Souveraineté des données et gestion des risques : cinq grandes tendances
À qui cet article s'adresse-t-il ?
Vous êtes chargé, au sein de votre entreprise, de gérer les risques liés aux transferts internationaux de données ? Cet article pourrait bien vous intéresser. Il présente cinq grandes problématiques en matière de protection des données.
Souveraineté des données et incertitudes
Les données sont soumises aux protections et réglementations légales du pays dans lequel elles sont physiquement stockées. Les gouvernements accordent donc la plus grande attention à la souveraineté des données.
Voici les cinq grandes problématiques à retenir :
Les clients se montrent de plus en plus préoccupés par l'utilisation faite de leurs données personnelles
Selon une étude de la Digital Marketing Association britannique, les utilisateurs ont le sentiment de perdre le contrôle sur leurs données. Ils se sentent dans l'incapacité d'empêcher les entreprises de collecter des informations sur eux [1]. D'après une autre enquête, un tiers des consommateurs se disent prêts à changer de prestataire en raison de son traitement des données ou de ses politiques de partage des données.[2] De plus en plus, les consommateurs se soucient de savoir où leurs données sont hébergées et traitées, et qui y a accès.
Pour entretenir la fidélité et la confiance de leurs clients, les entreprises doivent désormais miser sur la sécurité des données. Elles doivent faire preuve de transparence sur la manière dont elles utilisent les données personnelles. Elles ne peuvent plus se cacher derrière des conditions générales d'utilisation complexes et un jargon juridique incompréhensible.
Internet se fragmente. Les transferts de données sont menacés.
Depuis 2019, l'Organisation mondiale du commerce (OMC) tente de négocier des dispositions qui régiraient les flux de données transfrontaliers. Mais il existe de nombreuses réserves quant à la libre circulation des données. À ce jour, la moitié des 184 nations membres a choisi de ne pas participer aux pourparlers. Ces nations ne sont pas encore disposées à élaborer des règles communes.
Ce manque de cohérence n'empêchera pas les mouvements internationaux de données, mais tant qu'une réglementation mondiale sur les échanges de données personnelles n'aura pas été adoptée, les entreprises devront faire face à diverses réglementations concurrentes.
Les transferts internationaux de données comportent des risques que les entreprises doivent maîtriser. Elles doivent :
- utiliser les clauses contractuelles types révisées de la Commission européenne (CCS) pour les transferts internationaux de données
- réduire au minimum les transferts de données vers les pays offrant une protection inadéquate des données
- procéder à des évaluations d'impact lorsque des échanges de données ont lieu avec des pays possédant une législation inadéquate en matière de protection des données.
L'application de la législation sur la protection des données personnelles renoue avec une approche plus « punitive »
Les amendes liées au RGPD ont augmenté et les autorités de contrôle européennes se montrent implacables. Voici les cinq plus grosses amendes RGPD infligées en 2021 :
- Amazon - 746 millions d'euros
- WhatsApp - 225 millions d'euros
- Notebooksbilliger.de - 10,4 millions d'euros
- Poste autrichienne - 9,5 millions d'euros
- Vodafone España - 8,15 millions d'euros[3].
Les entreprises qui ne respectent pas le RGPD s'exposent à de lourdes sanctions. Les amendes encourues doivent être prises en compte dans les calculs de risques en matière de transfert de données.
Les entreprises peuvent gérer les risques en documentant et en communiquant leurs politiques de sécurité, et en contrôlant leur conformité.
Du fait d'une ambiguïté juridique persistante, les entreprises doivent favoriser un traitement local des données
Le 16 juillet 2020, la Cour de justice des Communautés européennes (CJCE) a annulé le bouclier de protection de la vie privée UE-États-Unis, ou « Privacy Shield ». Ce texte facilitait le transfert de données entre les entreprises européennes et américaines. L'invalidation du Privacy Shield répondait aux inquiétudes européennes concernant les systèmes de surveillance américains.
Pour autant, fin 2021, de récentes déclarations ont été faites par des responsables européens et américains. Elles laissent espérer l'adoption imminente d'un nouveau Privacy Shield (Privacy Shield 2.0). Mais tant que la Cour de justice de l'UE ne se sera pas prononcée, il est peu probable que les entreprises fassent l'effort de se plier à cette réglementation.
Les transferts internationaux de données sont régis par une législation d'une grande ambiguïté. Il est donc légitime que les entreprises questionnent l'intérêt des transferts internationaux de données, et s'orientent davantage vers un traitement localisé des données.
Les États-Unis pourraient se doter d'une loi fédérale sur la protection de la vie privée inspirée du RGPD
Le marché informatique est dominé par les entreprises américaines. Pour le moment, la loi américaine sur la confidentialité des données se compose d'une mosaïque complexe de lois sectorielles et étatiques.
Après plusieurs décennies de travail, un projet de loi fédéral sur la confidentialité des données a été publié en juin 2022. Il ressemble au RGPD mais comporte des lacunes et des exemptions. Les experts sont optimistes quant à une adoption de ce texte d'ici deux ans. Il faudra ensuite demander à la Commission européenne de lui accorder le statut d'adéquation. Cela pourrait prendre des années, et il n'existe aucune certitude.
Les entreprises doivent questionner l'intérêt des transferts internationaux de données, et envisager un traitement localisé des données.
Mondialisation des données versus protectionnisme
La souveraineté des données est tiraillée entre, d'une part, un mouvement de mondialisation des données, et d'autre part, une forme de protectionnisme (avec l'émergence de sphères d'influence régionales concurrentes). Ces forces sont présentées ici, dans l'image 1.
Image 1 : Les forces de mondialisation des données et de protectionnisme des données.
« Les entreprises conçoivent, produisent, vendent et entretiennent l'écosystème numérique. D'une certaine manière, les États sont donc dépendants de ces entreprises. Mais ils ont le pouvoir de réguler l'espace numérique. »
Luciano Floridi, professeur de philosophie et d'éthique de l'information, Université d'Oxford. [5]
Difficile de prévoir quelles « forces » l'emporteront
Pour réguler les mouvements internationaux de données, les gouvernements doivent parvenir à un accord mondial sur la protection des données personnelles. Les progrès sont malheureusement très lents. Et les transferts de données entre l'UE et les États-Unis devraient rester problématiques pendant de nombreuses années.
Recommandations d'ordre général, pour minimiser les risques
Pour gérer les risques liés au transfert international de données, les entreprises européennes doivent :
● Minimiser et simplifier les flux de données
● Utiliser les CSC approuvés par l'UE pour le transfert de données personnelles.
● Choisir ou non d'élaborer en interne des règles corporatives contraignantes (BCR) pour approbation par l'UE (une seule approbation requise)
● Faire pression sur la Commission européenne pour accélérer ce processus d'approbation (celui-ci prend actuellement de 3 à 4 ans, sans garantie de délai).[6]
Si vous êtes intéressé par des solutions de services managés permettant d'éliminer les risques liés au transfert de données, n'hésitez pas à nous contacter.
Avis juridique important
L'auteur de ce document possède une solide expérience dans la prospection de l'or, la pâtisserie, l'imagerie satellite et la cybersécurité. Il ne possède toutefois pas de formation juridique. Toute déclaration juridique faite dans ce document doit être vérifiée.
Références
[1] https://dma.org.uk/uploads/misc/5a857c4fdf846-data-privacy---what-the-consumer-really-thinks-final_5a857c4fdf799.pdf
[2] https://hbr.org/2020/01/do-you-care-about-privacy-as-much-as-your-customers-do
[3] https://immedis.com/blog/why-we-all-need-to-be-concerned-about-data-sovereignty/
[4] https://www.politico.com/news/2022/06/03/bipartisan-draft-bill-breaks-stalemate-on-federal-privacy-bill-negotiations-00037092
[5] https://www.hinrichfoundation.com/research/article/digital/data-is-disruptive-how-data-sovereignty-is-challenging-data-governance/
[6] Fieldfisher s'exprime avec beaucoup de justesse sur la loi sur la protection des données sur le blog suivant : https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/what-future-for-the-transfers-of-personal-data