La protection des données sensibles représente désormais un enjeu de confiance des utilisateurs et clients
La présidente de la Commission européenne et le président américain ont annoncé le 25 mars 2022 avoir trouvé un nouvel accord politique de principe cadrant le transfert des données personnelles européennes vers les États-Unis. Ce nouvel accord viendrait combler le vide laissé par l’invalidation du Privacy Shield. En l’état actuel de la loi et la jurisprudence américaines, cet accord n’a probablement pas plus de chances d’aboutir que le précédent.
Au-delà des fluctuations géopolitiques et de la réglementation, la protection des données sensibles représente désormais pour les entreprises l’enjeu de maintenir ou regagner la confiance de leurs utilisateurs et clients.
Invalidation du Privacy Shield : une décision logique au regard du fonctionnement du RGPD
Le règlement européen sur la protection des données prévoit qu’en cas de sortie de données du territoire européen, il est nécessaire de vérifier si le pays destinataire traite les données personnelles avec un niveau de protection substantiellement similaire à celui appliqué en Europe, en vue d’obtenir une « décision d’adéquation » de la part de l’Europe, qui étudie l’équilibre entre la protection de la vie privée et la surveillance par les agences gouvernementales au sein du pays concerné.
Dans les pays qui ne bénéficient pas d’une décision d’adéquation, il est nécessaire de prendre des mesures effectives (aussi bien sur le plan contractuel que technique, comme le chiffrement ou la fragmentation de données) afin de protéger la donnée personnelle exposée.
Aux États-Unis, les lois FISA (Foreign Intelligence Surveillance Act) et Cloud Act autorisent une surveillance de masse et obligent tous les fournisseurs américains, quel que soit le lieu de stockage de la donnée, à fournir toutes les informations demandées par le gouvernement américain sur n’importe quelle personne, entité ou gouvernement. Ces demandes se font bien souvent sous le sceau de la confidentialité (cf. notamment le « Law Enforcement Requests Report » publié par Microsoft et la décision de la Supreme Court du 1er novembre dernier, qui a réaffirmé la suprématie de la surveillance nationale par rapport aux libertés fondamentales). Le Privacy Shield servait de décision d’adéquation entre l’Europe et les États-Unis. Ces derniers n’ayant jamais eu le souci de réduire leur surveillance sur les données personnelles européennes, l’invalidation du Privacy Shield était donc logique.
Accord politique sur le transfert des données européennes : une concomitance qui interroge
En revanche, il est assez troublant que l’Europe décide soudainement de donner un accord de principe sur ce sujet après deux ans de blocage et à la surprise de tous les intervenants. En annonçant cet accord surprise, Ursula von der Leyen et Joe Biden ont-ils tout simplement cherché à éteindre momentanément le feu sur ce sujet brûlant en vue d’obtenir des concessions énergétiques et militaires destinées à sortir l’Europe de la dépendance au gaz russe ? L’hypothèse est lancée. De plus, les deux dirigeants ne peuvent pas ignorer qu’en l’état de la loi et la jurisprudence américaines, ce nouvel accord n’a probablement pas plus de chances de survie que le précédent Privacy Shield.
Renoncer à protéger les données personnelles est un triple renoncement, car les lois de data privacy peuvent se lire à trois niveaux. D’un point de vue personnel, cela revient à abandonner un bien précieux (et d’ailleurs monétisé par les entreprises). Au niveau d’une entreprise, c’est prendre le risque d’ébranler la confiance de ses utilisateurs. Enfin, à l’échelle d’un État ou d’un continent, il s’agit d’un problème géopolitique, puisque l’on donne accès aux données des citoyens, avec toutes les analyses qu’il est désormais possible d’en extraire.
Il n’est plus possible de faire l’impasse sur le besoin de data privacy
Le besoin de data privacy est une véritable lame de fond. Il se fait aujourd’hui de plus en plus ressentir, à tous niveaux. Des lois relatives à la data privacy se multiplient partout dans le monde. Cette composante réglementaire est aujourd’hui confirmée par le succès progressif du Web3 et des technologies de décentralisation, et renforcée par les demandes des utilisateurs, qui n’acceptent plus d’être dépossédés de leurs données.
Même les utilisateurs américains souhaitent reprendre le contrôle sur l’accès à leurs données. Les éditeurs américains recherchent d’ailleurs désormais des solutions techniques pour regagner la confiance de leurs utilisateurs. On peut notamment penser aux solutions Bring Your Own Key ou Hold Your Own Key de plus en plus réclamées malgré leur coût et leur manque de praticité opérationnelle, ou encore à l’importance donnée aux questions de privacy et de cybersécurité dans les appels d’offre.
Protéger les données sensibles : une question de confiance
Les entreprises et organisations doivent maintenir leurs efforts en matière de protection des données sensibles de leurs utilisateurs, réglementées ou non. Au-delà des fluctuations géopolitiques et de la loi, la protection des données sensibles représente désormais pour les entreprises l’enjeu de maintenir ou regagner la confiance de leurs utilisateurs et clients, et donc un impact immédiat sur leur image et leur chiffre d’affaires.
Par Yosra Jarraya, CEO d’Astrachain