Comme le dit le proverbe, tout vient à point à qui sait attendre. Toutefois, la décision tant attendue de la Commission européenne visant à adopter le nouveau cadre de protection des données UE-États-Unis, à la suite de la concrétisation des engagements pris dans le cadre du décret du président Joe Biden d’octobre 2022, divise l’opinion, comme on pouvait le prévoir.
Y a-t-il des progrès, ou bien faisons-nous abstraction des lacunes en matière de protection de la vie privée ?
Lundi dernier, la Commission européenne a publié une déclaration indiquant que l’examen auquel elle avait procédé révélait que « grâce au nouveau cadre, les États-Unis garantissent un niveau de protection adéquat (comparable à celui mis en œuvre dans l’Union européenne) pour les données à caractère personnel transmises depuis l’UE vers des entreprises américaines ». Par conséquent, des données à caractère personnel peuvent être transférées de l’UE vers des entreprises américaines participant au cadre sans qu’aucune exigence supplémentaire en matière de protection des données n’ait besoin d’être mise en place.
Cela ouvre des opportunités de collaboration au niveau mondial pour de nombreuses entreprises qui bénéficient désormais de davantage de visibilité sur un certain nombre de nouvelles protections, dont les suivantes :
- Un nouveau mécanisme de recours, géré par une autorité indépendante et contraignante, visant à traiter et résoudre les plaintes des citoyens de l’UE dont les données ont été collectées et utilisées par les agences de renseignement américaines.
- La limitation de l’accès des services de renseignement américains aux données provenant de l’UE, de telle sorte qu’ils ne puissent consulter que les éléments nécessaires et adéquats.
- L’obligation pour les entreprises américaines de prendre des mesures garantissant que les données personnelles provenant de l’UE ne soient pas transférées vers des pays tiers qui n’assurent pas un niveau de protection adéquat.
- L’obligation pour les entreprises américaines d’implémenter des exigences minimales en matière de sécurité de l’information, telles que la MFA et le chiffrement fort, afin de protéger les données à caractère personnel provenant de l’UE.
Toutefois, les détracteurs de la décision affirment que le nouveau cadre ne répond en rien aux préoccupations initiales soulevées par la Cour de justice de l’Union européenne (CJUE) dans son arrêt Schrems II, qui avait invalidé le bouclier de protection des données UE-États-Unis en juillet 2020. Les préoccupations portent en particulier sur les pratiques de surveillance exercées par les États-Unis à l’égard des citoyens de l’UE.
Voici ce que Max Schrems, membre du conseil d’administration du groupe de défense des droits numériques nyob, a déclaré : « On nous a proposé jusqu’à maintenant des “protections”, des “parapluies”, des “boucliers” et des “cadres”, mais aucun changement substantiel n’a encore été apporté au droit américain en matière de surveillance. Les communiqués de presse actuels sont quasiment une copie littérale de ceux ayant été émis au cours des 23 dernières années. Se contenter d’annoncer que quelque chose est “nouveau”, “robuste” ou “efficace” ne suffit pas devant la Cour de justice. Pour que cela fonctionne, il faudrait que la législation américaine en matière de surveillance soit modifiée, et cela n’est actuellement tout simplement pas à l’ordre du jour. »
La législation FISA 702 semble être ici le principal point de désaccord. Les défenseurs de la vie privée demandent une réforme de cette loi afin que la confidentialité des individus non américains soit protégée de façon raisonnable contre la surveillance exercée par les pouvoirs publics américains. Bien que les deux parties s’accordent à dire que la législation FISA 702 viole les droits fondamentaux des citoyens américains en vertu du quatrième amendement, il est considéré que les individus non américains ne bénéficient pas de droits constitutionnels aux États-Unis et que, par conséquent, le quatrième amendement ne s’applique pas à eux dans le cadre de la violation de leur droit à la confidentialité.
Préparer l’avenir des transferts de données vers les États-Unis grâce au chiffrement
Seul le temps nous dira si le nouveau cadre de protection des données UE-États-Unis sera concrètement en mesure de fournir les protections nécessaires. Cependant, compte tenu du contexte houleux entourant le cadre, il convient que les organisations qui souhaitent y avoir recours pour opérer des transferts de données transatlantiques implémentent les exigences de sécurité technique recommandées, telles que le chiffrement. Ainsi, elles pourront être en mesure de respecter le droit fondamental à la vie privée des personnes concernées par les données, et ce, peu importe les modifications qui seront probablement apportées au cadre au fil du temps et les obstacles éventuels qu’il rencontrera.
Le fait de chiffrer des données devant être partagées avec des entreprises américaines à partir de l’UE garantit que seule la personne prévue peut accéder à ces données et les déchiffrer. Même si ces données étaient obtenues par les pouvoirs publics américains suite à une injonction, ils ne pourraient y voir que du code ou du texte chiffré, à moins que leur propriétaire ne leur en autorise l’accès.
Il s’agit d’un moyen efficace et sûr de permettre le partage de données nécessaires aux activités commerciales sans laisser à des tiers indésirables la possibilité d’y avoir accès. On pourrait d’ailleurs dire que le fait de protéger l’ensemble des données devant être partagées dans le cadre d’une collaboration professionnelle devrait constituer une pratique commerciale standard.
Les problématiques relatives au cadre de protection des données UE-États-Unis s’avèrent complexes, mais elles sont d’une importance considérable et les organisations devraient surveiller de près leur évolution. Un réexamen du cadre devrait avoir lieu dans l’année suivant son adoption, mais nombre d’acteurs estiment que ce processus sera mis en œuvre bien plus tôt que cela.
Si vous avez besoin de conseils sur la manière d’implémenter le chiffrement au sein de votre organisation, Virtru peut vous aider. Nos solutions permettent à plus de 8 000 organisations dans le monde de partager facilement des données dans le cadre de leurs activités, sans faire de compromis sur le plan de la sécurité ou de la confidentialité. Contactez l’équipe de Virtru dès aujourd’hui pour en savoir plus.
