Protection des données : le bouclier européen donne du fil à retordre aux Brexiters qui risquent de voir partir vers le continent les serveurs de données .

Crédit photo: Adobe Stock

Temps de lecture : 7 minutes
Mots clés : Wired, Brexit, data, GDPR, RGPD, protection des données, UE, justice

Le 16 juillet 2020 sera peut-être une date importante dans l’évolution de la gestion des données à l’échelle européenne continentale. En effet, depuis le 1er mai 2018, l’Europe applique son règlement général de protection des données personnelles (RGPD) à l’ensemble des pays de l’UE, sans exception. Je vous renvoie à l’article que j’avais rédigé en novembre 2019 sur ce sujet. Ce règlement est devenu rapidement un référence pour de nombreux autres pays et états. C’est ainsi qu’aux USA, où la question est bien plus complexe (voir autre article ici) des états comme Washington ou encore la Californie ont mis en place récemment des réglementations sur la protection des données qui correspondent à l’approche du GDPR. Globalement, reconnaissons que même si ce règlement est loin d’être parfait, car complexe à mettre en application, il est devenu une référence pour la protection de vos données.

Toutefois, les choses ne sont pas si simples

De fait, le règlement est applicable sur le territoire européen, mais d’autres lois américaines, issues entre autres au Patriot Act mis en place par G.W. Bush en conséquence du 9/11, permet à l’état américain de prendre possession de toutes les données dans le monde afin de combattre le terrorisme. C’est ainsi que régulièrement, la connexion de votre réseau social préféré dont la plupart de tous les serveurs sont installés au Royaume-Uni et en Irlande… se retrouvent, le temps d’une journée, connectés aux serveurs américains[1]. L’UE avait conclu avec les USA un accord « bouclier » (2016) ayant pour objet que les conditions d’utilisation des données par les GAFA et autres acteurs numériques des USA (+ de 5.300 entreprises) n’étaient pas les mêmes que celles aux USA et qui permettent les transferts de données expliqués ci-devant sans en avoir la même utilisation. C’est ce qu’on appelle les CSC (Clauses contractuelles standard). Intrinsèquement, ce CSC permet d’empêcher le gouvernement américain d’accéder aux données des citoyens de l’UE, ajoute des dispositions permettant aux citoyens de l’UE de renvoyer les plaintes à un régulateur et exige que les entreprises qui souhaitent transférer des données à un tiers doivent s’assurer que le tiers respecte également les principes du bouclier de protection des données. (Alex LEE, 2020)

La place du Royaume-Uni dans la toile internet mondiale.

Le premier câble de télégraphe entre les États-Unis et l’Europe est parti de la côte anglaise pour rejoindre New York. Depuis cette époque (fin du 19e siècle), les connexions n’ont fait que s’amplifier et, contrairement à ce que chacun pourrait s’imaginer, plus de 95% des télécommunications sont terrestres. Les cartes du réseau internet nous montrent à quel point les liens entre l’Europe et les États-Unis sont dépendant des îles britanniques et de l’Irlande.

source Vox, 2014

Le 16 juillet 2020

A cette date le bouclier de protection est tombé, ouvrant grandes les portes de divers recours d’associations pour la protection de vos données privées contre les entreprises américaines. Comme précisé, ces données transitent par les îles britanniques à travers des câbles et le R.U. qui voulait garder cette place privilégiée en libérant les flux de données autant entre les USA que l’UE. Elle se retrouve coincée entre les deux géants alors qu’elle espérait utiliser les nouvelles règles du CSC (après l’abolition en 2015 du Safe Harbor) régissant les échanges de données depuis plus de 15 ans. Malheureusement, et malgré une retranscription de ces lois européennes (Safe Harbor) dans le droit britannique avant le Brexit permettant le maintien et les échanges de données, l’île se trouve bien seule depuis le 16 juillet. En outre, le camouflet de la justice envers ce bouclier va obliger l’UE d’être beaucoup plus attentive sur le droit des pays tiers où traversent les données afin de permettre une véritable politique globale de la protection des données des citoyens européens. Un véritable casse-tête anglais qui désire être d’autant plus libre aujourd’hui.

Conséquences

Les effets de cascades sont gigantesques. Bien évidemment, le parlement peut toujours se caler sur les lois européennes, mais dans ce cas, ce sera probablement une grande partie du droit sur la protection des données privées de l’état britannique qui devra être amendé… or, pour maintenir un accord avec les USA et en profiter commercialement pour installer les centres de traitement des données, ces lois doivent être plus souples afin de devenir plus compétitif face à l’Irlande. A défaut de se caler sur les lois européennes qui deviendront encore plus strictes, les conséquences pourraient être l’interdiction de faire passer des données sur des serveurs britanniques avant de repartir vers les USA. En effet, le paradoxe voudrait qu’un accord majeur entre les USA et l’UE puisse se faire, mais pas avec l’île. Ce serait d’ailleurs dans l’intérêt de pays comme l’Irlande ou les pays proches de la Grande-Bretagne tels que la France, les Pays-Bas ou encore la Belgique, devenant ainsi de facto les pays les plus proches du continent américain et appliquant un futur bouclier des données. Le R.-U. est ainsi entre le marteau et l’enclume. Imaginez : toutes les banques de la City ne pourraient plus traiter des données issues de l’Europe; les Amazon, Google, etc. ne construiraient plus de serveurs de données sur l’île, etc. Et si pour l’utilisateur lambda comme vous et moi, des contractualisations individuelles peuvent encore être envisagées, des entreprises comme Microsoft offrant leurs services de type AZUR ou AWS pour Amazon, se verraient contraintes de contractualiser avec toutes les entreprises européennes, de manière individuelle.

Or, la Grande-Bretagne est placée de manière stratégique pour la traversée des données dans le monde et, plus particulièrement, entre les deux continents. Elle en tire profit, particulièrement les villes comme Londres (première place bancaire en Europe), Manchester (première place bancaire du R.U.), Glasgow qui voient leurs économies urbaines florissantes grâce à cette place au pied des câbles voguant sous les mers jusqu’au Labrador. Olivier Patel le relève dans un article de Wired le 17 juillet 2020 : Si le Royaume-Uni ne parvient pas à une décision d’adéquation, les exportateurs de données et les régulateurs peuvent également être sceptiques quant à l’utilisation des CSC pour transférer des données de l’UE vers le Royaume-Uni, rendant ces mécanismes vulnérables. Cela pourrait entraîner de graves perturbations à long terme des flux de données UE-Royaume-Uni. Cela serait préjudiciable à l’économie britannique des services et particulièrement problématique pour les secteurs de la finance, des sciences de la vie et des technologies numériques, notamment les centres de données et les fournisseurs de services cloud. Ce sont des dizaines de milliers d’emplois qui sont en jeu et plus encore, c’est le contournement de l’île pour longtemps. Les GAFA ne s’y sont pas trompés et de plus en plus de câbles sont installés directement entre l’Europe continentale et les USA. C’est un signe, les économies numériques n’aiment pas jouer à la roulette russe.

À suivre donc… Belle journée à vous et merci de votre lecture.

Quelques lectures supplémentaires :

The end of Privacy Shield spells trouble for Brexit Britain
The European Court of Justice has ruled that Privacy Shield is invalid
What does the end of Safe Harbour mean for you?
40 maps that explain Internet

Pascal SIMOENS Architecte et urbaniste, Data Curator. Expert Smart Cities. J’ai commencé ma vie en construisant des villes en Lego, j’en ai fait mon métier. Geeks invétéré, aujourd’hui je joins mes passions du numérique et de la ville au travers d’une expertise smart Cities et smart buildings en travaillant en bureau d’étude et j’enseigne cette même expertise à l’UMONS et l’ULB.


[1] Cela signifie que lorsque vous ouvrez votre mur FB, vous vous connectez habituellement à un serveur installé en Irlande et devant répondre aux règles européennes. Toutefois, régulièrement, votre connexion n’est plus en Irlande, mais bien aux USA, sous le couvert du droit américain et non plus européen.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s