Transferts des données : « les acteurs économiques ont besoin de stabilité », selon des experts

« Personne ne conteste la nécessité d’une régulation » mais sa bonne application et les arrêts qui ont été rendus par la suite « rendent quasiment impossible le fonctionnement d’une entreprise », a expliqué Guy Mamou-Manin, coprésident du Groupe Open, à EURACTIV. [Blue Planet Studio/Shutterstock]

Alors que Bruxelles a abrogé l’ancienne version du mécanisme de clauses contractuelles types lundi 27 septembre pour le transfert de données hors de l’UE, certains experts appellent à plus de « stabilité » pour que l’économie européenne tire son épingle du jeu et développe une véritable souveraineté numérique.

« Les entreprises ne savent plus à quel saint se vouer » lorsqu’il s’agit de transférer leurs données, clef de voute de nombreux modèles économiques, « et cela coûte à l’Europe » face aux deux puissances numériques que sont les États-Unis et la Chine, selon David Lacombled, président de la villa numeris.

Le think tank a présenté mardi (28 septembre) son livre blanc, basé sur le constat que « la régulation des transferts transfrontaliers [des données] oppose de plus en plus les intérêts de l’État, des entreprises et des citoyens », a expliqué Valérie Chavanne, fondatrice du cabinet de conseil LegalUp et coordinatrice du document, à EURACTIV France.

Si elle n’appelle pas à balayer la réglementation, jugée « légitime » et en accord avec « les valeurs démocratiques européennes », l’avocate a défendu un « rééquilibrage », tout à fait compatible avec l’objectif de souveraineté numérique selon elle.

« Personne ne conteste la nécessité d’une régulation » mais sa bonne application et les arrêts qui ont été rendus par la suite « rendent quasiment impossible le fonctionnement d’une entreprise », a expliqué Guy Mamou-Manin, coprésident du Groupe Open, à EURACTIV.

Selon lui, cette « lourdeur » constitue pour l’heure un frein aux développements des entreprises sur le marché international — même si les objectifs poursuivis en matière de protection des citoyens sont pertinents et participeront à créer un avantage concurrentiel pour les acteurs européens à terme, a-t-il reconnu.

« L’invalidation du “Privacy Shield”, d’application immédiate, a été extrêmement brutale », a souligné Mme Chavanne, qui regrette que cette décision, qui s’inscrit dans un ensemble de « mécaniques complexes difficiles à mettre en œuvre », ait contribué à une forme d’« insécurité juridique » pour l’écosystème européen.

Le Règlement général sur la protection des données (RGPD) a introduit plusieurs mécanismes pour les entreprises européennes souhaitant transférer des données personnelles à des pays hors de l’Union européenne et de l’Espace économique européen (EEE).

Il s’agit d’abord des décisions d’adéquation. Dans ce cas, la Commission européenne estime que le pays tiers offre le même niveau de protection que celui au sein du bloc et aucune garantie ni formalité supplémentaires ne sont exigées.

C’est le régime dont bénéficiaient les États-Unis jusqu’en juillet 2020 avec l’invalidation du « Privacy Shield » à la suite de l’arrêt dit « Schrems II » de la Cour de justice de l’UE. Elle a estimé que les atteintes portées à la vie privée des personnes dont les données étaient traitées par les opérateurs états-uniens soumis à la législation nationale, et notamment la loi FISA, ne permettaient plus d’assurer une protection équivalente à celle assurée par le cadre européen.

Lorsqu’un pays tiers ne bénéficie pas de ce régime d’adéquation, les entreprises peuvent néanmoins continuer leurs transferts de données avec l’UE grâce à des clauses contractuelles types (CCT), qui nécessitent des procédures plus contraignantes au cours desquels les opérateurs doivent justifier des mesures supplémentaires pour prouver qu’ils offrent des garanties compatibles avec les exigences du RGPD.

Lundi (27 septembre), les CCT ont d’ailleurs été mises à jour par Bruxelles qui demande aux entreprises de basculer vers cette nouvelle version avant le 27 décembre 2021 si elles veulent rester en règle.

Un tribunal autrichien renvoie la plainte de Max Schrems contre Facebook à la Cour de justice de l'UE

La Cour suprême d’Autriche a demandé à la Cour de justice de l’Union européenne des éclaircissements sur la légalité du traitement des données personnelles par Facebook, après avoir été saisie par le militant de la protection des données Max Schrems.

Allier solutions de court et de long terme

Puisqu’il est inenvisageable de demander aux acteurs économiques européens d’opérer leurs activités intégralement au sein de l’UE — où, grâce à la réglementation actuelle, il n’existe que très peu de frictions pour les transferts transfrontaliers de données — le livre blanc propose d’allier solutions de courts et de longs termes pour concilier tous ces intérêts divergents.

Dans un premier temps, le panel d’experts suggère de se pencher davantage sur le système de licences, qui permettrait aux acteurs européens d’exploiter les solutions technologiques étrangères sans s’exposer aux risques extraterritoriaux, américains notamment.

Cette piste est d’ailleurs exploitée par le gouvernement français dans le cadre de sa stratégie « cloud de confiance » qui permet par exemple à Google ou Microsoft de prêter tout ou partie de ses outils qui seront intégralement opérés par des acteurs français.

La France présente sa feuille de route pour un cloud « souverain » et « de confiance »

Bruno Le Maire a présenté aujourd’hui (17 mai), la stratégie française en matière de cloud, annonçant le lancement d’un label de « cloud de confiance » pour assurer une « protection maximale » des données tout en s’affranchissant des risques extraterritoriaux, américains notamment.

Le chiffrement, et plus particulièrement celui dit de « bout en bout » — sous réserve que les clefs de chiffrement soient tout aussi protégées — ou l’« anonymisation profonde » font également partie des solutions à court terme envisagées.

Souveraineté numérique

Mais ces solutions ne permettront pas, sur le temps long, de garantir une souveraineté à l’Europe ni de faire émerger des champions européens. « Ce qui m’attriste sincèrement, c’est que les start-ups françaises doivent aujourd’hui systématiquement avoir l’aval des GAFA pour pouvoir faire fonctionner leurs innovations », note Henri Verdier, ambassadeur de France pour les affaires numériques et interrogé dans le cadre de ce livre blanc.

Pour se passer de ces solutions « propriétaires » et ainsi se détacher du « pouvoir de vassalisation conséquent » accordé aux puissances étrangères, la piste de l’open source gagnerait à être exploitée, selon les experts. « Le caractère collaboratif et ouvert de ces logiciels permet à n’importe quel acteur de les utiliser, de les modifier pour les adapter à leurs besoins, de manière totalement libre et transparente », note le rapport.

L’autonomisation de l’UE en matière numérique devrait également passer par plus d’investissements, pour notamment développer des infrastructures européennes alternatives et interopérables, capables de concurrencer l’hégémonie américaine et chinoise dans ce domaine.

À ce titre, le livre blanc se félicite de l’initiative franco-européenne Gaia-X qui devrait permettre « de fournir une crédibilité accrue aux acteurs européens qui développent leur solution dans le secteur, mais aussi une collaboration industrielle autour de la donnée facilitée par une meilleure interopérabilité des solutions, ainsi que par une meilleure portabilité des données ».

Philippe Latombe : « la souveraineté numérique française, c’est la capacité à choisir nos dépendances »

À l’occasion de la publication du rapport d’information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne », EURACTIV France a rencontré son rapporteur.

Subscribe to our newsletters

Subscribe