A quelques jours du vote par la commission européenne du Privacy Shield (bouclier de protection des données personnelles), l’association Cloud Confidence ne pouvait faire l’impasse sur ce nouvel accord censé restaurer la confiance dans les transferts de données personnelles entre l’Union européenne et les États-Unis.
Pour cette seconde édition de la cloud Indépendance Day organisée dans le cadre de la Cloud Week Paris, l’association Cloud Confidence avait choisi d’axer sa manifestation sur le Privacy Shield, censé remplacer le Safe Harbor, invalidé par la cour de justice de l’Union européenne en 2015. Après un mot d’accueil d’Olivier Darrason, président de CEIS et de Cloud Confidence, David Martinon, ambassadeur pour la cyber-diplomatie et l’économie numérique, a ouvert le débat. Le gouvernement français n’ayant pas réellement pris position, il a pu en toute liberté apporter son éclairage sur cet accord transatlantique visant à protéger les données personnelles, qui sera probablement « adopté par vote formel et non pas par consensus. » Un moyen pour « certains États membres de montrer leur méfiance avec ce qui a été négocié par la commission », a-t-il précisé.
David Martinon a rappelé qu’au niveau international, la règle qui s’impose, c’est la libre circulation des données avec deux limitations, celles qui portent sur la sécurité nationale et sur la protection des données personnelles. Or sur ce point, l’Union européenne est taxée de protectionniste. « Si c’était le cas, qu’avons-nous raté ? » Autre mythe à briser selon lui, les Européens seraient les seuls à réfléchir sur l’imposition de contraintes impliquant la localisation des données. « Ceux qui nous le reprochent l’on pourtant déjà fait alors ne nous laissons pas avoir. L’Australie a voté une loi qui impose la localisation des données de santé sur leur territoire. Le Canada a fait la même chose. »
Max Schrems, jeune activiste autrichien devenu avocat, à l’origine de l’annulation du Safe Harbor, est le plus combatif contre le Privacy Shield, qu’il juge imparfait. L’association Cloud Confidence ne pouvait faire l’économie de sa présence. Dans une vidéo de sept minutes, elle a mentionné son point de vue et la manière dont elle compte continuer sa croisade.
La matinée s’est ensuite poursuivie par un atelier réunissant entreprises et fournisseurs cloud, « les principaux concernés par ce nouvel accord, s’agissant des données de leurs clients », a tenu à préciser le vice président de Cloud Confidence, Olivier Itéanu. Premier à intervenir, Xavier Lofficial, membre du Cigref et directeur de la transformation, processus et systèmes d’information à la Société Générale, a d’abord rappelé la nécessité de restaurer la confiance alors que 86 % des consommateurs se disent méfiants quant à l’utilisation que les grandes entreprises font de leurs données selon une étude BCG. Face au foisonnement de réglementations portant sur les données personnelles, il a ensuite crié au « bazar réglementaire » et au « manque d’homogénéité. » Stanislas de Rémur, directeur d’Oodrive, quant à lui s’est offusqué du fait qu’il faille attendre Max Schrems pour invalider le Safe Harbor alors que « tout le monde savait que c’était une ‘joke’. » Et de mentionner que « ce cadre réglementaire, bien que nécessaire a été utilisé à mauvais escient parce qu’il n’y avait aucune contrainte en cas de non-respect. »
Pour Adam Levine, directeur commercial de Data4, nouvellement adhérent de l’association Cloud Confidence, « cette incertitude sur le cadre réglementaire depuis l’annulation du Safe Harbor impacte le business. » Même constat chez IBM, la plus européenne des entreprises américaines, avec un tiers de ses effectifs en Europe. « Du jour au lendemain, cet accord a été invalidé, laissant de nombreuses entreprises dans une incertitude légale », a mentionné Nicholas Hodac, responsable des affaires gouvernementales et réglementaires chez IBM. « Il leur faut dorénavant trouver des solutions, refaire des contrats. » Des procédures souvent longues et fastidieuses.
Chez Oodrive, depuis quatre ans on passe de certification en certification pour protéger les données des clients. Stanislas de Rémur a souligné le travail remarquable réalisé par l’ANSII pour proposer d’ici peu une certification qui ne fera plus débat. Mais le dirigeant reste convaincu que « l’application de sanctions financières est indispensable pour rétablir la confiance sur l’utilisation des données. » C’est d’ores et déjà le cas, a rétorqué Nicholas Hodac. Le règlement européen sur les données personnelles, récemment adopté, prévoit des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise. Une menace loin d’être prise à la légère par la Société Générale. « Au-delà de la sanction financière, il en va de la réputation d’une banque basée sur un modèle de confiance », a souligné Xavier Lofficial.
« Avec un accord qui a une chance sur deux d’être invalidé par la Cour européenne de Justice », a laissé présager Donald Callahan, analyste et consultant en ICT et cofondateur du Dusquene Group, « le débat sur la protection des données personnelles est loin de s’achever ». De l’avis de Stanislas de Rémur, « le Privacy Shield témoigne d’une incapacité des gouvernements à pouvoir s’entendre. » De son côté, Nicholas Hodac souhaite une réflexion à l’échelle internationale, loin de la simple confrontation EU/US. Quelle qu’en soit l’issue, « il sera difficile de trouver un terrain d’entente tant qu’il n’y aura pas de réconciliation de principe sur la protection des données personnelles, qui relève des droits fondamentaux en Europe, alors qu’aux États-Unis, les données sont perçues comme un droit de propriété que l’on peut céder commercialement à une entreprise », a conclu Olivier Itéanu.