À l'occasion de la Journée européenne de la protection des données 2024, le 28 janvier, la Commission européenne lance un appel à témoignages afin de comprendre le fonctionnement du Règlement général sur la protection des données (RGPD) de l'UE, tandis qu'approche le 6e anniversaire de son entrée en vigueur.
Nous sommes ravis de cette invitation, car nous avons quelques réflexions à ce sujet. Et quelle meilleure façon de célébrer la Journée européenne de la protection des données que de nous demander si l'application du RGPD a réellement contribué à améliorer la vie privée des citoyens ?
La réponse est « Oui, dans l'ensemble, mais non, sur quelques points importants ».
Dans l'ensemble, le RGPD est considéré à juste titre comme la référence mondiale en matière de protection de la confidentialité des données. Il a servi de modèle aux pratiques de protection des données dans le monde entier ; il consacre des droits des personnes concernées qui ont été copiés dans toutes les juridictions ; et lors de son entrée en vigueur, il a imposé des niveaux de protection de la confidentialité des données que les citoyens du monde entier devraient pouvoir attendre et exiger de la part des entités qui traitent leurs données à caractère personnel. Dans l'ensemble, le RGPD est incontestablement une évolution bénéfique, puisqu'il donne aux personnes davantage de contrôle sur leurs données personnelles tout en protégeant la confidentialité de leurs données.
Dans certains domaines essentiels, cependant, nous pensons que l'application du RGPD aux flux de données transitant sur Internet n'a rien fait pour améliorer la confidentialité des données, et qu'il pourrait même, en réalité, compromettre la protection des données à caractère personnel. Le premier domaine dans lequel nous réalisons ce constat est celui des transferts transfrontaliers de données. Dans l'esprit de nombreuses autorités européennes de régulation de la protection des données, la localisation est devenue un substitut à la confidentialité des données, et nous pensons que cette issue n'est pas la bonne. Le deuxième domaine est l'interprétation trop large, par certaines autorités de régulation, de la nature des « données à caractère personnel » au regard des adresses IP (« Internet Protocol »). Nous soutenons que les adresses IP ne devraient pas toujours être considérées comme des données à caractère personnel, notamment lorsque les entités qui traitent les adresses IP n'ont pas la possibilité de les associer à des personnes. Cet aspect est important, car la capacité à mettre en œuvre un certain nombre de mesures de cybersécurité ultra-performantes repose sur la capacité à extraire des informations sur les menaces des métadonnées du trafic Internet, notamment des adresses IP.
La localisation ne doit pas être un substitut à la confidentialité des données
Fondamentalement, de bonnes pratiques en matière de sécurité et de confidentialité des données devraient permettre la protection des données à caractère personnel, quel que soit l'endroit où elles sont traitées ou stockées. Néanmoins, le RGPD est fondé sur l'idée que les protections juridiques doivent s'attacher aux données à caractère personnel en fonction de l'endroit où elles sont générées, traitées ou stockées. Les articles 44 à 49 établissent les conditions qui doivent être présentes pour que les données puissent être transférées vers une juridiction située hors de l'UE, avec l'idée que même si les données se trouvent dans un endroit différent, les protections de la confidentialité des données établies par le RGPD devraient suivre les données. Il ne fait aucun doute que cette approche a été influencée par les événements politiques survenus autour des pratiques de surveillance gouvernementales, notamment la divulgation, en 2013, de documents secrets décrivant la relation entre l'agence américaine NSA (et ses partenaires au sein de Five Eyes) et les grandes entreprises Internet, mais également par les révélations selon lesquelles les agences de renseignement utilisaient les goulets d'étranglement sur Internet pour la collecte de données. Et lorsque le RGPD est entré en vigueur, de nombreuses autorités de régulation des données au sein de l'UE ont estimé qu'en raison des restrictions imposées par le RGPD sur les transferts de données transfrontaliers, le traitement des données personnelles européennes aux États-Unis était tout simplement inenvisageable d'une manière compatible avec le RGPD.
Cette question a pris une ampleur nouvelle en juillet 2020, lorsque la Cour de justice de l'Union européenne (CJUE), dans sa décision « Schrems II »1, a invalidé la l'adéquation du bouclier de protection des données UE-États-Unis et remis en question la pertinence des clauses contractuelles types de l'UE (un mécanisme que les entités peuvent utiliser afin de s'assurer que les protections du RGPD sont appliquées aux données personnelles des citoyens de l'UE, même lorsque celles-ci sont traitées en dehors de l'UE). À certains égards, la décision a laissé aux autorités de régulation de la protection des données une marge de manœuvre réduite au regard des questions sur les flux de données transatlantiques. Toutefois, alors que certaines autorités de régulation ont choisi de considérer l'arrêt Schrems II selon une perspective qui permette encore le traitement des données à caractère personnel de citoyens de l'UE aux États-Unis, d'autres autorités de régulation de la protection des données ont vu dans cette décision l'occasion de réaffirmer leur point de vue, selon lequel le traitement aux États-Unis des données à caractère personnel des citoyens de l'UE ne pouvait se dérouler conformément au RGPD, encourageant ainsi l'idée erronée que la localisation des données devrait être un substitut à la protection des données.
En réalité, nous pensons que c'est plutôt l'inverse qui se produit. D'après notre propre expérience, et selon de récentes études2, nous savons que la localisation des données menace la capacité d'une entreprise à mettre en œuvre une gestion intégrée des risques liés à la cybersécurité et qu'elle grève la capacité d'une entité à employer des mesures de cybersécurité performantes, dont l'efficacité est tributaire de transferts de données transfrontaliers. Par exemple, la précision du produit Gestion des bots de Cloudflare s'améliore uniquement au fur et à mesure de son utilisation sur le réseau mondial ; le service détecte et bloque le trafic provenant probablement de bots, puis transmet les enseignements recueillis aux modèles sur lesquels repose le produit. La diversité des signaux et l'ampleur des données sur une plateforme mondiale sont essentielles pour nous aider à continuer à faire évoluer nos outils de détection de bots. Si Internet était fragmenté, ce qui empêcherait l'utilisation des données d'une juridiction dans une autre, nous manquerions un nombre croissant de signaux. Nous ne pourrions pas appliquer les enseignements issus de l'étude des tendances des bots en Asie aux initiatives d'atténuation des bots en Europe, par exemple. Et si la capacité d'identifier le trafic lié aux bots est entravée, il en va de même pour la capacité d'empêcher ces bots nuisibles d'accéder aux services qui traitent les données à caractère personnel.
La nécessité de mettre en place des mesures de cybersécurité ultra-performantes est manifeste, et nul ne peut prétendre que les autorités de protection des données n'en sont pas conscientes. Si l'on examine les procédures exécutoires mises en œuvre à l'encontre d'une entité victime d'une violation de données, on constate que les autorités de régulation de la protection des données insistent pour que les entités concernées déploient des mesures de cybersécurité toujours plus robustes, conformément à l'obligation imposée par l'article 32 du RGPD aux responsables du traitement et aux sous-traitants de « [mettre] en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », « compte tenu de l'état des connaissances ». En outre, la localisation des données compromet le partage d'informations au sein de l'industrie et avec les agences gouvernementales aux fins de la cybersécurité, une démarche généralement reconnue comme vitale pour une cybersécurité efficace.
Ainsi, bien que le RGPD lui-même établisse un cadre solide pour la sécurisation des données à caractère personnel afin de garantir leur confidentialité, l'application des dispositions du RGPD relatives aux transferts de données transfrontaliers a déformé et dévoyé l'objectif du RGPD. C'est un exemple classique de l'incapacité à voir au-delà de l'arbre qui cache la forêt. Si le RGPD est appliqué de manière à privilégier la localisation des données à la confidentialité et la sécurité des données, c'est la protection des données des citoyens qui en pâtit.
L'application des règles relatives aux transferts de données aux adresses IP pourrait conduire à une balkanisation de l'Internet
L'autre approche fondamentale par laquelle l'application du RGPD a été préjudiciable à la confidentialité des données à caractère personnel est liée à la définition du terme « données à caractère personnel » dans le contexte d'Internet, notamment au regard des adresses IP (« Internet Protocol »). Un monde dans lequel les adresses IP sont toujours traitées comme des données à caractère personnel, et donc soumises aux règles sur les transferts de données du RGPD, est un monde qui pourrait s'approcher dangereusement d'un Internet européen cloisonné. Comme nous l'avons établi plus haut, cela pourrait avoir de graves conséquences sur la confidentialité des données, sans parler du fait que l'UE se trouverait probablement coupée d'un certain nombre de marketplaces, d'échanges d'informations et de plateformes de réseaux sociaux dans le monde entier.
Il s'agit d'un argument quelque peu complexe, qu'il convient donc de décomposer. Comme la plupart d'entre nous le savent, les adresses IP sont le système d'adressage d'Internet. Lorsque vous transmettez une requête à un site web, envoyez un e-mail ou communiquez en ligne de quelque manière que ce soit, les adresses IP connectent votre requête à la destination à laquelle vous essayez d'accéder. Ces adresses IP sont la clé qui permet d'assurer que le trafic Internet est acheminé jusqu'à sa destination. Internet étant un réseau mondial, il est tout à fait possible que le trafic Internet (qui contient, par nécessité, des adresses IP) franchisse des frontières nationales. En effet, la destination à laquelle vous essayez d'accéder peut être située dans une juridiction complètement différente de la vôtre ; c'est ainsi que fonctionne Internet. Voilà pour les fondamentaux.
Toutefois, si les adresses IP sont considérées comme des données à caractère personnel, elles sont soumises aux restrictions relatives aux transferts de données prévues par le RGPD. Et compte tenu de la manière dont ces dispositions ont été appliquées, ces dernières années, certaines autorités de régulation des données étaient manifestement à deux doigts de déclarer que les adresses IP ne pouvaient pas franchir les frontières juridictionnelles, si cela signifiait que des données risquaient d'être envoyées aux États-Unis. La récente approbation par l'UE du cadre UE-États-Unis de protection des données personnelles a permis d'établir l'adéquation des entités américaines certifiées conformes à ce cadre ; par conséquent, ces transferts de données transfrontaliers ne posent pas de problème à l'heure actuelle. Toutefois, si le cadre de protection des données devait être invalidé, comme le bouclier de protection des données UE-États-Unis l'a été par la décision Schrems II, nous pourrions nous retrouver dans une situation dans laquelle l'application du RGPD entraînerait l'impossibilité de traiter aux États-Unis les adresses IP ostensiblement reliées à des résidents de l'UE, voire l'impossibilité pour elles de quitter l'UE.
Si tel était le cas, les fournisseurs devraient commencer à développer des réseaux exclusifs à l'Europe, afin d'assurer que les adresses IP ne franchissent jamais les frontières juridictionnelles. Mais comment les citoyens de l'UE et des États-Unis pourraient-ils communiquer si les adresses IP de l'UE ne pouvaient pas être transmises aux États-Unis ? Les citoyens de l'UE se verraient-ils interdire l'accès aux contenus stockés aux États-Unis ? Cette application du RGPD aboutirait à un résultat absurde, qui n'était certainement pas l'intention de ses rédacteurs. Et pourtant, à la lumière de l'affaire Schrems II et de l'application du RGPD, nous n'en sommes pas loin.
Une solution envisageable consisterait à considérer que les adresses IP ne constituent pas toujours des « données à caractère personnel » soumises au RGPD. En 2016, avant même l'entrée en vigueur du RGPD, la Cour de justice de l'Union européenne (CJUE) a établi, dans l'affaire Breyer v. Bundesrepublik Deutschland, que même les adresses IP dynamiques, qui changent lors de chaque nouvelle connexion à Internet, constituaient des données à caractère personnel dès lors qu'une entité traitant une adresse IP pouvait relier l'adresse IP à une personne. Bien que la décision de la Cour n'ait pas affirmé que les adresses IP dynamiques sont toujours des données à caractère personnel, en vertu de la législation européenne en matière de protection des données, c'est exactement ce que les autorités de régulation de la protection des données au sein de l'UE ont retenu de cette décision, sans toutefois se demander si une entité était réellement en mesure de relier une adresse IP à une personne réelle3.
La question de savoir à quel moment un identifiant peut être considéré comme une « donnée à caractère personnel » est à nouveau soumise à la CJUE : en avril 2023, le Tribunal de l'UE a statué, dans l'affaire Conseil de résolution unique contre Contrôleur européen de la protection des données4, que les données transmises peuvent être considérées comme anonymisées et ne sont donc pas des données à caractère personnel si le destinataire des données ne dispose d'aucune information supplémentaire raisonnablement susceptible de lui permettre de réidentifier les personnes concernées, et s'il ne dispose d'aucun moyen légal d'accéder à de telles informations. Le requérant, le Contrôleur européen de la protection des données (CEPD), ne partage pas cet avis. Le CEPD, qui supervise principalement le respect de la confidentialité des données par les institutions et organes de l'UE, fait appel de la décision et soutient qu'un identifiant unique devrait être considéré comme une donnée à caractère personnel dès lors que cet identifiant peut être relié à une personne, indépendamment du fait que l'entité détenant l'identifiant ait ou non les moyens d'établir un tel lien .
Si la décision de bon sens du tribunal inférieur est maintenue, on pourrait soutenir que les adresses IP ne sont pas des données à caractère personnel lorsqu'elles sont traitées par des entités telles que Cloudflare, qui n'ont aucun moyen de relier une adresse IP à une personne. Si les adresses IP ne sont donc pas toujours des données à caractère personnel, les adresses IP ne seront pas toujours soumises aux règles du RGPD sur les transferts de données transfrontaliers.
Bien que cela puisse sembler contre-intuitif, l'adoption d'une norme selon laquelle une adresse IP ne constitue pas nécessairement une « donnée à caractère personnel » serait en réalité une évolution favorable à la confidentialité des données. Si les adresses IP peuvent circuler librement sur Internet, les entités au sein de l'UE peuvent faire appel à des fournisseurs de cybersécurité situés hors de l'UE pour les aider à sécuriser leurs données à caractère personnel. Les techniques avancées d'apprentissage automatique/d'IA prédictive qui examinent les adresses IP afin d'offrir une protection contre les attaques DDoS, bloquer les bots ou offrir une protection contre les violations de données à caractère personnel pourront puiser dans des modèles d'attaques et des informations sur les menaces provenant du monde entier, au bénéfice des entités et des résidents de l'UE. Toutefois, aucun de ces avantages ne peut être concrétisé dans un monde où les adresses IP sont toujours des données personnelles, en vertu du RGPD, et où les règles relatives aux transferts de données du RGPD sont interprétées comme signifiant que les adresses IP reliées aux résidents de l'UE ne peuvent jamais circuler vers les États-Unis.
Priorité à la confidentialité des données
À l'occasion de cette Journée européenne de la protection des données, nous demandons instamment aux décideurs politiques de l'UE d'examiner de près le fonctionnement du RGPD dans la pratique et de prendre note des situations dans lesquelles l'application du RGPD place la confidentialité des données au-dessus de toute autre considération – même des mesures de sécurité appropriées mandatées par l'article 32 du RGPD, qui tiennent compte de l'état des connaissances. Lorsque c'est le cas, cette application peut, en réalité, être préjudiciable à la confidentialité des données. Poussée à l'extrême, cette approche formelle aurait non seulement une incidence négative sur la cybersécurité et la protection des données, mais remettrait même en question le fonctionnement de l'infrastructure mondiale Internet dans son ensemble, puisqu'elle dépend des flux de données transfrontaliers. Que peut-on faire pour éviter cela ?
Tout d'abord, nous pensons que les décideurs politiques au sein de l'UE pourraient adopter des lignes directrices (voire une clarification juridique) à l'intention des autorités de régulation, selon lesquelles les adresses IP ne doivent pas être considérées comme des données à caractère personnel lorsqu'une entité ne peut pas les relier à une personne réelle. Deuxièmement, les décideurs politiques devraient préciser que l'application du RGPD devrait être envisagée en gardant à l'esprit les avantages qu'offre le traitement des données au regard de la cybersécurité. Sur la base du considérant 49 du RGPD, qui reconnaît à juste titre la cybersécurité comme un intérêt légitime aux fins du traitement, les données à caractère personnel devant être traitées en dehors de l'UE aux fins de la cybersécurité devraient être exemptées des restrictions imposées par le RGPD aux transferts internationaux de données. Cette exemption permettrait d'éviter certains des pires effets découlant de la posture qui considère actuellement la localisation des données comme un substitut à la confidentialité des données. Une telle évolution constituerait une application du RGPD véritablement favorable à la confidentialité des données.
1 Case C-311/18, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems.
2 Swire, Peter and Kennedy-Mayo, DeBrae and Bagley, Andrew and Modak, Avani and Krasser, Sven and Bausewein, Christoph, Risks to Cybersecurity from Data Localization, Organized by Techniques, Tactics, and Procedures (2023).
3 Different decisions by the European data protection authorities, namely the Austrian DSB (December 2021), the French CNIL (February 2022) and the Italian Garante (June 2022), while analyzing the use of Google Analytics, have rejected the relative approach used by the Breyer case and considered that an IP address should always be considered as personal data. Only the decision issued by the Spanish AEPD (December 2022) followed the same interpretation of the Breyer case. In addition, see paragraphs 109 and 136 in Guidelines by Supervisory Authorities for Tele-Media Providers, DSK (2021).
4 Single Resolution Board v EDPS, Court of Justice of the European Union, April 2023.