RGPD, CLOUD Act, California Consumer Privacy Act, 2018 se présentent comme le berceau des lois relatives à la protection des données. Pour autant toutes ne vont pas dans le même sens et c’est ainsi que naissent des frictions.
Explication sur le contenu de ces normes et leurs désaccords.
La naissance du CLOUD Act ou une absence de protection exacerbée ?
Comme équivalent à notre Code pénal et Code de Procédure pénale, les Etats-Unis sont les titulaires du Titre 18 du United States Code (codification du Droit Américain fédéral, il comprend plusieurs titres relatifs aux différentes branches du Droit). Ce titre comprend un chapitre intitulé « Stored wire and electronic communications and transactional records access » (pour les plus curieux, il s’agit du chapitre 121) relatif largement à la protection des données.
Ce texte n’a pas semblé suffisant puisque a été adopté le CLOUD Act.
Pourquoi ce CLOUD Act ?
1. Dans un premier temps, parce que la rédaction du chapitre 121 n’a pas permis d’échapper à la naissance de litiges. Est en effet née la très connue Warrant case (cette affaire qui oppose Microsoft et le gouvernement des États-Unis). Les Etats-Unis ont donc souhaité se doter d’un texte plus fort.
2. Mais, ce n’est pas tout. Le RGPD semble également avoir joué son rôle dans l’élaboration de cette loi. Intéressons-nous à la toile de fond de l’adoption de cette loi :
- La date d’adoption : un mois avant l’entrée en vigueur du RGPD (avril 2018). Coïncidence ?
- Les modalités d’adoption : cette loi a été adoptée en toute discrétion. Elle est encapsulée dans une loi bien plus vaste (quelques 2232 pages) qu’est la loi budgétaire des Etats-Unis de 2018. Or, cette dernière est très sensible et son défaut d’adoption entraine de lourdes conséquences sur l’administration Américaine. Il est un euphémisme que de dire que les pressions politiques ont donc eu un pouvoir considérable en la matière.
De plus, ce texte d’une trentaine de pages n’a fait l’objet d’aucun contrôle renforcé. Étonnant au vu de ce dont il est question…
Le point de friction : le sort des données situées hors du territoire Américain
Le traitement International du transfert de données est réalisé par le biais d’accord négociés entre États. Ces accords prennent le nom de MLAT (acronyme de Mutual Legal Assistant Treaty). Selon ces accords, le transfert de données entre États peut se faire après validation par un juge de la requête prévoyant le transfert.
Mais le CLOUD Act ne le voit pas de cet œil…
Le transfert des données vu par le CLOUD Act
Contenu du CLOUD Act :
Cet acte dispose que « tout opérateur ou fournisseur de services en ligne doit se conformer aux obligations (…) pour préserver, sauvegarder ou communiquer les contenus de communications électroniques et tous enregistrements et informations relatives à un client ou abonné dont ils sont en possession où dont ils ont la garde ou le contrôle, quel que soit le lieu où ces communications, enregistrements et informations sont localisés à l’intérieur ou à l’extérieur des Etats-Unis. »
Que comprendre de cette disposition ?
Les sociétés Américaines doivent, sans considération du lieu où elles sont stockées, communiquer aux autorités Américaines les données en leur possession dès lors qu’il y a un besoin « crédible » et « justifiable » dans le cadre d’une enquête pénale.
Une limite à la collecte ?
Si une existe, elle n’est pas territoriale. En effet, sont visées les sociétés Américaines ce qui rend cette loi extraterritoriale.
Nota bene : au sens de la loi Américaine, une société est toute société incorporée aux États-Unis OU toute société contrôlée par elle.
Tout le monde est concerné.
Existe-il une échappatoire ?
Il y a la possibilité de refuser le transfert pour les entreprises en cours de procédure judiciaire si :
- le consommateur en question ne réside pas aux USA et,
- si le transfert obligerait le fournisseur à enfreindre les règlementations du pays hébergeant les données. Dans ce cas, une motion doit être déposée.
Pour les plus désireux, rendez-vous sur le texte du CLOUD Act.
Les visions divergentes sur le CLOUD Act
Les pours : rien de bien étonnant que ce CLOUD Act soit plébiscité par Oath et 4 des 5 GAFAM (Google, Apple, Facebook et Microsoft). En effet, selon eux, et contrairement à tout ce que les spécialistes s’accordent à dire, ce CLOUD Act permettrait une protection plus importante des consommateurs.
A ce titre, Brad Smith (président et chief legal officer de Microsoft) a pu dire le 21 mars dernier que cette loi était un « bon compromis » qui allait permettre de « défendre les droits à la vie privée de nos clients partout dans le monde ».
Mais comment justifient-ils une telle position ? Par l’affirmation d’une meilleure information. Toujours selon eux, la possibilité de transférer les données aux agences de surveillance Américaines – peu important la localisation de cette donnée – permettrait de renforcer la vie privée des consommateurs.
À voir…
Les contres : le problème majeur est celui de l’ingérence des autorités Américaines. C’est pourquoi la grande majorité des têtes pensantes s’opposent à cet acte trop intrusif.
La protection des données vue par le RGPD
L’article 48 du RGPD dispose : « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international […] ».
En application de cet article, seul un accord International peut légitimer le transfert de données de citoyens Européens sur un territoire non Européen.
Quid d’un tel accord avec les Etats-Unis ?
A l’heure actuelle c’est le Privacy Shield qui gère les rapports Europe / USA quant au transfert des données. Les évènements à venir diront comment s’articulent l’ensemble de ces actes.
Nota bene : la commission des libertés civiles (LIBE) du Parlement européen a considéré que le Privacy Shield n’accorde pas une protection suffisante. Elle a donc adopté un projet de résolution visant la suspension de l’accord dans le cas dans lequel des défaillances persisteraient après le 1er septembre 2018.
Un cloud Européen : la solution ?
Il est essentiel de bien choisir ses sous-traitants et de savoir où sont hébergées vos données. C’est pourquoi les théoriciens comme les praticiens recommandent aujourd’hui de se tourner vers un cloud Européen.
Affaire à suivre.
En attendant, il n’est jamais trop tard pour maîtriser le RGPD sur le bout des doigts ! Grâce à la formation RGPD by Ziwit Academy, vous saurez exactement toutes les formalités obligatoires à mettre en œuvre pour sécuriser le traitement de vos données, et ce quel que soit votre niveau.