Conformité et vie privée : paradoxe ou paradigme de la cybersécurité

Judith Beckhard Cardoso est Privacy Counsel, DPO, Secrétaire Générale de l’ACFE France & Membre de l’IAPP.

---

1. À l’Est, du Nouveau

1.1. Le Projet de PIPL

La Chine est aujourd’hui (avec l’Inde) le plus grand entrepôt de données transfrontalières du monde tout en étant le plus grand exportateur de la ressource devenue la plus précieuse de la planète.

Si les données constituent l'or de la nouvelle décennie, il est temps de comprendre les complexités qui entourent les silos de données et le monde réglementé que cette nouvelle ruée a engendré. 

L'année marquée par la pandémie et une humanité "à l'abri chez elle" a été jalonnée de décisions et de documents clés sur la réglementation des données, dans des zones géographiques stratégiques, clé d'un nouvel ordre mondial. 

En novembre 2020, la Chine a présenté un projet de loi sur la protection des informations personnelles (PIPL) visant à mettre en place un régime structuré de gouvernance des données et de la vie privée. Aucun calendrier de mise en œuvre n’est encore décidé, laissant planer l’insécurité juridique pour les entreprises et conférant un pouvoir discrétionnaire au gouvernement chinois.

Le projet de PIPL propose des sanctions importantes en cas de violations graves, notamment des ordonnances de rectification, la confiscation des gains illégaux, la suspension de l'activité, la révocation des licences d'exploitation et des amendes pouvant atteindre 50 millions RMB (environ 7,6 millions USD) ou 5 % du chiffre d'affaires de l'année précédente. Les personnes chargées de la protection des informations personnelles seront également soumises à des sanctions pouvant aller jusqu'à 1 million de RMB (environ 153 200 dollars US).

Il soulève des points clés liés à la sécurité nationale par rapport à l'économie mondiale, à l'interdiction des contrôleurs et des processeurs de données étrangers, et à l'utilisation d'entreprises ou d'investissements chinois comme liens économiques avec des souverains internationaux, les menaçant ainsi d'actions réciproques en cas de décisions ou de menaces défavorables. 

La PIPL a beaucoup emprunté au Règlement général sur la protection des données (RGPD) de l'Union européenne et comporte des dispositions qui donnent à la police numérique de Pékin une portée qui dépasse ses frontières physiques. 

Elle permet également à la Chine de contrôler strictement les flux de données en provenance de son territoire, avec des sanctions et des interdictions éventuelles à l'encontre des entités figurant sur la liste noire. 

1.2. Les Arrêts Schrems II

Dans le même temps, une décision de la Cour européenne de justice a mis à mal les dispositions du Privacy Shield, un cadre juridique qui guidait les flux de données entre les États-Unis et les pays de l'UE. Cette décision historique a des conséquences importantes pour des milliers d'entreprises qui partagent actuellement des millions de dollars de données avec les États-Unis. 

L'UE a également publié une première série de mesures dans le cadre de la loi sur la gouvernance des données afin de "favoriser la disponibilité des données à utiliser en augmentant la confiance dans les intermédiaires de données et en renforçant les mécanismes de partage des données". Cette loi comporte des lignes directrices et des références ambiguës sur les transferts internationaux de données, les demandes d'accès de pays tiers et les dispositions visant à contrôler les données non personnelles. Tous ces éléments ont des limites qui viennent taillader le tissu existant du commerce et de la coopération mondiale.

2. Le Nouvel Ordre Mondial des Données

2.1. Traçabilité à l’Est et Transparence à l’Ouest vont avoir des difficultés à cohabiter

Jusqu’où va la transparence et où commence la violation de la vie privée et l’atteinte aux données personnelles ? Lorsqu’il s’agit de lutte contre la fraude, la transparence est celle des données financières des entreprises. Il s’agit certes de données sensibles au sens du business mais non au sens des droits des personnes.

Un exemple topique avec les données de santé est soulevé lorsque l’on parle de traçabilité concernant le développement du virus Covid : les données concernées sont celles, d’une part, des déplacements des personnes testées, de l’état de santé des personnes testées, des déplacements des personnes croisées par ces personnes, et on arrive rapidement à une violation de la vie privée et de la protection des données des personnes concernées, au sens occidental du terme.

Occidental. Le terme est ici capital : selon une étude des législations sur une cinquantaine de pays dont certains ne possèdent pas de loi sur la protection des données, toutes possèdent une règlementation sur la vidéosurveillance, l’accès aux données collectées, la durée de la collecte, l’objectif plus ou moins flou de la collecte. Les régions ayant répondu le plus rapidement au développement du virus sont celles où la liberté d’aller et venir librement est la plus contrainte et la plus surveillée par le gouvernement : Corée, Chine, Hong-Kong, Taiwan, Singapour.

La question a été et est encore débattue des limites de l’accès à ces données s’il convient de les collecter pour endiguer efficacement l’épidémie. 

La question qu’il convient de se poser est celle de la sécurité de ces données : comment ne pas craindre des fuites massives alors que nombre de serveurs, y compris pour le prochain sommet des Nations Unies se fait sous l’égide de TenCent, le géant chinois, dont les fuites en matière de cybersécurité n’ont pas échappé à la presse étrangère ?

La transparence a un corollaire très strict : la sécurité. 

Avons-nous aujourd’hui le niveau de sécurité et les standards nécessaires afin de les faire appliquer à un niveau aussi large ?

2.2. Cette question amène bien sûr la question des conflits de normes

Nous avons des normes concernant la protection des données et ce qui constitue des données sensibles en Europe. Les États des États-Unis en ont également, plusieurs, non fédérées. Le Moyen-Orient, la Russie, le Japon, la Chine, l’Inde, l’Australie et la Nouvelle-Zélande pour ne citer qu’eux, en ont également. Les Philippines, la Malaisie en prennent. Un certain nombre de pays d’Afrique commencent à travailler sur ces questions sur les modèles européens. Les pays d’Amérique Latine sur les modèles californiens.

Les règlements sur la protection des données s’appliquent selon certains pays à leurs citoyens (le RGPD notamment), à leurs résidents (le CCPA), aux données traversant leur territoire (la Chine, la Russie et en matière de lutte contre la fraude l’Inde).

Un exemple pratique : imaginons maintenant que, citoyenne européenne, je sois pour des raisons de travail résidente californienne et que je doive me rendre en Chine ou en Russie ou en Inde pour un contrat. 

La Chine m’appliquera sa loi : je lui dois toutes mes données puisque je suis sur son territoire. En cas de fuite de ces données, le département de la justice californien me permettra d’assigner l’entreprise chinoise fautive devant ses tribunaux et le RGPD me permettra d’assigner cette même entreprise devant les tribunaux de mon pays européens et de porter plainte afin d’obtenir une sanction.

Comment imaginer de manière réaliste la possibilité d’exécuter une telle situation ?

En conclusion

La solution ne sera pas juridique avant très longtemps. Le retour d’expérience sera long et douloureux mais il devra passer par des accords bilatéraux ou multilatéraux si possible, dont la crise actuelle ne rendra pas la négociation aisée. 

Les fraudeurs et hackeurs ne sont pas limités par les lois. Les États ne sont pas tenus par les lois des autres États, la question de l’extraterritorialité des lois se heurtant au pragmatisme dans sa mise en œuvre.

La lutte contre la fraude devrait-elle passer par la lutte contre la transparence afin de protéger les données ? Un paradoxe qui pourrait bien être le nouveau paradigme de l’ère cyber au sein de laquelle nous voyageons désormais.

Judith Beckhard Cardoso