Pourquoi faut-il s’intéresser à l’entreprise qui stocke nos données ? L'exemple américain

Depuis plusieurs années, on constate que nos données ont quitté nos serveurs internes et sont de plus en plus stockées sur des serveurs externalisés.

Ce phénomène s’explique par la démocratisation du Cloud computing. Le Cloud est une infrastructure qui se caractérise par le fait que la puissance de calcul et le stockage sont gérés par des serveurs distincts, auxquels les usagers se connectent via une liaison internet sécurisée.

L'avantage de ce stockage externalisé est que l'on peut avoir accès à ces données à tout moment et en tout lieu, à condition de pouvoir s'y connecter.

Par exemple, nous pouvons nous connecter sur notre compte Dropbox et avoir accès à tous les documents qui y sont sauvegardés sur tous les terminaux (ordinateur, smartphone, tablette...), même sur ceux qui ne nous appartiennent pas et sur lesquels on se connecte pour la première fois.

Cela s'explique également par notre utilisation quotidienne des plateformes numériques, que ce soit le moteur de recherche Google, ou encore les réseaux sociaux comme Facebook ou Twitter.

Toutes ces données sont stockées sur des serveurs externes, qui appartiennent à des entreprises, généralement américaines (Google, AWS, Salesforce, Microsoft...). Par exemple, si l'on utilise Gmail, l'ensemble de nos mails est géré par Google.

C'est pourquoi, il est important de s'intéresser à la loi américaine et se poser les questions suivantes : qui a accès à nos données ? Comment peuvent-elles être utilisées ? Sont-elles suffisamment sécurisées ?

A la suite des attentats du 11 septembre 2001, les États-Unis ont décidé de renforcer leur lutte contre le terrorisme. Le 26 septembre 2001, le Congrès vote le Patriot Act qui a pour objectif de permettre aux agences gouvernementales (FBI, CIA, NSA, armée), bénéficiant d'un mandat, d'obtenir des informations dans le cadre d'une enquête relative à des actes terroristes. A l'époque, cette loi visait notamment les échanges téléphoniques.

En mai dernier, le Patriot Act a été étendu. Désormais, les services de renseignement américains peuvent avoir accès à des données contenues dans les historiques des moteurs de recherche.

A cela s'ajoute PRISM, qui est un programme américain de surveillance électronique par la collecte des renseignements à partir d'internet et d'autres fournisseurs des services électroniques. PRISM relève de la NSA et prévoit en particulier de cibler les personnes vivant en dehors des USA.

Le 23 mars 2018, les États-Unis renforcent leur contrôle en votant le CLOUD Act (Clarifyng Lawful Overseas Use of Data Act). Cette loi fédérale contraint toute entreprise américaine à donner accès aux informations qu'elle stocke aux autorités qui le demandent. Cette demande doit être ciblée, effectuée dans le cadre d'une enquête pénale et sous couvert d'un mandat judiciaire. Enfin, cette collecte de données peut être réalisée à l'insu de la personne concernée ou de son État de résidence.

L'ensemble de ces programmes semble uniquement intervenir lors d'enquêtes pénales, et notamment dans le cadre du terrorisme. Ce n'est pas l'avis d'Edward Snowden, ex-consultant de la NSA, qui en 2013 révèle l'existence d'une surveillance mondiale des USA d'internet, des téléphones portables et de tout autre moyen de communication. En effet, la donnée est aujourd'hui devenue le nouvel or noir de notre économie et tant les États que les entreprises souhaitent la collecter en masse en poursuivant des objectifs politiques et économiques.

Comment l'Union européenne tente-t'elle de protéger les données personnelles des citoyens européens ?

Le Règlement général sur la protection des données (RGPD) est applicable uniquement lorsque les données personnelles des résidents de l'UE sont concernés et cela peu importe que la société qui gère les données soit établie ou non au sein de l'UE.

Toutefois, en pratique, il est compliqué de contrôler totalement l'usage des données fait par les entreprises américaines.

La meilleure solution reste donc d'utiliser des outils européens sécurisés; on parle par exemple du "Cloud Souverain" ou "Cloud de confiance".

Le RGPD encadre les transferts extraterritoriaux en contraignant les responsables de transfert et les sous-traitants de vérifier le niveau de protection des données personnelles dans l’État visé. Ainsi, les transferts de données personnelles sont libres entre tous les États de l'UE et de l'EEE. Dans les autres cas, les États utilisent des outils permettant de prouver un niveau de protection suffisant et approprié :

1- Les Binding Corporate Rules (BCR) sont des règles internes de protection des données posées par des grands groupes d'entreprises multinationales, implantées à la fois dans l'UE et en dehors de l'UE. Elles sont approuvées par les autorités nationales de protection des données.

2- Les Clauses Contractuelles Types (CCT) sont des modèles de contrats de transferts de données, rédigées par la Commission européenne.

3- Enfin, les Décisions d'adéquation de la Commission européenne sont des décisions par lesquelles la Commission constate qu'un État, un organisme ou une entreprise assure un niveau de protection adéquat, en prenant en compte plusieurs critères. C'est cette voie qu'ont choisi les USA, tout d'abord via le Safe Harbor (2000-2015), puis le Privacy Shield (2016-2020). Ces deux outils ont finalement été invalidés par la Cour de justice de l'Union car ils ont été jugés incompatibles aux exigences du RGPD.

La question des transferts de données est cruciale et fera certainement l'actualité les prochains mois et années. Le 10 septembre 2020, on apprend que la Data Protection Commission- la "CNIL irlandaise"- a demandé à Facebook de cesser de transférer les données des utilisateurs européens vers les USA en vertu de l'invalidation du Privacy Shield. Le 14 septembre dernier, Facebook a déposé un recours contre cette décision.

Donc, les particuliers comme les entreprises doivent s'intéresser à la nationalité de l'entreprise qui stocke leurs données, mais également à ses garanties de sécurité. Ces derniers risquent de perdre des informations ou de voir leurs concurrents d'un État tiers, comme les USA, les réutiliser en leur faveur.