Cloud Act, Cambridge Analytica… peut-on faire confiance aux géants du Web dans les affaires ?

dilitrust-rgpd-cambridge-analyticaDifférents scandales liés à la protection des données ont vu le jour ces derniers mois, certains plus médiatisés que d’autres. Tous posent néanmoins la question du monopole numérique américain et son impact sur les citoyens… et les affaires.

Sur France Inter, Mounir Mahjoubi a dans un long entretien débriefé journalistes comme auditeurs sur la façon dont l’Europe entend désormais protéger ses citoyens des intrusions des GAFAM. Le remède tient en un mot, ou plutôt un acronyme: RGPD, pour Réglement Général de Protection des Données. “Appelons-le simplement: c’est la loi de protection des données européennes” explique le pugnace Ministre, qui défend actuellement l’application française du projet devant l’Assemblée nationale (dans un silence médiatique inquiétant).

L’idée : imposer aux entreprises et aux plateformes qui collectent des informations personnelles de mettre en place des procédures de désabonnement et de récupération des données, d’expliquer précisément de ce qu’elles font de ces dernières, et en cas d’incidents, d’informer immédiatement les utilisateurs.

Ces impératifs n’ont pas été créés ex-nihilo. Ils font référence à des incidents de sécurité, tous graves, survenus au cours des dernières années, dont le scandale Cambridge Analytica n’est que l’apothéose.

Mais si ces nombreuses attaques sur la vie privée de nos citoyens doivent nous alerter, il ne faut pas qu’elle nous fasse oublier que le secteur privé est également une victime régulière de la suprématie américaine sur nos données.

Fait du prince numérique

Sans entrer dans l’anti-américanisme primaire, il convient de rappeler quelques réalités. Si Facebook est sur le gril pour sa gestion hasardeuse des données personnelles, l’État américain n’est pas non plus innocent dans la façon dont il collecte ces données en masse. En l’espace de deux décennies, nos partenaires d’outre-Manche ont développé une législation à la fois ferme et particulièrement avantageuse à leur endroit. Tirant profit de la supériorité numérique de leurs offres de service (les fameux GAFAM), l’extraterritorialité du droit US est allée grandissante : Patriot Act, Freedom Act, et désormais “Cloud Act”, pour “Clarifying Lawful Overseas Use of Data Act”. Dans la forme, le Cloud Act n’est rien d’autre qu’une poursuite de ses aînés, déjà durement critiqués par les professionnels. “Du moment où elles passent par un serveur américain, les données des entreprises ne sont plus considérées comme sécurisées et courent donc un risque non négligeable de confidentialité (au niveau de l’intelligence économique notamment) » avertissait Nadim Baklouti, Chief Technological Officer au sein de DiliTrust, une entreprise française proposant des solutions de conseil d’administration digitalisé et de protection des données confidentielles. Le danger est-il moindre avec le Cloud Act? En réalité, il s’étend.

Né dans la foulée de l’affaire Microsoft Irlande, le Cloud Act vise littéralement à renforcer la mainmise de la justice sur les données des entreprises de la tech américaine, même quand les dites données ne sont pas hébergées sur des serveurs américains.

Ce dernier volet de la loi est particulièrement inquiétant et Jules-Henri Gavetti, président d’IKOULA, a longuement dénoncé dans une tribune parue sur les Echos le risque d’ingérence que posait cette loi sur les entreprises non-américaines.

Dans le cas de Microsoft Irlande, les données ne transitaient pas par des serveurs américains. Mais l’entreprise elle, l’était. Un véritable fait du prince américain, d’autant plus quand on sait que la loi est passée en catimini, sans débats parlementaires.

 

Le secteur privé laissé à lui-même

La juste protection des données des citoyens européens par le RGPD et le scandale Cambridge Analytica sont une bonne chose.Mais il convient de ne pas s’arrêter au milieu du gué. Si les citoyens sont mieux protégés, les entreprises elles ne le sont toujours pas. Et contrairement à ces derniers, il n’appartient qu’aux grands groupes, ETI et même PME de se protéger.  Laissé seul face à lui-même, le secteur privé doit mettre en place les garde-fous pour empêcher l’annexion de données confidentielles ou encore la mise en place d’amendes substantielles en cas de non-respect du droit US. Le choix de prestataires européens, s’ils s’apparentent à du protectionnisme économique, semble ainsi devenir une mal nécessaire à l’heure où les États-Unis continuent de jouer les cavaliers seuls avec nos données – privées ou confidentielles.

0