‘Les nuages américains à l’ère Trump: qu’en sera-t-il demain?’

S’il est une chose qui est apparue clairement durant la campagne électorale du président élu Donald Trump, c’est qu’il n’est pas regardant au respect de la vie privée. “Il préfère se focaliser sur une Amérique ‘sûre’, mais vos données à vous resteront-elles sécurisées dans le nuage?”, se demande Eddy Willems.

Le débat sur la façon dont les Etats-Unis traitent les données des Européens stockées par exemple dans les nuages américains ou que les citoyens eux-mêmes mettent à la disposition d’acteurs américains tels Facebook, n’est pas nouveau. Mais à présent que Donald Trump va bientôt prendre le pouvoir en Amérique, il est intéressant de passer de nouveau en revue les faits et les risques. Car on sait que Trump accorde moins d’attention aux droits libéraux tels le droit au respect de la vie privée, pour se concentrer davantage sur la ‘sécurité’ des Etats-Unis.

Safe Harbor

Or la législation européenne en matière de respect de la vie privée est assez claire à propos des tenants et des aboutissants des données personnes des citoyens européens: elles ne peuvent quitter l’UE. Cela s’avéra encore assez problématique à une période où les services internet provenant d’Amérique appliquaient la condition que ces données personnelles devaient sortir de l’UE. Pensons ici aux fournisseurs de nuages américains et aux réseaux sociaux tout aussi américains. L’accord Safe Harbor apporta la solution à ce problème: l’Amérique s’est vue alors officiellement intronisée ‘port de sécurité’ des données personnelles par l’UE. Il en résulta qu’une exception à la loi sur le respect de la vie privée devenait ainsi possible. Lorsque le lanceur d’alertes Edward Snowden se manifesta, il apparut clairement que ce port n’était finalement pas tellement ‘safe’. L’année dernière, la Cour européenne de Justice déclara dès lors Safe Harbor nul et non avenu.

Place aujourd’hui à Privacy Shield

A ce jugement rendu par la Cour succéda une sorte de période grise, durant laquelle la loi européenne sur le respect de la vie privée s’appliqua de nouveau exclusivement pour l’Europe. En réalité, chaque entreprise européenne qui conservait ou traitait des données personnelles aux Etats-Unis, contrevenait à cette loi. C’était un gros problème tant pour les clients que pour les fournisseurs des grandes entreprises de nuages américaines notamment. L’on prépara donc rapidement un accord alternatif, dans lequel le respect de la vie privée des fournisseurs européens était mieux protégé. Cet accord existe depuis quelques mois maintenant et s’appelle Privacy Shield.

Mais de nombreux contrôleurs nationaux et autres défenseurs du respect de la vie privée ne sont pas satisfaits de Privacy Shield. Il s’avère (visiblement) qu’il ne parvient pas à faire en sorte que les Américains respectent en toutes circonstances et à tout moment la vie privée des Européens. La surveillance massive exercée par la NSA par exemple est certes soumise à des conditions plus strictes dans le nouveau traité, mais elle n’en est pas exclue.

Nouvelle loi sur la protection des données

La nouvelle loi européenne sur la protection des données (GDPR) entrera en vigueur en mai 2018. Selon différents experts, les nuages américains dans le giron du Privacy Shield ne seraient pas conformes à cette nouvelle loi, notamment du fait qu’aucune garantie ne peut être donnée quant à savoir où se trouvent les données (elles ne restent pas forcément aux Etats-Unis!). De plus, il n’y a pas non plus d’assurance que les données demeurent à tout moment confidentielles, ce qui serait prévu par la nouvelle loi sur la protection des données.

Quiconque a quelque peu approfondi la campagne électorale de Trump, sera d’accord avec moi sur le fait que cette dernière assurance est même plus éloignée que jamais avant. La latitude offerte par Privacy Shield à des fins d”analyse’ sera utilisée sans scrupules par Trump. N’oublions pas que l’homme est un adepte du ‘stop & frisk’, par lequel des passants pris au hasard et ayant l’air ‘suspect’ aux yeux d’agents de police individuels, peuvent être arrêtés et fouillés. Je pense donc que le respect des données personnelles européennes sous Trump régressera jusqu’à en revenir au niveau d’avant la fin de Safe Harbor ou pire encore.

Qu’en sera-t-il demain?

Le problème des nuages américains est encore circonscrit pour l’instant, mais que peut faire exactement l’entrepreneur européen? Deux itinéraires s’offrent à lui. Le premier a été choisi massivement: c’est celui du ‘on verra bien ce qui arrivera’. La plupart des entreprises continueront de travailler avec leurs fournisseurs américains dans l’espoir que des amendes ne seront pas imposées en masse directement en mai 2018 aux petits entrepreneurs qui utiliseront des nuages peu sûrs. Le second itinéraire fait la part belle à la morale: faites le choix de rester hors des nuages américains peu sûrs. C’est tout à fait possible. Optez pour des fournisseurs européens, qui limitent l’ensemble de leur infrastructure à des sites au sein de l’UE.

Microsoft propose en Europe un nuage garanti conforme à la loi GDPR: le Cloud allemand. L’entreprise a conclu un partenariat avec la firme allemande T-Systems pour la location de ses serveurs (allemands). Microsoft n’a formellement pas accès au hardware et au software de ce nuage: c’est là une excellente façon de rester hors de portée de la NSA. Le second itinéraire offre une autre option encore: n’utilisez qu’un nuage privé en Europe, et tous les problèmes seront du coup résolus.