Privacy Shield : l’Europe à la peine pour protéger la vie privée de ses citoyens, dont toutes les données personnelles sont aux mains d’entreprises américaines ?

Atlantico : Le Privacy Shield fait l'objet de négociations entre l'UE et les Américains depuis le 2 février. Il sera rendu public à la fin du mois. Il est destiné à remplacer le Safe Harbor, projet avorté l'année dernière qui permettait de certifier le respect de la législation européenne par les entreprises américaines voulant transférer des données personnelles aux USA. De quoi s'agit-il concrètement ? 

Fabrice Epelboin : Il s’agit de ressusciter le défunt Safe Harbor, qui était, en quelque sorte, un accord de libre échange des données privées entre l’Europe et les Etats-Unis. Cet accord qui avait presque dix ans est le socle de ce qu’on pourrait appeler l’industrie de la donnée privée : une multitude d’entreprises dont la spécialité est de créer de la valeur à partir de données privées. Les plus iconiques de ces entreprises sont sans conteste Google et Facebook, mais ce n’est que la partie émergée de l’iceberg. C’est l’ensemble des acteurs de la “big data” qui est concerné par cet accord et qui s’est construit sur ces bases juridiques. Les citoyens européens, mais également les entreprises, utilisent quotidiennement des applications Cloud qui traitent des données privées, et les font transiter de part et d’autre de l’Atlantique. Si votre entreprise utilise Salesforce, il y a des données privées là dedans, et si elles sont traitées dans un datacenter américain, alors votre entreprise est - juridiquement - dans une zone grise.

Il convient donc de distiguer clairement deux problématiques : le cadre légal et son évolution du coté des politiques, d’un coté, et les choix en termes d’architecture informatique, de fonctionnalités et de modèles économiques auxquels le défunt Safe Harbor a donné naissance, du coté de l’industrie. Ces choix industriels ne sont pas anodins, tous ne sont pas irréversibles, mais ce n’est pas quelque chose sur lequel on peut revenir facilement. 

Ainsi, Google personnalise ses résultats de recherche depuis quelques années, et utilise de l’intelligence artificielle ainsi que la “big data” qui la nourrit pour vous fournir des résultats qui sont non seulement pertinents mais personnalisés selon votre profil. Pour faire cela, il brasse une quantité faramineuse de données personnelles. Si Google devait arrêter de faire transiter sur le continent américain des données privées, il devrait repenser en profondeur ses choix techniques. Compliqué, couteux, mais pas forcément impossible. Pour Facebook, par contre, stopper le trafic intercontinental de données privées reviendrait à scinder sa communauté et à isoler les citoyens européens. Cela semble impossible.

Il y a ainsi plusieurs milliers d’entreprises américaines du numérique qui, sans le Safe Harbor, se retrouvent dans une zone grise législative. Sans Safe Harbor II, elles devront faire face, au pire, à une mort programmée, au mieux, à d’importants chantiers technologiques destinés à les rendre compatibles avec une souveraineté numérique Européenne. 

L’Europe doit donc faire face à une situation politiquement impossible. L’affaire Snowden a définitivement tué le Safe Harbor, et la société de la surveillance dans laquelle nous sommes entrés rend ce genre d’accord ridicule. Mais les investissements qui ont été réalisés sur la base de cet accord sont collossaux, et l’économie actuelle repose en partie sur des technologies rendues possibles par cet accord. Il est donc impossible de supprimer le Safe Harbor, mais il est ridicule de conserver.

Le Safe Harbor avait été vivement critiqué par les instances de protection des données personnelles. Peut-on estimer que le Privacy Shield sera plus efficace ? Et à quoi ne répondra-t-il pas ? Peut-on être certain que ces données seront vraiment protégées quand on connaît les pouvoirs exceptionnels dont jouit le programme PRISM de la NSA, comme l'avait révélé Edward Snowden en 2013 ? 

La seule révision significative apportée par le Privacy Shield est la possibilité de le réviser périodiquement, ainsi que quelques brèches juridiques intercontinentales qui pourraient permettre à un Max Schrems de poursuivre son combat, au prix de nombreuses années de batailles juridiques incertaines.

Autant dire que le Privacy Shield est un cataplasme sur une jambe de bois. Personne n’y croit, en dehors du commissaire Européen à la Justice qui annonce, les yeux dans les yeux, que le Privacy Shield sonne la fin de la surveillance américaine. 

La seule chose qui change réellement, c’est qu’on pouvait faire semblant de croire au respect de la vie privée à l’époque du Safe Harbor, ou tout du moins avant Snowden, alors que c’est impossible aujourd’hui. Désormais, l’hypocrisie est de mise pour la loi, qu’aucun état ne respecte, et l’incertitude est de mise pour les entreprises qui vont devoir se poser des questions qui vont au delà du simple respect d’une législation qui ne veut plus rien dire, et ne protège pas de grand chose.

Ce marché de dupe entre les USA et l’Europe sur les données privées inaugure une série de législations Européennes destinées à construire des “accords de libre échange” des données privées au niveau européen, ainsi qu’une directive cybersécurité qui imposera aux entreprises européennes de protéger les données privées qu’elles utilisent. 

Face à cela, il faut que les entreprises - au plus haut niveau, pas seulement à la DSI - comprennent et visualisent la façon dont elles traitent tout un tas de données privées, à commencer par celles de leurs employés, car ce terrain va évoluer vite et fort dans les années à venir. Des choix technologiques qui sembleraient rationnels aujourd’hui pourraient s’avérer suicidaires demain.

Demain - d’ici deux ans - les entreprises vont être responsables de la sécurité des données privées qu’elles possèdent, et les sanctions seront lourdes. Le temps où les fuites massives d’informations privées restaient discrètes de peur d’entammer l’image de l’entreprise est fini. La chaine de sous traitance que constitue le “Cloud” devra, elle aussi, se conformer à cette évolution législative, elle devra s’adapter ou être repensée. 

Là où la sécurité informatique n'avait jusqu’ici pour fonction que de défendre l’entreprise, elle va devoir asseoir sa souverainté sur son territoire numérique. Les entreprises vont devoir penser une doctrine destinée à concrétiser leur souveraineté sur leurs technologies et les données privées qu’elles traitent, d’en comprendre ses limites et ses évolutions. 

Mettre au point une telle doctrine demandera une collaboration étroite entre DSI, RSSI et de la présidence des entreprises. L’une des grandes difficultés à laquelle vont se heurter les entreprises est la capacité de leur direction générale à comprendre finement les choix technologiques qui structurent leur entreprise, leurs possibles évolutions et leurs impasses, et à les penser en terme de souverainté. Il faudra aux DSI et aux RSSI déployer des trésors de pédagogie pour faire comprendre à des profils habituellement peu familiers avec la technologie des réalités techniques très complexes.

En parallèle, la CNIL a demandé aujourd'hui à Facebook d'arrêter de traquer les non-utilisateurs sous trois mois. Comment expliquer qu'il existe des stratégies différentes en la matière ?

A l’heure où les négociations autour de TAFTA vont bon train, la CNIL et bon nombre de ses homologues européens savent bien que le Safe Harbor doit continuer. Elles ne vont pas saborder Facebook, Google, l’économie de la Big Data, et les relations commerciales avec les USA en rejettant le Safe Harbor II qu’est le Privacy Shield, particulièrement dans cette période d’incertitude sur l’économie mondiale. Par ailleurs, la surveillance américaine, ne nous cachons pas, profite également à la sécurité du continent européen, même si elle coûte très cher à son industrie, du fait de l’intense espionnage économique auquel se livre la NSA. 

La CNIL, a l’instar de certaines institutions européennes similaires, tente cependant de limiter la captation des données privées, et demande à Facebook de faire des efforts réalistes. Car autant il est impossible à Facebook de faire sans Safe Harbor, autant il leur est possible de limiter certaines surveillances qu’il effectue, notamment sur des internautes qui ne sont pas membres du réseau social, que Facebook traque lors de leur navigation, tout comme Google.