Protection des données en Europe - sproof

Katharina Raabe-Stuppnig a commencé sa carrière dans le droit des médias. Elle a conseillé des maisons d'édition et des entreprises de télécommunications sur des questions de droit de la concurrence, de publicité et de responsabilité des médias. Le passage à la protection des données s'est fait presque automatiquement : De nombreux clients m'ont contactée et m'ont dit : "Vous connaissez nos processus et notre équilibre entre la vie privée et la vie professionnelle : Vous connaissez nos processus et notre équilibre des intérêts - pouvez-vous aussi nous aider en matière de protection des données ?"

Lorsque le RGPD est entré en vigueur, la protection des données s'est davantage déplacée au centre de la réalité des entreprises. Des amendes de plusieurs millions d'euros ont augmenté la pression. Les entreprises avaient besoin de concepts clairs - et s'appuyaient sur des partenariats existants. En conséquence, la législation sur la protection des données est passée d'une question périphérique à un point central de leurs activités.

Depuis l'introduction du RGPD en 2018, le besoin de soutien juridique a énormément augmenté - et reste élevé. Cela s'explique notamment par le fait que le règlement ne fait aucune distinction entre les grandes entreprises et les petites entreprises. Tout le monde doit répondre aux mêmes normes.

"Un système de gestion de la protection des données qui fonctionne est aujourd'hui un véritable outil", explique Mme Raabe-Stuppnig. "Il offre aux entreprises une vue d'ensemble des systèmes, des processus et des risques, et constitue la base de l'optimisation et de l'augmentation de l'efficacité.

Dans le même temps, l'environnement devient de plus en plus complexe : de nouvelles législations telles que NIS-2, la loi sur la cyberrésilience, la loi sur l'IA et la loi sur les données imposent des exigences supplémentaires aux entreprises - dans tous les secteurs d'activité. Celles qui ont déjà créé une base stable de protection des données ont désormais un avantage certain.

Les questions que les entreprises posent aujourd'hui au cabinet d'avocats sont multiples :

• Comment le NIS-2 m'affecte-t-il si je suis un fournisseur d'infrastructures critiques ?

• De quelles politiques ai-je besoin pour la loi sur l'IA ?

• Comment gérer les nouveaux droits d'accès aux données en vertu de la loi sur les données - sans mettre en péril le niveau de protection des données que j'ai atteint jusqu'à présent ?

Outre les évaluations juridiques, les questions stratégiques jouent un rôle de plus en plus important : Où les responsabilités doivent-elles être attribuées au sein de l'entreprise ? Comment concilier conformité, cybersécurité et capacité d'innovation ? Mme Raabe-Stuppnig et son équipe aident les entreprises non seulement à mettre en œuvre le nouveau cadre juridique, mais aussi à s'y positionner.

L'utilisation de logiciels provenant de pays tiers - par exemple par les hyperscalers américains - est une question particulièrement sensible. Bien qu'il existe également des lois sur la protection des données aux États-Unis, explique Mme Raabe-Stuppnig, la protection s'applique principalement aux citoyens américains. Ces réglementations sont nettement moins strictes pour les citoyens de l'UE.

"Le problème réside dans la pondération : les intérêts de la NSA en matière de sécurité priment souvent sur la protection des données des non-Américains. La CJCE a déjà constaté cette disproportion à deux reprises - et a donc annulé des principes centraux tels que la sphère de sécurité et le bouclier de protection de la vie privée."

Depuis l'entrée en vigueur du RGPD, la prise de conscience en Europe a sensiblement évolué. Les entreprises sont désormais beaucoup plus sensibles lorsqu'elles traitent des données à caractère personnel. L'attention portée par les médias aux jugements relatifs à la protection des données et aux affaires importantes a joué un rôle clé à cet égard.

"Nous avons créé une norme de référence pour la protection des données en Europe", résume Mme Raabe-Stuppnig. "Il est réjouissant de constater que de nombreuses entreprises s'efforcent activement non seulement de respecter cette norme, mais aussi de l'utiliser comme un avantage concurrentiel.

Le débat sur la protection des données entre l'UE et les États-Unis est complexe et, surtout, très dynamique d'un point de vue juridique. Contrairement à des pays comme la Suisse, pour lesquels la Commission européenne a pris une décision dite d'adéquation, la situation avec les États-Unis était et reste beaucoup plus compliquée. Une telle décision stipule que les données personnelles peuvent être transférées vers un pays tiers parce que le niveau de protection des données y est comparable à celui de l'UE. Dans des pays comme la Chine ou la Russie - et pendant longtemps aux États-Unis également - il n'y a pas eu de décision de ce type.

Dès que les entreprises travaillent avec des prestataires de services pour le traitement des données aux États-Unis, par exemple, elles doivent prendre des mesures de protection supplémentaires pour maintenir le niveau de protection des données requis par le RGPD. Cela signifie plus d'efforts, plus de contrôles obligatoires - et plus de risques.

Un exemple pratique : même si vous choisissez un emplacement de serveur au sein de l'UE pour les fournisseurs américains de services en nuage, le problème subsiste - par exemple, si la filiale européenne est sous le contrôle d'une société mère américaine. En cas d'urgence, les autorités américaines, telles que la NSA, pourraient exiger l'accès aux données, même par le biais d'une chaîne de commandement interne. L'installation d'un serveur dans l'UE réduit le risque, mais ne l'élimine pas complètement.

L'histoire des accords sur la protection des données entre l'UE et les États-Unis ressemble à une série de revers juridiques :

• Safe Harbor a été le premier accord à imposer certaines normes de protection des données aux entreprises américaines sur une base volontaire. Il a été abrogé en 2015 par l'arrêt Schrems I.

• Le Privacy Shield lui a succédé, sous la forme d'une version révisée du Safe Harbor. Toutefois, cet accord a également été déclaré invalide par la Cour de justice de l'Union européenne dans l'arrêt Schrems II en 2020.

• En réponse, le cadre de protection des données est entré en vigueur, sur la base duquel la Commission européenne a de nouveau adopté une décision d'adéquation pour les États-Unis.

En effet, le cadre de protection des données est basé sur un décret du président américain - un décret qui peut théoriquement être révoqué à tout moment. Les critiques doutent donc de la stabilité à long terme de ce cadre. Un recours contre la décision d'adéquation a déjà été déposé auprès de la Cour européenne de justice, dont l'issue est incertaine.

En outre, l'autorité de contrôle américaine responsable, le PCLOB, est actuellement dans l'incapacité d'agir car trois de ses cinq directeurs ont été démis de leurs fonctions par l'ancien président Trump. Résultat : une grande incertitude quant à la stabilité réelle du mécanisme de protection des données aux États-Unis.

Si vous planifiez à long terme et souhaitez vous concentrer sur la sécurité des données, vous ne devez pas vous fier aveuglément au cadre de protection des données. Comme par le passé, la situation juridique peut changer rapidement. Le coût des évaluations de l'impact du transfert de données (EIT) est élevé et les violations peuvent entraîner des sanctions sévères allant jusqu 'à 4 % du chiffre d'affaires annuel mondial.

Les services en nuage des fournisseurs américains peuvent actuellement être utilisés dans le respect des **règlements sur la protection des données, à condition que **des mesures de protection appropriées telles que des clauses contractuelles standard et des mesures de sécurité techniques soient mises en œuvre. Mais il existe toujours un risque résiduel. Il est particulièrement problématique qu'il n'existe pas encore de cryptage de bout en bout adapté à une utilisation quotidienne pour tous les types d'utilisation - par exemple, pour le traitement continu des données ("données en cours d'utilisation").

L'utilisation de services américains doit donc toujours être évaluée au cas par cas: Quel est le degré de sensibilité des données traitées ? Quelles sont les mesures de sécurité prises ? Et dans quelle mesure l'entreprise est-elle réellement en mesure d'atténuer les risques ?

La question de savoir si les entreprises doivent utiliser uniquement des logiciels et des services en nuage d'origine européenne - un "tout à fait ou pas du tout" - semble à première vue une position claire. Mais c'est précisément ce contre quoi Katharina Raabe-Stuppnig, experte en protection des données, met en garde. Un tel principe est non seulement impraticable, mais aussi difficile à justifier auprès des autorités. Au contraire, chaque décision concernant l'utilisation de logiciels ou de services en nuage doit être prise au cas par cas - en fonction de la sensibilité des données traitées et des mesures de protection spécifiques qui peuvent être prises.

Un autre sujet préoccupe actuellement de nombreuses entreprises : Que se passera-t-il si la Cour de justice des Communautés européennes (CJCE) annule le nouveau cadre de protection des données entre l'UE et les États-Unis, comme elle l'a fait précédemment avec la "sphère de sécurité" et le "bouclier de protection des données" ? La réponse est claire : une incertitude juridique massive surviendrait à nouveau. C'est précisément la raison pour laquelle Kargl conseille d'ores et déjà aux entreprises de ne pas se fier uniquement au cadre, mais de convenir de clauses contractuelles types (CCN) supplémentaires. Celles-ci devraient toujours inclure une évaluation de l'impact du transfert (EIT ), c'est-à-dire une analyse des risques liés au transfert de données vers des pays tiers.

Toutefois, l'avocat précise également que si le cadre de protection des données devait tomber et que la proportionnalité du transfert de données vers les États-Unis devait être fondamentalement remise en question, les clauses contractuelles types atteindraient elles aussi leurs limites. L'espoir repose alors sur des mesures techniques et organisationnelles supplémentaires, notamment le cryptage.

Les autorités chargées de la protection des données et la CJCE exigent une solution claire de la part des fournisseurs américains de services en nuage : les données ne doivent être stockées que sous forme cryptée et la clé doit être gérée en dehors du fournisseur - idéalement en Europe et sous le contrôle de l'entreprise responsable des données ou d'un mandataire européen. L'objectif de cette ** solution** dite ** de "gestion externe des clés"** est de garantir que, même en cas d'accès par les autorités américaines telles que la NSA, seules les données cryptées, c'est-à-dire inutilisables, puissent être transmises.

Toutefois, selon Katharina Raabe-Stuppnig, dans la pratique, ce type de cryptage ne peut être réellement mis en œuvre que pour les données de sauvegarde. Dès que les données sont traitées activement dans la vie quotidienne, l'accès au matériel non crypté est nécessaire. C'est précisément là que le bât blesse : la technologie permettant un traitement complet des données sous forme cryptée n'existe actuellement que de manière très limitée - par exemple pour des calculs simples ou des estimations dans des scénarios spécifiques. L'état de l'art n' est pas encore suffisant pour une utilisation généralisée, telle qu'elle est requise dans les entreprises.

Malgré ces défis, l'avocat est optimiste quant à l'avenir : la loi européenne sur la protection des données va poser des jalons importants. Les fournisseurs d'informatique en nuage seront tenus de permettre des stratégies multicloud, c'est-à-dire de faciliter le passage d'un fournisseur à l'autre - sans coûts de changement élevés. Il s'agit d'un effort actif pour renforcer la souveraineté européenne dans l'espace numérique et créer davantage d'alternatives aux hyperscalaires américains à long terme.

La question reste de savoir si l'Europe sera en mesure d'agir de manière plus indépendante et plus sûre dans l'espace numérique à terme. Mme Raabe-Stuppnig est néanmoins confiante : "La volonté politique est là - et avec un soutien et une réglementation ciblés, des alternatives européennes viables pourraient bientôt voir le jour.

Il n'est ni possible ni juridiquement nécessaire de renoncer globalement aux solutions des pays tiers. Les entreprises doivent évaluer soigneusement la sensibilité de leurs données, les partenaires qui conviennent et les mesures de protection spécifiques qu'elles peuvent mettre en œuvre. Celles qui ont déjà recours aux CSC, aux AIT et au cryptage sont non seulement en sécurité sur le plan juridique, mais elles renforcent également la position de l'Europe dans la concurrence numérique.