse à la question de savoir si une entreprise européenne pouvait transmettre ses obligations en matière de protection des données à son prestataire de services américain et ainsi s’abstenir de toute responsabilité, M. Schrems a déclaré que les promesses de conformité au RGPD ne pouvaient être vérifiées qu’au prix de grands efforts. Jusqu’à présent, personne ne les a vérifiées et n’a engagé de poursuites. Par ailleurs, il existe des assurances responsabilité civile correspondantes, mais elles sont de toute façon très coûteuses et leur validité n’est absolument pas prouvée. Dans le cas des polices d’assurance dites « D&O » pour les cadres supérieurs, il convient de vérifier les clauses de protection des données, comme c’est le cas pour de nombreuses polices d’assurance de protection juridique, car celles-ci peuvent être exclues.
Max Schrems estime qu’une modification du RGPD est souhaitable, notamment parce que la réglementation actuelle ne prévoit aucune différenciation en fonction de la taille des entreprises. Max Schrems a ainsi rappelé que seules les grandes entreprises disposant de départements de lobbying importants ont participé à sa création. Et personne à Bruxelles ne veut certainement d’une nouvelle campagne de lobbying en ce sens.
Questionner les prestataires de services
Max Schrems conseille aux entreprises déstabilises par l’invalidation du Privacy Shield de ne pas dépenser leur argent en conseils juridiques, mais d’interroger elles-mêmes leurs prestataires de services et de les mettre à l’épreuve. Pour vous y aider, Retarus a regroupé les points essentiels à interroger sur son site Web et met à votre disposition un questionnaire (PDF) avec lequel vous pouvez tester vos prestataires de services. Dans sa conclusion, Max Schrems assure que dans la majorité des cas, la solution la plus simple, la plus sûre et la plus rentable consiste bel et bien à travailler avec un prestataire de services européen.