2023 : une année charnière dans l’évolution du cadre réglementaire des données

Le niveau de protection des données personnelles au sein de l’UE est le plus élevé de toutes les législations nationales ou internationales. De ce fait, des exigences pointues sont attendues afin de faciliter les transferts de données en dehors de l’Union européenne. Le 14 février 2023, la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) s’est prononcée sur la décision d’adéquation en cours d’élaboration entre la Commission européenne et les Etats-Unis. Pour cette commission parlementaire, dont l’avis ne lie pas la Commission européenne, le contenu de cette décision d’adéquation ne convient pas au regard des évolutions attendues de la législation américaine à la suite de l’arrêt Schrems II rendu en juillet 2020.

Cette prise de position démontre une fois de plus l’importance accordée à la protection des données personnelles au sein de l’UE. Toutefois, la Commission européenne est partagée entre la protection des données personnelles et le développement du marché unique européen. En effet, l’encadrement des données (personnelles et non personnelles) est indispensable pour le développement du marché européen. C’est pour cela que plusieurs règlements entreront en application dans les prochains mois dont le règlement sur la gouvernance des données (DGA pour Data Governance Act) le 24 septembre 2023.

Sommaire

1. Nouvelle affirmation de la position de la commission LIBE sur la future décision d’adéquation entre l’UE et les Etats-Unis
2. Une nécessaire entrée en application du DGA : la CNIL partage sa vision

1) Nouvelle affirmation de la position de la commission LIBE sur la future décision d’adéquation entre l’UE et les Etats-Unis

Depuis la signature du décret exécutif en décembre 2022 par le président des Etats-Unis, la commission parlementaire a réaffirmé sa position sur la mise en place d’une décision d’adéquation. En effet, elle considère que plusieurs points font défaut aux exigences attendues par le RGPD. Notamment : 

  • Selon elle, cet accord permettrait la conciliation entre droits fondamentaux et intérêts commerciaux ou politiques ce qui ne correspond pas aux principes de l’Union européenne : une conciliation est possible, mais uniquement entre droits fondamentaux ;
  • La commission LIBE estime que les activités de renseignement électromagnétique (renseignement par radio, ondes) menées par les Etats-Unis ne suivraient pas les principes de proportionnalité et de nécessité tels que définis par l’UE puisque interprétés à la lumière du droit et des traditions juridiques des Etats-Unis ;
  • Elle regrette que le décret exécutif n’interdise pas la collecte massive de données par signaux : la liste des objectifs légitimes de sécurité nationale peut être élargie par le président des Etats-Unis qui peut décider de ne pas rendre publiques les mises à jour pertinentes. Aussi, le cadre juridique ne s’applique pas aux données auxquelles les autorités publiques ont accès par d’autres moyens : US Cloud Act ; US Patriot Act ; des achats commerciaux de données ou encore des accords volontaires de partage de données ;
  • Les décisions de la DPRC  (Cour spécialement créée pour les litiges en matières de données) seront classifiées et non publiques ni à disposition du plaignant. De plus, cette cour fait partie du pouvoir exécutif et non judiciaire. Par ailleurs, le plaignant sera représenté par un « avocat spécial » désigné par le DPRC, cet avocat n’a aucune exigence d’indépendance ;
  • La procédure de recours est basée sur le secret et ne crée pas d’obligation d’informer le plaignant que ses données personnelles ont été traitées. Par conséquent, le plaignant n’a aucune possibilité d’exercer ses droits et ne dispose d’aucune voie de recours devant un tribunal fédéral. Il ne peut donc espérer de dommages-intérêts en cas de litige. Dès lors, la commission parlementaire considère que la DPRC ne satisfait pas aux normes d’indépendance et d’impartialité imposées par l’article 47 de la Charte des droits fondamentaux de l’UE ;
  • Pour elle, même s’il existe un nouveau mécanisme de recours pour les litiges liés à l’accès aux données par les autorités publiques, les recours disponibles pour les questions commerciales en vertu de la décision d’adéquation sont insuffisants. En effet, ces questions sont laissées à la discrétion des entreprises qui peuvent choisir d’autres voies de recours (par exemple : des mécanismes de résolution des litiges ou utilisation des programmes de protection de la vie privée des entreprises) ;
  • La commission LIBE rappelle que contrairement à tous les pays qui ont reçu une décision d’adéquation en vertu du RGPD, les Etats-Unis n’ont toujours pas de loi fédérale sur la protection des données. Le décret n’est ni clair ni précis et prévisible dans son application, car peut-être modifié à tout moment par Joe Biden. Aussi, ce cadre juridique ne contient pas de clause de caducité de la décision après 4 ans d’entrée en vigueur (comme établi pour le Royaume-Uni).

Cet avis fait donc directement écho à la résolution présentée par le Parlement en mai 2021, issu des travaux de la commission LIBE, dans laquelle il demandait déjà à la Commission européenne de n’adopter aucune nouvelle décision d’adéquation concernant les Etats-Unis sauf si des réformes significatives sont introduites surtout à des fins de sécurité nationale et de renseignement.

Par conséquent, la commission LIBE considère qu’il n’existe pas d’équivalence réelle du niveau de protection et demande donc à la Commission européenne de poursuivre les négociations avec les homologues américains afin de créer un mécanisme garantissant une telle équivalence et fournirait un niveau de protection adéquat requis par le droit de l’Union européenne.

Toutefois et pour rappel, l’essence même de la création de l’UE est la libre circulation des biens et la mise en place d’un marché unique européen. Dans le domaine des données, il peut être pensé que les données personnelles ne pourront donc pas circuler aussi facilement que tout type de biens. Ainsi, développer la libre circulation de données, qu’elles soient personnelles ou non, est un besoin exprimé par l’UE avec la mise en place du DGA : un encadrement pour une libération poussée, mais contrôlée de la donnée.

2) Une nécessaire entrée en application du DGA : la CNIL partage sa vision

Le règlement européen sur la Gouvernance Européenne des Données (plus communément appelé par son acronyme anglais DGA) a pour objectif de traiter la réutilisation des données protégées détenues par le secteur public ; incite à l’altruisme en matière de données ; instaure un comité européen de l’innovation en matière de données et crée un nouveau régime juridique d’intermédiation en matière de données.

Pour résumer, l’objectif du DGA est de créer un nouveau modèle d’économie de la donnée tout en assurant une bonne protection de cette dernière. L’ensemble de ces changements permettra de rééquilibrer la chaîne de valeur de la donnée en donnant plus de contrôle aux personnes concernées et/ou aux services détenteurs. Pour atteindre cet équilibre, il est nécessaire de développer la confiance de l’ensemble des acteurs : la clé de voûte entre circulation et protection des données.

Afin de développer cette confiance, le DGA innove en ajoutant un nouvel acteur, un « tiers de confiance » pour développer ce marché tout en respectant de nombreuses règles.

Dans une étude d’impact réalisée par la Commission européenne, celle-ci indique que le partage des données est un facteur d’amélioration de l’efficacité économique : de +1 % à + 2,5 % sur le niveau du PIB en Europe. Cependant, la CNIL rappelle qu’il faut faire la preuve que le potentiel économique du partage des données peut être réalisé sans passer par des modèles plus coûteux pour la vie privée des Européens. Ce qui peut être une crainte, tant pour les personnes physiques (crainte d’une réutilisation abusive de leurs données) que des entreprises (crainte d’usages des données par la concurrence). Il faut alors mettre en avant le partage respectueux des droits aux personnes physiques et morales sur les données plutôt que de procéder à une ouverture discriminée du marché de la donnée.

Comme indiqué plus haut, la confiance est la clé de voûte entre circulation et protection des données. Ainsi, pour devenir tiers de confiance, cela implique une conformité double : au DGA, mais également au RGPD. Par conséquent, cet intermédiaire doit donc démontrer sa neutralité économique, dégagée par plusieurs points :

  • Absence de conflit d’intérêt
  • Pas de réutilisation de la donnée
  • Caractère équitable, transparent et non-discriminatoire de son offre de services.

Des règles doivent donc être mises en place afin que la confiance se développe, car la neutralité ne l’instaura pas de facto. Ainsi, il est remarquable que ces règles sont fortement inspirées du RGPD (p. 6 de la réflexion) : tel que la facilitation de l’exercice des droits ou encore la tenue d’un journal de l’activité d’intermédiation de données.

Pour conclure, l’accroissement du marché européen de la donnée est nécessaire pour l’Union européenne et sa compétitivité en la matière face aux Etats-Unis. Cependant, celui-ci doit être strictement encadré et faire preuve d’un véritable équilibre entre circulation et protection des données. Une articulation entre le DGA et les textes protecteurs des données personnelles assurera alors une sécurité juridique indispensable pour le développement de la confiance de l’ensemble des acteurs.

SOURCES

Les autres articles de Marie Pontrucher, Juriste Consultant Protection des Données Digitemis

Accord entre l’Union européenne et les Etats-Unis sur le transfert de données : jamais deux sans trois ?

Début octobre 2022, les États-Unis ont ouvert la voie à un nouvel accord renforçant la protection et le transfert des données personnelles avec l’Europe. Notre experte Marie Pontrucher fait un point complet sur les relations entre les États-Unis et l’Union européenne concernant le marché de la donnée.

Lire l’article
article marie pontrucher accord etats unis europe

Espace européen des données de santé : c’est parti !

Suite à la pandémie de Covid 19, la Commission européenne a réfléchi à la mise en place d’une uniformisation dans le domaine de la santé. Cette démarche s’est concrétisée par la création d’un espace européen des données de santé. Notre experte Marie Pontrucher fait un complet point sur cet espace destiné à devenir le socle d’une Union européenne de la santé forte.

Lire l’article

Je partage

Marie Pontrucher

Autrice d'un mémoire sur l'extraterritorialité du RGPD durant mon Master 2 Droit de l'Union européenne, j'ai intégré Digitemis en qualité de juriste consultante en protection des données personnelles pour accompagner nos clients dans leur mise en conformité au RGPD.

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article