À l'heure où nos sociétés et nos économies reposent chaque jour davantage sur les technologies numériques, la nécessité de partager et transférer des données (notamment des données à caractère personnel) sur Internet augmente. Les flux de données transfrontaliers sont devenus essentiels au commerce international et au développement économique mondial. En réalité, la transformation numérique de l'économie mondiale n'aurait jamais pu se dérouler comme elle l'a fait en l'absence de l'architecture ouverte et mondiale de l'Internet et de la capacité des données à transcender les frontières nationales. Comme nous l'avons décrit dans notre article de blog hier, la localisation des données n'améliore pas nécessairement la confidentialité des données. À vrai dire, la sécurité (et par extension, la confidentialité) des données pourrait réellement progresser si nous avons la possibilité de transférer des données au-delà des frontières. C'est pourquoi, à l'occasion de la Journée de la protection des données, qui aura lieu demain, nous avons voulu profiter de cette occasion pour examiner dans le détail l'environnement actuel des transferts de données à caractère personnel depuis l'UE vers les États-Unis, qui est régi par le Règlement général sur la protection des données (RGPD) de l'UE. En pensant à l'avenir, nous plaiderons en faveur d'un cadre mondial plus stable dédié aux transferts de données transfrontaliers, qui sera indispensable à un Internet ouvert, plus sûr et plus privé.
Le défi que représente la confidentialité des flux de données transfrontaliers
Au cours de cette dernière décennie, nous avons observé, à travers le monde, une tendance croissante à circonscrire l'Internet et à ériger de nouvelles barrières aux flux internationaux de données, et notamment de données à caractère personnel. Dans certains cas, cette tendance s'est traduite par une réduction du choix et une diminution des performances pour les utilisateurs de produits et services numériques ; dans d'autres cas, elle a restreint le libre accès à l'information et, paradoxalement, a même porté préjudice à la sécurité et la confidentialité des données, allant à l'encontre même de la raison d'être des réglementations relatives à la protection des données. Les motifs de ces évolutions préoccupantes sont nombreux, et vont du manque de confiance dans la protection de la confidentialité dans les pays tiers à l'affirmation de la sécurité nationale, mais également à une volonté d'autodétermination économique.
Au sein de l'Union européenne, ces dernières années, même les entreprises les plus soucieuses de la confidentialité (telles que Cloudflare) ont été confrontées à un déluge de spéculations et de préoccupations émanant d'un certain nombre d'autorités de protection des données et d'activistes de la confidentialité, particulièrement intransigeants, ainsi que d'autres entités, demandant si les données traitées par les fournisseurs de services de Cloud américains pouvaient réellement être traitées conformément au RGPD. Souvent, ces préoccupations sont purement légalistes et ne tiennent pas compte des risques réels associés à un transfert de données spécifique – et dans le cas de Cloudflare, de la contribution essentielle de nos services à la sécurité et la confidentialité de millions d'internautes européens. En réalité, les directives officielles formulées par le Conseil européen de la protection des données (CEPD) ont confirmé que les données à caractère personnel de l'UE peuvent toujours être traitées aux États-Unis ; cependant, la situation est devenue assez complexe depuis la suspension du cadre du bouclier de protection des données par la Cour de justice de l'Union européenne dans son arrêt Schrems II de 2020 : les responsables du traitement des données doivent employer des mécanismes de transfert légaux, tels que les clauses contractuelles types de l'UE, et mettre en œuvre une multitude de garanties juridiques, techniques et organisationnelles supplémentaires.
En définitive, toutefois, c'est aux autorités compétentes en matière de protection des données qu'il appartient de décider si ces mesures sont suffisantes, selon une interprétation au cas par cas. Puisque ces cas sont souvent assez complexes, dans la mesure où chaque cas est différent et qu'il existe pas moins de 45 autorités de protection des données en Europe, cette approche est simplement inadaptée. En outre, les autorités de protection des données ne parviennent pas à s'accorder (et ce, parfois même au sein d'un même pays de l'UE, comme l'Allemagne) sur interprétation de la législation relative aux transferts de données vers des pays tiers. Et lorsqu'une décision de justice doit être rendue, nous savons d'expérience qu'au regard de la protection des données, les tribunaux ont tendance à se montrer plus pragmatiques et pondérés que les autorités chargées de la protection des données. Toutefois, porter une affaire de protection des données devant un tribunal demande beaucoup de temps et de ressources. Cela s'avère particulièrement problématique pour les petites entreprises, qui ne peuvent se permettre de financer de longues batailles juridiques. Par conséquent, la menace théorique d'une lourde amende infligée par une autorité de protection des données peut suffire à les dissuader complètement d'avoir recours à des services impliquant le transfert de données vers des pays tiers, même si ces services offrent une sécurité et une confidentialité supérieures pour les données à caractère personnel que traitent les entreprises et qu'ils permettent d'améliorer leur productivité. Cela n'est clairement pas dans l'intérêt de l'économie européenne, et ce n'était très probablement pas l'intention des décideurs politiques lorsqu'ils ont adopté le RGPD en 2016.
La bonne nouvelle : un espoir apparaît à l'horizon
Les récents développements ne permettront pas de relever tous les défis évoqués ci-dessus, mais en décembre dernier, au terme d'années de négociations complexes, les décideurs politiques internationaux ont adopté deux dispositions importantes visant à restaurer la sécurité juridique et la confiance concernant les flux transfrontaliers de données à caractère personnel.
Le 13 décembre 2022, la Commission européenne a publié son évaluation préliminaire, longuement attendue, selon laquelle l'UE considérerait que les données à caractère personnel transférées depuis l'UE vers les États-Unis en vertu du futur cadre de protection des données (« UE-US Data Privacy Framework ») bénéficient d'une protection adéquate aux États-Unis. Cette évaluation fait suite à la récente signature du décret Executive Order 14086 par le président américain Biden, qui répond de manière exhaustive aux préoccupations exprimées par la Cour de justice de l'Union européenne (CJUE) dans son arrêt Schrems II de 2020. Le gouvernement américain imposera notamment des restrictions supplémentaires à l'utilisation, par les autorités américaines, de méthodes de surveillance de masse contre des citoyens non américains et établira un mécanisme de recours indépendant aux États-Unis, permettant aux personnes concernées de l'UE d'exercer leurs droits en matière de protection des données. Bien que l'évaluation initiale par la Commission ne soit que le début d'un processus de ratification par l'UE, qui devrait demander environ 4 à 6 mois, les experts sont très optimistes quant à son adoption finale.
Un jour plus tard seulement, les États-Unis et les 37 autres pays de l'OCDE et de l'Union européenne ont adopté un accord, unique en son genre, visant à renforcer la confiance dans les flux de données transfrontaliers entre les systèmes démocratiques gouvernés par l'État de droit. Cet accord énonce des principes communs sous-tendant des garanties visant à protéger la confidentialité et d'autres droits de l'homme et libertés lorsque les gouvernements accèdent aux données personnelles détenues par des entités privées pour des motifs de sécurité nationale et d'application de la loi. Lorsque des cadres juridiques exigent que des flux de données transfrontaliers soient soumis à des garanties, comme c'est le cas du RGPD au sein de l'UE, les participants ont convenu de « prendre en compte la mise en œuvre effective des principes, par le pays de destination, comme une contribution positive à la facilitation des flux de données transfrontaliers dans le cadre de l'application de ces règles ». (Il est également opportun de remarquer que, conformément à la mission de Cloudflare, consistant à contribuer à bâtir un Internet meilleur, la déclaration de l'OCDE rappelle l'engagement commun des membres en faveur d'un « Internet mondial, ouvert, accessible, interconnecté, interopérable, fiable et sécurisé ».)
L'avenir : un cadre de protection de la confidentialité véritablement mondial
Le cadre EU-US Data Privacy Framework et la déclaration de l'OCDE sont complémentaires et constituent tous deux des étapes importantes pour rétablir la confiance envers les flux de données transfrontaliers entre des pays qui partagent des valeurs communes telles que la démocratie et l'État de droit, la protection de la confidentialité et d'autres droits de l'homme et libertés. Toutefois, ces deux approches comportent certaines restrictions : le cadre Data Privacy Framework est limité aux transferts de données à caractère personnel depuis l'UE vers les États-Unis, et il n'est pas exclu qu'il soit à nouveau invalidé par la CJUE dans quelques années, car les défenseurs de la confidentialité ont d'ores et déjà annoncé qu'ils le contesteraient à nouveau sur le plan juridique. La déclaration de l'OCDE, quant à elle, possède une portée mondiale, mais se limite à des principes généraux à l'intention des gouvernements, qui, dans la pratique, peuvent être interprétés très différemment.
C'est pourquoi, en plus de ces initiatives, nous avons besoin d'un cadre stable et multilatéral, comportant des exigences spécifiques en matière de protection de la confidentialité, qui ne peut être invalidé unilatéralement. Une certification mondiale unique devrait suffire à permettre aux entreprises participantes de transférer en toute sécurité des données à caractère personnel entre les pays participants dans le monde entier. La certification émergente Global Cross Border Privacy Rules (CBPR), qui a déjà recueilli le soutien de plusieurs gouvernements d'Amérique du Nord et d'Asie, semble très prometteuse à cet égard.
Les décideurs européens devront, en fin de compte, décider s'ils veulent poursuivre sur la voie actuelle, qui risque de faire de l'Europe un îlot de données isolé. À l'inverse, l'UE pourrait réviser sa réglementation relative à la confidentialité des données dans le but d'empêcher les nombreuses autorités nationales et régionales européennes de protection des données de l'interpréter d'une manière déconnectée de la réalité. Elle pourrait également le rendre interopérable avec un cadre mondial dédié aux flux de données transfrontaliers, fondé sur des valeurs communes et une confiance mutuelle.
Cloudflare continuera à s'impliquer activement auprès des décideurs politiques du monde entier, afin de les sensibiliser aux défis concrets auxquels est confronté notre secteur de l'industrie et d'œuvrer à l'élaboration de solutions politiques durables, pour un Internet ouvert et interconnecté, plus privé et plus sûr.
La Journée de la protection des données, qui aura lieu demain, est une occasion unique pour nous tous de célébrer les progrès considérables accomplis à ce jour dans le but de protéger la confidentialité des utilisateurs en ligne. Dans le même temps, nous devrions profiter de cette journée pour réfléchir à la façon dont les réglementations peuvent être adaptées ou appliquées dans le but de protéger plus efficacement la confidentialité, notamment en priorisant l'utilisation des technologies d'amélioration de la sécurité et de la confidentialité, plutôt que des approches prohibitives, qui grèvent l'économie sans toutefois apporter de bénéfices tangibles en matière de confidentialité.