L’Europe et la France ont-elles perdu la bataille du numérique ? Données de santé – le Health Data Hub – hébergées chez Microsoft, expérimentation de l’euro numérique confiée notamment à Amazon… avons-nous encore la main sur nos données ?
Comment comprendre que l’Union européenne permette que soient transférées les données personnelles des Européens vers les Etats-Unis – c’est le Data Privacy Framework validé le 10 juillet 2023 – quand, de leur côté, les Etats-unis renforcent la surveillance hors de leurs frontières ?
Le 19 avril, la section 702 du Foreign Intelligence Surveillance Act (FISA) a été prolongée et renforcée. Jusqu’en 2026, les Etats-Unis autorisent ainsi les agences de renseignement américaines à collecter sans mandat les données de citoyens et d'entreprises non-américaines partout dans le monde. Ni plus ni moins qu’un espionnage massif autorisé par la loi américaine avec la relative passivité voire le consentement, si ce n’est pas la compromission, de l’UE. Dans la droite ligne de l’affaire Snowden…
Alors que l’Europe fournit pour ainsi dire les données de ses citoyens sur un plateau, les Etats-Unis continuent de décliner l’extra-territorialité de leurs lois. Les enjeux ne sont pas que technologiques et commerciaux. Toutes ces données – peu sensibles ? attention, argument massue – qui n’attendent que d’être couplées à l’intelligence artificielle pour être exploitées, permettent d’alimenter le renseignement militaire, le contre-espionnage, la guerre économique… Qu’on se rappelle l’affaire Alstom, qui n’a manifestement pas beaucoup servi de leçon.
L’Europe et derrière elle la France en ont-elles pris la mesure de ces enjeux et surtout développé des parades à la hauteur ? Un cadre juridique un minimum protecteur ?
Retour avec le député MoDem Philippe Latombe – un de ceux au parlement qui appréhende le mieux le sujet – sur tous ces enjeux à l’aulne des évolutions réglementaires. Et des décisions de justice qui viennent freiner ce que Philippe Latombe qualifie de “tropisme atlantiste”. En septembre dernier, le parlementaire a saisi le tribunal de l’Union européenne pour réclamer que le Data Privacy Framework soit invalidé, comme le fut avant lui les deux précédents accords au vu du faible niveau de protection garanti par la législation de l’UE via le règlement général sur la protection des données (RGPD).
A lire également : [ Données personnelles ] Un député demande à Ursula von der Leyen de revoir l'accord avec les Etats-Unis
Glossaire pour s’y retrouver dans les sigles et textes réglementaires
Foreign Intelligence Surveillance Act (FISA) - Base légale des surveillances physiques et électroniques des États-Unis, votée en 1978. Section 702 : partie de l’amendement rajoutée à la loi FISA en 2008 et qui, renforcée en 2024, autorise les agences de renseignement, NSA, CIA, FBI etc, à collecter sans mandat des données de citoyens et d'entreprises étrangers hors des Etats-Unis avec l'assistance des fournisseurs de communication électronique.
A distinguer du Cloud Act qui autorise l’administration américaine, en cas d’enquête criminelle, à saisir de manière légale et sans procédure, tous documents et communications électroniques (qui pourraient “menacer l’ordre public”, formule critiquée pour son flou juridique) localisés dans les datacenters d’entreprises américaines, situés au États-Unis et à l’étranger, sans que l’utilisateur concerné n’en soit informé (NextInpact, L’Usine digitale). C’est l’affaire Alstom-Frédéric Pierucci.
Telco: opérateurs de téléphonie
Data Privacy Framework (DPF) - Accord pour le transfert et le traitement des données personnelles signé le 10 juillet entre l’UE et les Etats-Unis. Le DPF est le successeur du Safe Harbor et du Privacy Shield, tous deux invalidés par la cour de justice de l’Union européenne respectivement en 2015 et 2020 (arrêts Schrems 1 et 2) pour ne pas respecter la législation européenne et notamment le règlement général sur la protection des données (RGPD).
Règlement général sur la protection des données (RGPD) - Texte réglementaire européen qui encadre le traitement des données sur tout le territoire de l’UE. Cette législation est actuellement la plus stricte au monde en matière de protection de la vie privée et de sécurité.
European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) - Projet de certification européenne qui doit substituer aux certifications nationales (SecNumCloud en France décernée par l’Anssi à quelques acteurs respectant les critères de sécurité des plus hauts niveaux) et dont l’objectif est d’évaluer la sécurité des fournisseurs de services cloud à l’échelle européenne.
Mais là où le SecNumCloud introduit un critère d’immunité aux législations non européennes à portée extra-territoriale, en exigeant des fournisseurs étrangers qu'ils créent une co-entreprise et coopèrent avec une entreprise européenne pour le traitement et l'hébergement des données localement, le projet de certification européenne en est exempté dans sa dernière version. Le projet est en cours de discussion à Bruxelles.
Retrouvez ce podcast sur Spotify
"Depuis une vingtaine d'années, on a perdu cette idée de l'information stratégique"