AccueilActualités informatiqueTransferts de données vers les États-Unis : Google améliore la protection des...

Transferts de données vers les États-Unis : Google améliore la protection des données dans le nuage

Google veut faciliter dans l’UE l’utilisation des services de l’entreprise californienne avec des composants en nuage tels que Gmail, les applications de bureautique en ligne ou le système de vidéoconférence Meet, via lesquels les données personnelles sont transférées aux États-Unis, de manière juridiquement sûre. « Google met à disposition des clauses contractuelles standard pour les services en nuage », a expliqué lundi Peter Fleischer, avocat mondial de la société en charge de la protection des données, lors de la conférence sur la vie privée de l’association informatique Bitkom. Ceci s’applique avec effet immédiat.

Sommaire

« Nous utilisons tous les instruments disponibles pour tirer le meilleur parti de l’incertitude juridique existante », a déclaré M. Fleischer. Il faisait allusion à l’arrêt de la Cour de justice européenne (CJE) de l’année dernière, qui a invalidé le « Privacy Shield » transatlantique et donc l’un des fondements les plus importants du transfert des données des clients vers les États-Unis.

Avec leur « décision Schrems II », les juges de Luxembourg ont constaté une fois de plus que les lois américaines telles que le Foreign Intelligence Surveillance Act (FISA) ou le Cloud Act permettent une surveillance de masse par des agences de sécurité comme la NSA ou le FBI et que le niveau de protection des données aux États-Unis n’est donc pas équivalent à celui de l’UE. La Commission européenne s’est donc efforcée d’adapter les clauses contractuelles types (CCS), qui constituent l’instrument alternatif restant pour les transferts de données, à la jurisprudence de la CJCE et a publié la nouvelle version au début du mois de juin.

Les règles révisées s’appliquent désormais aussi à Google. Elle s’accompagne pour la première fois de garanties « permettant de faire face à toute incidence des lois du pays tiers de destination » sur le respect des clauses par l’importateur de données. En particulier, il est important de clarifier à l’avance « comment traiter les demandes contraignantes des autorités du pays tiers suite à un transfert des données personnelles transférées ».

Désormais, Google doit également s’engager, par le biais d’un ajout au PRS, à informer sans délai les personnes concernées en cas de demande juridiquement contraignante d’une autorité publique de communiquer des informations personnelles. Si cette mesure est interdite, l’entreprise doit « faire tout son possible pour lever l’interdiction » et, si nécessaire, épuiser « tous les recours juridiques disponibles ». Les mesures prises pour minimiser la quantité de données personnelles avant le transfert, la pseudonymisation et le cryptage doivent également être divulguées.

« Nous nous appuierons davantage sur le cryptage », a promis M. Fleischer dans ce sens. Les données ne devraient être lisibles que par les clients à moyen terme, et non par le fournisseur de la plateforme. De manière générale, Google souhaite se concentrer sur les technologies qui renforcent la protection des données (« technologies d’amélioration de la confidentialité »).

L’avocat a fait référence à des concepts tels que l' »apprentissage fédéré » pour la reconnaissance automatique des utilisateurs sans tenir compte du comportement individuel ou la « confidentialité différentielle », grâce à laquelle des données agrégées peuvent être publiées après avoir ajouté un bruit de fond de telle sorte que les individus ne sont plus facilement identifiables. En outre, les données devraient être traitées plus directement sur les appareils finaux tels que les smartphones, afin de rendre inutile le téléchargement vers le cloud. En parallèle, Google travaille avec Deutsche Telekom sur un nuage « souverain » offrant de meilleures possibilités de contrôle.

Selon Mme Fleischer, les décisions d’adéquation individuelles, par lesquelles la Commission déclare que le niveau de protection des données dans d’autres pays, comme le Royaume-Uni, est comparable à celui de l’UE, n’ont pas une portée mondiale. Mais au moins, l’institution gouvernementale bruxelloise avait déterminé ici, avec la déclaration sur le Japon, qu’aucun  » clone  » du Règlement général sur la protection des données (RGPD) n’était nécessaire dans les pays tiers. Il espère donc que la Commission fera également preuve de « plus de souplesse » dans les négociations actuelles avec les États-Unis sur un bouclier de protection des données étendu.

Les deux parties ont travaillé d’arrache-pied sur les trois paniers que sont la nécessité, la proportionnalité et la possibilité pour les citoyens de l’UE de poursuivre les États-Unis dans le cadre d’un accord renforcé, a indiqué Alex Greenstein, responsable du Privacy Shield au ministère américain du commerce. Le point d’achoppement concerne l’accès du gouvernement aux données personnelles. Les deux blocs s’accordent à dire qu’il doit y avoir des obstacles à cela. Le ministère américain de la justice et le National Intelligence Officer ont déjà publié un livre blanc à ce sujet.

« Nous n’avons pas à réinventer la roue », a déclaré Greenstein. Ce qu’il faut, c’est renforcer les assurances dans le domaine de la sécurité intérieure, même si les États-Unis ne sont de toute façon pas un « Far West ». Le reste, avec les accords économiques, pourrait rester en place. Mais il n’y aura pas de « solution rapide et facile » au bouclier de protection de la vie privée, a-t-il déclaré, tempérant les attentes après le deuxième cycle de négociations sous l’administration Biden, qui a eu lieu la semaine dernière à Bruxelles. « Nous avons besoin d’une approche robuste » qui puisse également résister à un autre procès devant la CJCE. Une telle approche pourrait également nécessiter des mesures législatives.

Katharina Ludewig, avocate spécialisée dans la protection des données chez Coca-Cola, a demandé des clarifications également dans le transfert vers la Russie, le Brésil et l’Arabie saoudite. Un cadre stable est nécessaire à cet égard, notamment dans l’intérêt des consommateurs.

Une compréhension universelle serait la meilleure solution, a convenu Ulrich Kelber, le commissaire fédéral à la protection des données. Des pourparlers étaient déjà en cours entre les autorités de surveillance pour permettre une libre circulation des données au moins entre les principales économies occidentales. Toutefois, cela nécessiterait un niveau de protection tout aussi élevé. Les négociations ne doivent pas consister à trouver le plus petit dénominateur commun, d’autant plus que la protection des données en Europe découle des droits fondamentaux.

Avec l’arrêt Schrems II, tous les exportateurs de données devraient en fait évaluer la situation juridique dans les pays tiers, a souligné M. Kelber. Pour les petites et moyennes entreprises en particulier, c’est presque impossible, d’autant que même la Commission est réticente à le faire. Pour lui, les décisions d’adéquation restent donc un outil important. Dans le même temps, il a exhorté les entreprises numériques dont les produits transfèrent implicitement des données à prendre de leur propre initiative des mesures et des accords de protection supplémentaires. À l’instar de plusieurs commissaires à la protection des données des Länder, il effectuera également, dans un avenir proche, davantage de contrôles liés à des affaires dans sa région afin de vérifier si les exigences de la CJCE sont respectées.

Plus d'articles