Trump, les données et le nuage européen

Tandis que le débat fait rage sur la question de la protection de la vie privée, le président des Etats-Unis a ratifié en mars le Cloud Act qui entend légiférer sur les données personnelles stockées hors du territoire américain.


Le 6 février 2018, le Congrès américain a voté avec une rapidité et une discrétion troublante, au sein des 2232 pages de la loi de finances, un texte de Loi intitulé le CLOUD ACT. Le cloud est une technologie officiellement traduite en français par l’expression « informatique en nuage », qui signifie que l’une de ses caractéristiques est que les organisations qui y recourent placent leurs données en dehors de leurs locaux et de leurs infrastructures informatiques, quelque part dans les réseaux numériques. Mais dans le CLOUD ACT, le terme CLOUD est ici un acronyme. Il signifie Clarifying Lawful Overseas Use of Data. C’est donc un clin d’œil malin et troublant que le Congrès fait au monde.

Un acronyme peut en cacher un autre

Le titre est à lui seul explicite. Il s’agit de clarifier un usage légal des données en dehors des Etats-Unis et donc potentiellement pour les données des non Américains. On pourra nous dire ce qu’on veut, utiliser toutes les techniques du marketing pour nous disputer, mais ce texte de Loi émanant d’un Etat, acte au moins une réalité. Les Etats-Unis d’Amérique et leurs grandes entreprises du digital, sont devenus et se comportent comme les greniers à données personnelles d’une partie du monde et c’est particulièrement vrai de l’Europe. Car la zone européenne est en effet particulièrement perméable aux services des entreprises d’outre Atlantique, à tel point qu’ils ont constitué un certain nombre de quasi monopoles dans leurs spécialités.

C’est une évidence pour les plus connus d’entre eux, les Google, Amazon, Facebook, Apple et Microsoft. Cette réalité n’est pas partout partagée. En Chine, en Russie ou en Corée, ces entreprises ont, au moins, des concurrents sérieux et souvent ne se trouvent même pas leaders de leur marché. L’Europe a perdu la bataille des technologies, des services numériques. La conséquence est dramatique. Les centres de décisions sur de nombreuses thématiques quotidiennes des européens, sont en dehors de l’Europe. Le pouvoir économique aussi de déplace, avec pour conséquence, notamment, que de nombreux jeunes diplômés européens s’expatrient.

La Loi ou les marchands ?

Alors que reste-t-il à l’Europe ? Il lui reste ses 500 millions de consommateurs, convoités tant par les grandes entreprises américaines que chinoises. Dans l’attente qu’une politique publique digne de ce nom, aide à l’éclosion de solutions alternatives européennes fortes, que leur restent-ils pour ne pas être écrasés par ces pouvoirs considérables, qui dépassent par leur puissance certains Etats moyens du globe terrestre ? La réponse est claire. Ils leur restent la Loi et en particulier la réglementation CNIL en matière de données personnelles. C’est le sens d’un règlement communautaire appelé RGPD qui doit entrer en application le 25 mai 2018.

Ce règlement rehausse sensiblement les pouvoirs de sanctions des CNIL européennes, longtemps bloqués à un plafond de 150.000 euros, pas assez dissuasif. Il pourra désormais s’élever jusqu’à 4% du chiffre d’affaires mondial total du contrevenant. Il affirme surtout que les données personnelles sont un attribut de la personnalité de chaque citoyen européen. C’est la grande différence idéologique d’avec les Américains. Ces données ne sont pas dans le commerce. Chaque résident européen qui a donné son consentement à la collecte de ses données, peut le retirer dans la seconde qui suit son accord.

D’un Sénat à l’autre, des législateurs dans la tourmente numérique

Qui contrôle la donnée ? Le citoyen ou le fournisseur de services ou de produits ? Or, le RGPD comporte une mesure phare de cette prise de contrôle de ses données par le résident européen. Le Règlement prévoit une possibilité, pour chaque Etat membre de l’UE, d’instaurer dans leurs lois nationales, une action de groupe menée par des citoyens, pour poursuivre devant le service public de la justice les contrevenants.

Pour compléter le RGPD, le Parlement français discute actuellement d’une Loi appelée CNIL3, qui doit préciser justement cette action. Or, si l’Assemblée Nationale a compris l’enjeu, en rendant cette action réparatrice, c’est-à-dire donnant la possibilité aux citoyens agissant, d’obtenir des dommages et intérêts, et en posant des conditions accessibles pour engager l’action, le Sénat, de manière incompréhensible, a repoussé la possibilité d’engager en France une telle action avant 2020 et y a posé des conditions de recevabilité telles qu’elle la rend difficilement applicable. L’Assemblée nationale reprend la main — le processus législatif français est ainsi fait. Les résultats sont imminents. Le Congrès américain, lui, n’a pas tremblé lorsqu’il s’est agi de défendre les intérêts de son Etat et aussi de ses entreprises. On en aimerait autant de la part du Sénat français.

Olivier Itéanu

Avocat

Membre du bureau de l’initiative e-bastille