Pourquoi vos données personnelles sont plus stratégiques que vous ne le pensez
Sortis par la porte, les hyperscalers américains reviennent par la fenêtre. L'enjeu est pourtant colossal, mais complètement occulté, politiquement et médiatiquement.
Les données personnelles, c’est un gigantesque marché qui se chiffre en milliers de milliards d’euros. En France, quand il fait les gros titres, c’est quand ces données sont piratées et que le pays se révèle être une immense passoire.
Cette lecture, quoique déjà inquiétante, est pourtant très loin du compte. Pour cela, il faut déjà bien comprendre ce que recouvrent les données personnelles. Selon le RGPD (le règlement général sur la protection des données, applicable dans toute l’Union européenne), une donnée personnelle est toute information qui permet d’identifier, directement ou indirectement, une personne physique. Classiquement, nom, prénom, adresse e-mail, numéro de sécurité sociale, empreinte digitale, photo du visage. Mais aussi adresse IP, données de localisation, historique de navigation, préférences d’achat (les cookies), données de santé, opinions politiques, etc.
Ces données sont un immense marché. Que la France ne le mesure pas, ou pas suffisamment est une chose. La culture du numérique a clairement ses limites dans l’Hexagone, et encore plus dans les hautes sphères de l’Etat. Il n’y a qu’à voir le très faible écho, politique comme médiatique, donné à la commission d’enquête parlementaire sur les dépendances structurelles et vulnérabilités systémiques du numérique alors que le sujet est d’importance majeure.
Que Bruxelles brade ce marché aux Américains comme il y a tout lieu de le penser factuellement, et comme on le verra plus loin, en est une autre. Car les données personnelles sont devenues éminemment stratégiques. Grâce à elles, les grandes plateformes, les Gafam, construisent des profils extrêmement précis de milliards de d’individus, permettant une publicité ciblée, sans parler de manipulation comportementale (vos achats) voire même de prédiction (vos votes).
Ces données n’ont pas qu’une valeur marchande. Elles ont aussi un pouvoir politique. Voir le scandale Cambridge Analytica ou comment les données personnelles de millions d’utilisateurs Facebook ont servi à influencer les intentions de vote en faveur d'hommes politiques qui avaient eu recours aux services de cette société britannique fondée par Steve Bannon, l’artisan de la victoire de Donald Trump en 2016. Ces données alimentent aussi les modèles d’IA. Elles se révèlent être également un outil pour surveiller les citoyens - plus que de les censurer, n’en déplaise à certains. Un outil pour les Etats et un outil pour les entreprises qui peuvent les exploiter à des fins commerciales mais aussi les transmettre aux autorités, spécialement aux Etats-Unis.
L’enjeu est donc énorme. Et il se pose nous concernant entre deux blocs : l’Union européenne et les Etats-Unis. C’est un fait, nous utilisons massivement des services américains : cloud (qui héberge une grande partie des données), réseaux sociaux, outils collaboratifs, logiciels d’entreprise… Plus des trois quarts des pays européens ont recours à des services de cloud américains pour des fonctions essentielles à leur sécurité nationale, alerte un rapport, pointant les risques que fait peser cette dépendance numérique.
De la sorte que l’UE est totalement inféodée à l’oncle Sam quand bien même un premier pas, très symbolique, a été fait avec l’attribution de l’hébergement des données de santé en France à un acteur tricolore, au dépens de Microsoft.
![[ Flash ] Les données de santé des Français sont enfin protégées...](https://substackcdn.com/image/fetch/$s_!-XZt!,w_140,h_140,c_fill,f_webp,q_auto:good,fl_progressive:steep,g_auto/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F69a1565f-c2d4-44bc-9f92-56e2395e5602_1024x682.jpeg)
Entre l’UE et les USA, c’est même un véritable tunnel dans lequel circulent quantité de données. Au propre comme au figuré : 80 % des cables sous-marins ont été posés ou rachetés par les Gafam.
Le problème est que, quand les données personnelles des Européens, et des autres, sont protégées sur le continent - par le RGPD, l’un des cadres les plus stricts au monde qui considère les données personnelles comme un droit fondamental - elles le sont bien moins quand elles franchissent l’Atlantique.
Aux Etats-Unis, il n’y a pas de loi fédérale générale équivalente au RGPD. Si le 4e amendement de la Constitution protège en partie les Américains contre leur gouvernement, il ne protège quasiment pas les Européens. Rajoutez à cela la loi FISA et son article 702 qui permet aux agences de renseignement US d’avoir massivement accès aux données des étrangers, ce sans autorisation judiciaire équivalente au droit européen. Et ce quel que soit le pays où les données sont stockées du moment qu’existe un point d’accès américain.
Quoique de ce côté-ci, ça tangue aussi un peu.
![[ Flash ] La surveillance de masse aux USA a du plomb dans l'aile](https://substackcdn.com/image/fetch/$s_!5O7M!,w_140,h_140,c_fill,f_webp,q_auto:good,fl_progressive:steep,g_auto/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F63a7db1e-68a4-4a43-aad7-69456a2b8fe6_643x360.jpeg)
C’est cette asymétrie dans la protection et l’exploitation des données qui avait conduit la Cour de justice de l’Union européenne (CJUE), saisie par Max Schrems, un avocat autrichien spécialisé dans la protection des données, à invalider les deux premiers cadres transatlantiques signés entre l’UE et les Etats-Unis. Accords qui visent à permettre les transferts des données personnelles des Européens, et les protéger selon les standards du droit européen.
Un troisième accord a bien été signé en 2023, mais pour ses détracteurs, Max Schrems en tête, le compte n’y est pas : le Data Privacy Framework (DPF) est considéré comme une resucée à peine améliorée du cadre précédent, le Privacy Shield. Dit simplement : le niveau de protection est encore insuffisant.
C’est d’ailleurs dans ce sens qu’en France, un citoyen - député à la ville et président de la commission d’enquête parlementaire dont nous parlions plus haut - Philippe Latombe avait saisi le tribunal de l’Union européenne.
![[ Données personnelles ] Un député demande à Ursula von der Leyen de revoir l'accord avec les Etats-Unis](https://substackcdn.com/image/fetch/$s_!D3JC!,w_140,h_140,c_fill,f_webp,q_auto:good,fl_progressive:steep,g_auto/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2Fe4e1797d-f8a1-4ac9-9fc8-2859e2fe584d.heic)
Si son recours a été rejeté en première instance, Philippe Latombe a formé un pourvoi. De la sorte qu’une troisième fois, la CJUE sera amenée à se pencher sur cette nouvelle version de l’accord cadre… Et il n’est pas dit que Max Shrems et son association, NOYB (None of Your Business) n’intente pas à son tour un recours.
Pour Max Shrems, la question se pose d’autant plus que depuis 2023, le contexte a changé. “Alors que l'instabilité du système juridique américain devient indéniable et que les États-Unis montrent des signes manifestes d'hostilité à l'égard de l'UE, il est temps de reconsidérer la destination de nos données - et de voir combien de temps le "château de cartes" juridique construit par l'UE tiendra bon”, souligne-t-il.
C’est que le DPF signé en 2023 par Ursula von der Leyen, sans prendre en compte les critiques du parlement européen et sans véritable débat sur le sujet, est assis sur des bases fragiles. Il ne repose ainsi pas sur une loi votée par le Congrès mais sur un executive order, un décret présidentiel signé par Biden en 2022, qui peut être modifié ou purement et simplement annulé.
De la surveillance de masse au kill switch
Les lois américaines permettent un accès très large aux données des Européens une fois qu’elles sont transférées aux États-Unis. Il n’y a là rien de nouveau, tout ceci a été révelé par Edward Snowden. Il s’agit ni plus ni moins qu’une surveillance de masse, puisqu’il n’y a pas d’autorisation judiciaire préalable individuelle. Surveillance de masse, légale et tolérée aux Etats-Unis et surtout pour les non-Américains mais interdite sur le continent européen 1, que tente d’opérer par moults moyens détournés la Commission européenne. Voir le projet de règlement ChatControl ou plus récemment la proposition d’application de la vérification par l’âge dont la filiation pose plus que question - nous y reviendrons.
Mais la question ne se pose pas seulement en termes de protection de la vie privée. Elle se pose aussi en termes de vulnérabilité d’infrastructures critiques. Le risque est patent. C’est ce qu’on appelle le kill switch, littéralement des coupures d’accès ou interruptions forcées. La dépendance aux hyperscalers américains donne aux États-Unis un levier géopolitique puissant. Ce sont eux qui ont le doigt sur l’interrupteur. Et l’histoire a montré que les USA avaient une longue pratique, qui se perpétue, de l’embargo numérique, comme l’a souligné Max Shrems lors de son audition par la commission.
“Cuba, la Syrie et l’Iran sont sous embargo. Actuellement, Microsoft, Google et AWS ne sont pas autorisés à fournir des services dans ces endroits.”
Il y avait pourtant un début de solution, qui ne résolvait certes pas tout mais aurait permis de limiter le risque de surveillance américaine (ou autre, la Chine a aussi des lois extraterritoriales par exemple), de kill switch et de dépendance stratégique. L’EUCS (EU Cloud Services Scheme), la certification cloud européenne que la France défend depuis des années, inspirée de son SecNumCloud et qui entend garantir le plus haut niveau de protection pour les données les plus sensibles, a été expurgée par Bruxelles de ses exigences de “souveraineté”.
Le niveau High+ (le plus exigeant), avec une vraie protection contre les accès américains, a été supprimé. À la place, les fournisseurs peuvent se contenter d’une simple attestation selon laquelle ils respectent certaines règles. La certification européenne n’impose pas d’obligation stricte de siège européen, de contrôle majoritaire européen, ou d’immunité juridique forte contre les lois extraterritoriales américaines.
Sorti en France par la porte, Microsoft/Azure - qui a perdu le marché de l’hébergement des données de santé - a ainsi faisant la possibilité de revenir par la fenêtre. En renonçant aux critères de souveraineté forts dans l’EUCS, Bruxelles permet à des solutions hybrides qui utilisent la technologie américaine tout en étant opérées par des entreprises européennes de continuer à dominer via d’opportuns partenariats. Rappelons que Microsoft/Azure s’est allié avec Orange et Capgemini pour former Bleu -notez l’ultime pied de nez jusque dans l’intitulé de la co-entreprise. Et que Google s’est associé à Thalès dans l’offre S3NS.
Le talon d’Achille irlandais
En vertu du mécanisme du guichet unique prévu par le RGPD, une société traitant des données n’a pour interlocutrice qu’une seule autorité de protection des données : celle de l’État membre dans lequel est situé son établissement principal.
Ainsi, enquêtes et sanctions relatives aux données personnelles doivent être décidées par l’autorité du pays dans lequel elles ont leur siège. L’Irlande pour Google, Apple (YouTube), Meta (Facebook, Instagram, WhatsApp), X/Twitter et Microsoft ; le Luxembourg pour Amazon. La DPC, l’équivalent irlandais de la Commission nationale Informatique et Liberté (Cnil), qui gère environ 20 % des dossiers faisant l’objet d’une plainte en Europe, dispose ainsi d’un pouvoir de contrôle démesuré.
Quand une plainte est déposée contre Apple devant la Cnil française, celle-ci la traduit puis l'envoie à la DPC. Dit autrement un citoyen français qui se plaint d'une violation de ses données par Facebook, ou d’une suspension de son compte par X, dépend en réalité d'un régulateur irlandais qu'il ne peut pas vraiment interpeller. Ou bien cela lui coûtera très très cher et sera très long comme le souligne Max Shrems.
“Les coûts sont prohibitifs pour les citoyens ou les petites structures qui veulent contester. Cela peut coûter des centaines de milliers d’euros.”
L'Irlande a un vrai pouvoir de régulation, sauf qu’elle traine passablement des pieds. C'est le seul régulateur européen à avoir conclu très souvent des accords amiables, soulignait dans une note en 2023 l’institut des droits fondamentaux numériques.
“La DPC irlandaise reconnaît ouvertement qu’elle ne statue pas sur les plaintes relatives au RGPD. Au moins 99,93 % des personnes concernées ne voient aucune décision prise, malgré un budget de 19,1 millions d’euros”, faisait état NOYB en 2021.
En 2021, sur pression du Parlement européen qui avait voté en faveur d'une résolution appelant la Commission européenne à ouvrir une procédure de sanction contre la DPC irlandaise pour violation du RGPD - laquelle ne sera pas ouverte - la DPC se met à la page. Depuis, elle a augmenté ses effectifs, changé sa gouvernance, multiplié les sanctions, devenues aussi plus lourdes. Le montant des amendes prononcées se chiffre aujourd’hui à plus de 4 milliards d’euros. Mais le taux de recouvrement est faible. A ce jour, 20 millions d’euros seulement ont été encaissés. C’est moins de 0,5 % du montant réclamé.
La Cour de justice de l’Union européenne considère que la surveillance de masse généralisée et indifférenciée est incompatible avec les droits fondamentaux européens (articles 7 et 8 de la Charte, respect de la vie privée et protection des données personnelles).