Cet été, la Commission Européenne a signé un nouvel accord pour encadrer juridiquement le transfert de nos données vers les États-Unis. Son nom : le Data Privacy Framework. Mais alors, de quoi s’agit-il exactement ? En quoi cet accord-cadre est-il différent des précédents, et surtout, comment expliquer qu’il soit déjà si contesté ? Pour répondre à toutes vos questions sur le sujet, le député Philippe Latombe et la consultante Estelle Prin sont sur le plateau de SMART TECH.
Category
🗞
NewsTranscription
00:00 Cette été, l'Europe a validé un nouvel accord sur le transfert des données des
00:07 Européens, transfert et traitement des données des Européens vers les Etats-Unis.
00:12 On répond à vos questions sur ce Data Privacy Framework avec Philippe Latombe, député
00:17 Modem de la première circonscription de Vendée.
00:19 Bonjour.
00:20 Bonjour.
00:21 Monsieur Latombe, vous êtes membre de la commission des lois à l'Assemblée Nationale,
00:24 spécialisé dans la transposition des directives européennes.
00:27 Vous êtes le RGPD sur lequel vous avez beaucoup travaillé, membre de la CNIL depuis août
00:32 2022 et à l'initiative de ce premier recours contre cet accord transatlantique sur les
00:38 données des Européens.
00:39 J'ai tout de suite envie de vous poser cette question.
00:42 Pourquoi ? Parce que cet accord n'est aujourd'hui pas protecteur, comme le RGPD l'est, et
00:49 que les données qui seront traitées aux Etats-Unis n'auront pas le niveau de protection que
00:53 nous avons en Europe.
00:54 Et donc les données personnelles des Européens sont en danger.
00:57 Avec vous, pour répondre aux questions de nos téléspectateurs, Estelle Prin, qui est
01:03 diplômée de l'Institut de Sciences Politiques de Lyon, de l'Institut français de géopolitique
01:06 et de l'université Paris 1 Sorbonne.
01:08 En économie, en sociologie, vous êtes la fondatrice de l'Observatoire des Semi-conducteurs
01:12 et consultante sur les questions touchant à la microélectronique, spécialiste en
01:17 géopolitique de la Chine et plus particulièrement en sa politique étrangère et ses relations
01:22 de rivalité systémique avec les Etats-Unis.
01:25 Vous allez pouvoir nous apporter ce regard spécifique géopolitique.
01:30 Et justement, peut-être une première question pour vous.
01:33 L'Europe n'est pas la seule à chercher un cadre pour le transfert de ces données d'État
01:38 à État.
01:39 Oui, effectivement, il y a d'autres grandes puissances, et la Chine en fait partie, qui
01:44 cherche à protéger les données, tout simplement les données personnelles de leurs citoyens
01:50 parce qu'il y a des enjeux économiques derrière de ces données.
01:54 Les grandes entreprises, les GAFAM ou TikTok vont les utiliser pour des utilisations commerciales.
02:03 Donc les enjeux économiques derrière sont très très importants.
02:06 Oui, c'est important de rappeler que ce n'est pas une exception européenne d'essayer
02:10 d'encadrer ces transferts transatlantiques.
02:13 Tout le monde essaye aujourd'hui de se protéger parce que la data, c'est une valeur très
02:17 précieuse.
02:18 On dit pour autant que cet accord est déjà fragile ou fragilisé.
02:23 C'est votre perception ?
02:24 Oui, je pense qu'il est fragilisé.
02:26 Effectivement, mais ce sont des mots qui appartiennent au président Biden quand il a fait son interview,
02:31 quand il est venu en Europe et qu'il a fait sa conférence de presse avec Ursula von der
02:34 Leyen.
02:35 Il a quand même parlé des données comme étant l'or noir de demain.
02:38 C'est vraiment aujourd'hui quelque chose de tellement important que c'est le président
02:42 des États-Unis lui-même qui vient en Europe dire qu'il a trouvé un accord avec l'Europe
02:47 et ça va donner le DPF quelques mois plus tard que je combats.
02:50 Oui, il est fragilisé pour plein de raisons.
02:53 La première, c'est qu'il a été pris dans l'urgence.
02:56 Il a été pris contre l'avis du Parlement européen.
02:59 Donc, il lui manque une crédibilité démocratique.
03:03 Le Parlement européen a dit non au DPF et la Commission a quand même validé le DPF.
03:07 Et puis, il est fragilisé parce qu'intrinsèquement, il a des grosses failles, notamment dans le
03:14 cadre de recours possibles de la part des Européens vis-à-vis de l'utilisation des
03:17 données qui seraient faites sur le territoire américain.
03:19 On peut ajouter parce qu'il arrive aussi après deux accords précédents qui ont déjà
03:23 été invalidés.
03:24 Alors, effectivement, il est en plus le troisième d'une série où les deux premiers ont été
03:28 invalidés.
03:29 Je rappelle que l'invalidation, ça veut dire que les accords n'existaient pas.
03:32 Ils n'ont jamais existé.
03:33 Donc, toutes les données qui ont transité pendant la période du safe harbor et du privacy
03:38 shield n'auraient pas dû transiter.
03:40 Il y a vraiment un risque pour les entreprises.
03:42 Donc, je pense que là, aujourd'hui, elles vont regarder un peu avec recul la question
03:48 du DPF avant de s'engouffrer dans le DPF comme ça dans les mois qui viennent.
03:51 Alors, on a plein de questions de la part de Nicolas Guillaume qui est le patron de
03:56 Netalys, Netalys opérateur alternatif, on va dire un opérateur local.
04:02 Et c'est peut-être des questions d'avantage pour vous, Estelle.
04:05 Je vais commencer avec celle-ci.
04:06 Quel est votre avis sur le transfert des données vers les clouds asiatiques, en particulier
04:11 chinois ?
04:12 Pourquoi est-ce qu'on essaye d'encadrer en gros les transferts de data vers les États-Unis,
04:18 mais qu'en est-il de la Chine ?
04:20 Est-ce qu'on fait la même chose ?
04:21 Est-ce qu'on devrait le faire ?
04:22 Alors, en tout cas, on devrait le faire puisque, effectivement, le transfert de ces données
04:26 vont être utilisées après à des fins commerciales.
04:30 Et on sait, les data, c'est quelque chose qui va nourrir les grands acteurs commerciaux
04:36 qui, après, proposent des produits.
04:39 Et ces acteurs, maintenant, ils sont mondiaux et ils viennent concurrencer des acteurs au
04:46 sein de l'Union européenne.
04:48 Donc, effectivement, on peut légitimement se poser la question et voir si la compétition
04:54 avec peut-être des acteurs européens est-elle vraiment à égalité.
04:58 Et là, au niveau économique, c'est peut-être loin d'être le cas.
05:02 L'Europe est-elle moins regardante sur la question des transferts avec la Chine ?
05:07 Non, elle n'est pas moins regardante.
05:08 Elle est même plus stricte.
05:09 C'est-à-dire qu'il n'y a pas d'accord d'adéquation avec la Chine.
05:11 Les transferts de données via la Chine doivent se passer dans des conditions très strictes
05:15 de clause contractuelle type, de vérification.
05:18 Et c'est d'ailleurs sur ces sujets-là que l'ACNIL en France, mais toutes les autorités
05:21 de contrôle européenne se sont penchées sur TikTok, sur toutes les applications chinoises.
05:28 Et on l'a vu à l'occasion des Jeux olympiques.
05:31 Le cloud d'Alibaba était le cloud qui était prévu comme étant celui de référence.
05:35 Et en France, on a décidé qu'on allait un peu tout verrouiller.
05:40 Donc, on a mis des couches.
05:41 On a utilisé Thales pour mettre des couches de protection.
05:43 Toutes les données n'iront pas sur le cloud d'Alibaba.
05:46 Toutes les données qui serviront à faire la vidéo surveillance de Paris ne seront
05:49 pas sur le cloud d'Alibaba parce qu'on n'a pas confiance dans le cloud.
05:53 Et il a une porosité certaine.
05:55 Donc non, on est peut-être même plus strict.
05:57 Parce qu'en fait, Nicolas Guillaume, dans ces questions, a visiblement le sentiment
06:02 qu'on s'acharne contre les providers US.
06:05 Et si on nous dit cet acharnement sur les providers US qui investissent comme jamais
06:08 en Europe, grâce à la France qui va devenir cinquième hub numérique mondial à Marseille,
06:13 quel est l'intérêt de se tirer une balle dans le pied ?
06:16 Je ne sais pas si on se tire une balle dans le pied.
06:20 Il faut le regarder avec un peu de perspective.
06:23 Pourquoi est-ce qu'aujourd'hui les Américains s'intéressent au marché européen ?
06:27 D'abord parce que ça leur fait de l'argent tout de suite à court terme.
06:30 Les GAFAM prennent des parts de marché dans un marché qui explose.
06:33 Et forcément, ils font du revenu.
06:35 La deuxième, c'est qu'ils ont besoin de données pour pouvoir entraîner leur modèle
06:38 et leur réseau de neurones, intelligence artificielle, dont ils sont les principaux
06:42 promoteurs aujourd'hui.
06:43 Donc ils veulent préempter le marché à moyen terme.
06:45 Et à long terme, ils savent qu'en étant propriétaires des données, ils vont pouvoir
06:50 développer des nouvelles technologies sur la base de l'IA, sur des données par exemple
06:53 de santé, pour pouvoir proposer des nouveaux produits, des nouveaux traitements, mais aussi
06:58 de l'assurance, de la mutuelle.
06:59 Et que donc, ça va leur ouvrir des perspectives de marché.
07:01 C'est-à-dire qu'on n'a pas tout vu encore ?
07:03 On n'a encore rien vu même.
07:04 Et on peut bloquer peut-être certains domaines de croissance ? Ou en tout cas, essayer de
07:10 les préserver pour l'Europe ?
07:12 Alors, l'idée que moi j'ai, je ne suis pas anti-américain par principe, c'est simplement
07:16 qu'on ne joue pas à jeu égal.
07:18 Le marché américain nous est fermé pour une grosse partie de nos entreprises.
07:21 Le marché européen leur est ouvert totalement.
07:24 Et le DPF, le Data Privacy Framework, est une ouverture du marché européen de la donnée,
07:29 alors que nous n'avons pas l'équivalent de leur côté à eux.
07:32 Et les protections ne sont pas les mêmes des deux côtés de l'Atlantique.
07:34 Les données des Européens seront moins bien traitées que les données des Américains.
07:37 Nous n'avons pas les mêmes recours de prévus par le DPF que les procédures américaines.
07:42 Et clairement, il faut aussi qu'on se le dise, ce sont des alliés.
07:46 Ils ne sont pas forcément toujours nos amis.
07:48 Et de temps en temps, ils nous écoutent, ils nous regardent et ils font de l'intelligence
07:51 économique à nos dépens.
07:52 Quelle est la perception en Chine de la position de l'Europe ?
07:56 Par rapport à ces contrôles de données ?
07:58 Oui, dans cette rivalité Etats-Unis-Chine ?
08:00 Alors en fait, les Chinois veulent absolument contrôler leurs propres données.
08:06 Eux ne souhaitent pas effectivement voir leurs données être utilisées par les acteurs américains.
08:13 Et maintenant, il y a des tensions très importantes sur des questions de données, sur les semi-conducteurs.
08:19 Donc, il y a de plus en plus une tentative de cloisonnement d'un système qui serait
08:25 plutôt chinois, avec des acteurs chinois et avec un Etat chinois qui est très regardant.
08:29 Et de plus en plus regardant sur le contrôle finalement de l'information qui sort de son pays.
08:35 Les données personnelles, que ce soit des données financières, ils souhaitent les
08:41 contrôler un maximum.
08:42 Et les contrôler encore plus si c'est des données qui vont vers...
08:47 Mais ils voient l'Europe comment ? Ils voient l'Europe comme un allié dans cette guerre
08:51 contre les Etats-Unis ? Avec les prises de position qui sont faites contre cet accord notamment ?
08:55 Alors, je pense que l'Europe est plutôt vue comme un marché que comme un allié dans cette question-là.
09:03 La vision chinoise, elle est quand même très marché et conquête de marchés comme les
09:10 grands acteurs, les grandes compagnies, les grandes techs américaines aussi le veulent.
09:15 Il y a quand même des centaines de millions de consommateurs dans le marché européen.
09:19 C'est un marché très intéressant.
09:21 Et les acteurs se battent aussi pour les parts de marché en Europe.
09:26 Alors, on a une question de Dynilok qui nous dit...
09:30 Attention, c'est une question assez technique.
09:31 Elle vous est adressée directement, j'ai l'impression en tout cas.
09:34 Donc, c'est la Cour de justice de l'Union européenne qui a précisé dans un arrêt
09:40 très spécifique qu'il incombait aux législateurs de prévoir des voies de recours permettant
09:45 à l'autorité nationale de faire valoir les griefs qu'elle estime fondées afin que ces
09:49 juridictions nationales procèdent à un renvoi préjudiciel au fin de l'examen de la validité
09:54 de la décision.
09:55 Qu'est-ce que ça veut dire ?
09:56 En gros, il nous pose la question.
09:58 Est-ce que vous envisagez, en cas d'échec de votre procédure et en tant que membre du
10:02 Collège de la CNIL, que cette dernière, la CNIL, donc, conteste la décision d'adéquation ?
10:07 Alors, à titre personnel, d'abord, j'ai fait un recours à titre individuel et pas comme
10:11 membre de la CNIL.
10:13 Et clairement, je me suis, pour toutes les décisions qui viendront devant la CNIL et
10:17 qui concerneront le transfert de données, je me déporterai parce que je ne peux pas
10:20 être à la fois dans les deux instances.
10:23 Je pense que la CNIL...
10:26 Alors, il est vraiment prévu par les textes qu'il faut qu'il y ait des recours effectifs.
10:30 Le DPF dit ce que...
10:32 Et c'est ça qui pose un problème, c'est que le droit européen est supérieur à notre
10:36 droit national.
10:37 Et le droit européen, dans le DPF, dit que ce sont les autorités, donc la CNIL en France,
10:41 qui recevront la plainte de chacun des individus et qui les transféreront aux États-Unis
10:46 pour examen.
10:47 Donc, la CNIL ne pourra pas s'opposer à cette réglementation telle qu'elle.
10:52 Il faut qu'on ait aujourd'hui une instance, c'est-à-dire qu'il faut qu'on trouve un
10:56 cas, qu'une personne trouve un cas, la présente à la CNIL, que la CNIL dise "ben écoutez,
11:00 moi, vu le DPF, je ne peux pas".
11:02 Il faut donc ensuite aller au Conseil d'État, parce que c'est seul le Conseil d'État qui
11:05 peut invalider une décision de la CNIL.
11:07 Et au Conseil d'État, il faudra poser une question préjudicielle.
11:09 C'est très technique, ça prendra, si ça devait se faire, ça prend au moins un an,
11:13 facilement.
11:14 La solution, c'est très clairement que Max Schrems, lui, de son côté, va entamer cette
11:19 procédure-là.
11:20 D'ici certainement la fin de l'année, il aura déposé soit un recours dans le cadre
11:23 encore de son litige avec Meta en Irlande, il espère pouvoir le faire dans les semaines
11:26 qui viennent, et si la Cour irlandaise ne lui permet pas, il le fera en Autriche, où
11:31 c'est plus rapide.
11:32 Ça veut dire que, quand je dis plus rapide, ça se compte encore en mois pour que ça
11:35 aille à la Cour de justice de l'Union, et que la Cour de justice statue qu'il y en a
11:39 pour un an.
11:40 Donc, on est avec un an et demi.
11:41 C'est pour ça que j'ai tenté un recours direct auprès du Conseil d'État.
11:43 C'est ce que j'allais vous dire, parce que là, vous évoquez Max Schrems, qui est à
11:47 l'origine de l'invalidation des deux premiers boucliers autour de nos données.
11:52 Vous avez tiré le premier coup, finalement.
11:55 Est-ce que c'est une action que vous avez menée, vous l'avez dit, en tant que citoyen
12:00 européen, mais quand même de manière concertée avec l'avocat Max Schrems ? Est-ce qu'il
12:04 y a un risque que ça parasite éventuellement son action ?
12:07 Non.
12:08 On est d'accord, Max Schrems et moi, que ça ne parasitera absolument aucune des actions.
12:12 Vous l'aviez consulté au plan actuel ?
12:14 Ce sont deux voies de procédure différentes.
12:16 On s'était parlé avant.
12:18 C'est une voie de procédure, celle que moi j'ai entamée, qui n'est pas celle qu'il
12:22 avait prévue d'entamer, parce qu'il lui trouve une fragilité juridique.
12:27 Et c'est vrai qu'il y a un point technique très particulier, c'est qu'il faut prouver
12:30 au Tribunal de l'Union que, individuellement, le DPF m'impacte.
12:35 J'ai essayé de le prouver au Tribunal, on verra ce qu'il va dire, mais si jamais, par
12:39 hasard, le tribunal disait non, ça veut dire que seule la voie préjudicielle et la voie
12:42 qui permet de contester le DPF, c'est ce que Max Schrems va faire de toute façon.
12:46 Et si jamais le tribunal veuillez accepter mon recours, à ce moment-là, de toute façon,
12:52 on est en première instance au niveau du Tribunal de l'Union.
12:56 La Cour de justice vient en deuxième instance, donc elle sera saisie à peu près au même
12:59 moment entre Max Schrems et moi.
13:01 Et donc, dans ces cas-là, on joindra nos efforts sans aucun souci.
13:05 Très bien.
13:06 Alors, la question centrale, c'est quand même de savoir comment est-ce qu'on évite
13:09 que les données des Européens soient traitées, espionnées à des fins non conformes à ce
13:18 que l'on souhaite, nous, en Europe ? Est-ce qu'il y a un modèle intéressant à copier
13:22 dans le monde aujourd'hui sur ces accords de transfert de data entre États ?
13:29 Sur les accords d'adéquation, on n'en a pas beaucoup.
13:32 On en a un avec Israël et il devrait normalement, si la commission était cohérente, devrait
13:37 être revu parce que l'organisation juridique israélienne a changé, donc on devrait devoir
13:42 le revoir.
13:43 On avait un accord avec les Anglais dans le cadre du Brexit, les Britanniques dans le
13:46 cadre du Brexit, qui avait une échéance au 30 juin 2022.
13:50 Et donc, là aussi, on devrait normalement en faire une revue annuelle.
13:54 Ça n'a pas été fait.
13:55 Dans le DPF, il est prévu qu'on ait une revue annuelle avec les États-Unis.
13:58 Je ne suis pas sûr qu'on fasse une revue si le FISA repasse en fin d'année aux États-Unis
14:02 comme il est.
14:03 Je ne suis pas sûr que la commission ait très envie de revoir son DPF.
14:07 On n'a pas vraiment d'accord, d'équivalence complète.
14:10 On en a ponctuellement avec quelques pays, avec la Suisse notamment, mais ce sont des
14:16 accords qui sont de l'Europe vers un petit pays.
14:19 Ce n'est pas méchant quand je dis ça pour la Suisse, mais en termes de population.
14:22 De volume.
14:23 De volume de population et volume de données, c'est un peu plus faible que les États-Unis.
14:26 En fait, il faudrait que les États-Unis acceptent d'avoir un RGPD équivalent au nôtre ou
14:31 alors qu'on ait un accord de non-espionnage entre les citoyens des deux continents.
14:36 Mais ce texte FISA qui permet aux agences de renseignement d'exploiter les données
14:42 numériques, il est fortement discuté aussi aux États-Unis.
14:46 Oui, et puis il se base sur la notion de sécurité nationale.
14:51 C'est-à-dire qu'en fait dans cette affaire, et c'est le point qui est un peu litigieux,
14:57 c'est que dans cet accord de transfert de données, l'idée c'est que les services
15:02 de renseignement américains puissent accéder à certaines données d'Européens pour
15:06 des questions de sécurité nationale.
15:09 Et ce qui peut aussi poser problème, c'est qu'est-ce qu'on met dans cette notion
15:12 effectivement de sécurité nationale américaine.
15:15 Les Américains disent "nous on veut pouvoir nous protéger s'il y a des informations
15:22 qui sont primordiales et qui sont dans les données personnelles de certains citoyens
15:28 européens".
15:29 Et c'est cette notion qui est utilisée de plus en plus au niveau international dans
15:34 ces questions de transfert de données personnelles, puis pour d'autres choses, pour essayer
15:39 de limiter les exportations de technologies par exemple des États-Unis.
15:42 Donc on voit cette notion de sécurité nationale utilisée également par la Chine dernièrement
15:47 pour essayer de limiter la vente et l'exportation de métaux rares.
15:52 Donc on voit bien qu'il y a des tensions, il y a un recroquevillement des acteurs de
15:57 ces États par rapport à ces données qui circulent, ces données digitales qui circulent
16:03 et ça circule au niveau mondial.
16:05 Et donc reste à l'Europe d'adopter un discours identique ?
16:10 En fait c'est la vraie difficulté, c'est qu'aujourd'hui l'espace européen a voulu
16:16 rester ouvert et on lui a dit qu'il fallait qu'il reste ouvert.
16:19 Les Américains nous ont gentiment expliqué quand même depuis des années qu'il fallait
16:21 qu'on reste ouvert.
16:22 Et dès qu'on prend des mesures qui pourraient leur sembler un tout petit peu protectionnistes,
16:25 les Américains crient en disant "mais vous n'avez pas le droit, le marché doit être
16:28 libre, ouvert etc.".
16:30 Sauf que quand on regarde ce qui se passe aux États-Unis, c'est l'inverse qu'ils
16:33 font.
16:34 Leur fameuse IRA, leur loi sur la relance pour lutter contre l'inflation est protectionniste.
16:42 Elle vise uniquement à la production sur le territoire américain par des entreprises
16:46 américaines pour des Américains.
16:48 Donc la notion de sécurité des États-Unis est effectivement une notion extensive qu'ils
16:53 utilisent et ils l'ont déjà fait avec le dollar.
16:55 Des entreprises européennes, dont françaises, des grandes banques françaises en ont souffert
16:59 et c'est en train de se passer sur les données.
17:01 On va s'excuser auprès de Nicolas Guillaume pour ne pas avoir pris toutes ces questions.
17:05 Je lui répondrai si il a besoin.
17:06 Vous lui répondrez directement.
17:07 Mais en plus il aborde un autre sujet qui est quand même celui de la stratégie cloud
17:12 européenne face à celle des Américains.
17:14 Évidemment, ça c'est des sujets qu'on aborde et qu'on continuera d'aborder dans Smartech.
17:17 Merci beaucoup Philippe Latombe, député modem de la première circonscription de Vendée,
17:20 StealthPrint, consultante et fondatrice de l'Observatoire des semi-conducteurs.
17:24 A suivre, c'est le rendez-vous des cryptos.