La France a-t-elle les moyens de protéger ses données ?

En se basant sur ça, il est légitime de se poser la question : pourquoi est-il important de les protéger? En effet, la connaissance de la vie privée par les banques, assurances, services de renseignement... peut s’avérer intrusive et discriminatoire. Par exemple, en 2016 aux USA, lors de la campagne de Donald Trump, 220 millions de citoyens ont été victime d’une publicité ciblée qui a pu entraîner des changements de vote massifs. Les mêmes pratiques auraient été utilisées pour influencer les citoyens britanniques lors du référendum sur le Brexit.

C’est donc un usage qui s’invite directement dans notre démocratie. Depuis l’arrivée du COVID-19, c’est désormais un sujet qui touche aussi nos données de santé. Notre «passeport sanitaire » est désormais au cœur des débats, il pourrait permettre de recenser les déplacements sur le territoire de l’Union Européenne des citoyens vaccinés. La France a-t-elle les moyens de protéger nos données ? C’est à cette problématique que nous essaierons de répondre ici en développant les mesures prises par la France et l’Union Européenne puis en indiquant les enjeux et problématiques qu’elles peuvent rencontrer.

Réglementation & Législation mise en place en France et dans l’Union Européen

Il pourrait être légitime de penser que le RGPD est la base de notre réflexion concernant la protection des données personnelles. Dans la réalité, il a existé plusieurs mesures en France et dans l’Union Européenne(UE) qui ont précédé ce règlement.

Comme nous pouvons le voir sur le schéma ci-dessus, tout est parti de l’affaire SAFARI. En effet, le gouvernement Français voulait établir une identité unique pour chaque individu qui reliait numéro de sécurité sociale, casier judiciaire, impôt sur le revenu etc. A l’époque cela choque, et donne lieu à un revirement de situation qui sera l’origine d’une mesure permettant de réguler ce genre de pratique : La Loi Informatique et Liberté. Elle est instaurée 4 ans plus tard, en 1978, ce qui fait d’elle la première mesure mondiale dans ce domaine. La France a quelques années d’avance sur ses voisins à l’époque. Aujourd’hui, c’est le RGPD qui nous protège vis à vis de toutes nos données personnelles. Mais qu’est-ce que le RGPD réellement ? 

Si vous voulez en connaître tous les détails, je vous conseille de consulter cet article de vie publique. Mais en quelques mots : il signifie Règlement Général sur la Protection des données, son périmètre d’application s’étend sur le territoire de l’UE,  et il est censé garantir la protection de nos données personnelles. Les données caractérisées comme personnelles sont les suivantes :

En France, une partie du RGPD (voté en 2016) devant s’appliquer à partir de 2018 a été précédée par la Loi Lemaire qui vise à « donner une longueur d'avance à la France dans le domaine du numérique en favorisant une politique d'ouverture des données et des connaissances ». Depuis lors, chaque entreprise, collectivité ou association essaie tant bien que mal à s’y conformer sans comprendre réellement la profondeur du sujet. 

Gare à ceux qui ne font pas cet effort ! En effet, la CNIL, créée en 1978, veille à ce que les données personnelles soient protégées par son droit de certification mais aussi de sanction. Toute entreprise, collectivité locale ou encore association peut être soumise à cette sanction. Seul l’Etat Français ne peut être sanctionné par l’organisme. Ce droit de sanction se traduit par une amende :

En outre, il existe un organisme régulant les actions de la CNIL. Souvent citée comme la CNIL européenne, il représente Le Comité Européen de la Protection des Données (EDPB). Il a la même fonction que la CNIL. Il garantit l’application cohérente du RGPD ainsi que de la Directive Européenne en matière de Protection des Données dans le domaine répressif mais cette fois dans l’Union Européenne. De plus en plus de moyens sont mis à disposition de ces organismes et notamment au niveau Français pour la CNIL. En effet, son budget a quadruplé en 20 ans, montrant bien que le sujet est et sera clé dans les années à venir.

Toutes ces mesures, lois et organismes suffisent-ils à réellement protéger nos données ?

Limites actuelles et initiatives Franco-Européenne

Malgré des investissements, efforts législatifs et réglementaires sur cet enjeu stratégique et politique, la France et l'UE doivent faire face à plusieurs grandes problématiques. Le fort lobbying de la part des multinationales comme les GAFAM ou BATX (géants numériques Chinois) en est un bon exemple : selon un rapport de l’ONG Lobby control et Corporate Europe Observatory, un peu plus de 97 millions d’euros par an sont dépensés par les grandes entreprises pour influencer les décisions européennes.

En témoignent aussi les lois en vigueur aux Etats-Unis, comme le Patriot Act ou Cloud Act, qui permettent sous couvert d’enquêtes judiciaires de récolter certaines données appartenant à des entreprises américaines plus facilement, et notamment si elles sont hébergées sur leur sol. Mais en pratique, les multiples révélations faites par les lanceurs d’alertes mettent en lumière des dérives à grande échelle aidées par un flou juridique.

 Les acteurs dominants de services numériques se trouvant aux Etats-Unis ou en Chine, ils sont ainsi soumis aux lois de ces pays. Par conséquent, il est difficile de généraliser la protection des données pour un état ou une organisation. En effet, les différentes législations qui encadrent l’utilisation des données s’appliquent au moins en partie à une échelle locale: à savoir la localisation des data centers. Les données ne sont pas régies par les mêmes règles qu’elles soient hébergées aux USA ou en France.

 Les seules lois censées régir l’utilisation et la protection des données personnelles, d’une entreprise ou d’un état ne suffisent donc pas. L’hébergement des données est de fait la clé afin d’en assurer la protection. D’où le besoin d’une souveraineté numérique plus forte. 

La souveraineté des données est définie comme la capacité d’un état ou organisation à protéger et gérer ses données de manière indépendante, et ainsi éviter les influences extérieures. Concrètement, elle permet d’assurer un meilleur contrôle, en garantissant que les données hébergées en France ou dans l’UE soient régies par les lois en vigueur.

C’est partant de ce constat que la France lance en 2009 le projet d’un Cloud souverain Français. Deux projets sont développés en parallèle, d’un côté Orange, Thalès, Dassault Systèmes  et de l’autre un projet guidé par SFR. Ces projets échoueront tous deux faute de rentabilité et seront entérinés six ans plus tard.

 C’est à l’échelle européenne qu’un nouveau projet voit le jour en 2020 : Gaia-X. Né d’une initiative Franco-Allemande, l’objectif est de développer un Cloud computing efficace, sécurisé et fiable pour l'Union Européenne. Il a pour objectif de répondre aux préoccupations en matière de confidentialité des données et de cybersécurité. Cependant, le projet fait face à certaines critiques, dont récemment une de la part de Scaleway (entreprise cofondatrice se retirant du projet). Ils reprochent la trop forte activité et le lobbying des GAFAM au sein des comités techniques de Gaia-X. 

En parallèle au projet européen Gaia-X, la France a mis en place le 17 mai 2021 un label “cloud de confiance” avec pour objectif de sécuriser techniquement et juridiquement les cloud utilisés par les entreprises françaises.

Le label est attribué à un Cloud Provider sous trois conditions :

• Remplir les exigences de sécurité “SecNumCloud’ (Qualification définissant les exigences en matière de sécurité de l’information) 
• Avoir des infrastructures et des systèmes d’information localisés en Europe 
• Assurer le portage commercial et opérationnel du service par une entité européenne (associer logiciels américains et hébergement des données par des sociétés européennes)
   

Ce label permet ainsi de garantir un certain niveau de souveraineté des données, tout en permettant  l’utilisation de la puissance des technologies des géants américains. Il existe d’ores et déjà des offres françaises labellisées telles que Oodrive ou Outscale. Ce label sera par exemple indispensable pour répondre aux appels d’offres de l’Etat.

La France ne peut aujourd’hui pas techniquement garantir pleinement la protection des données, mais l’enjeu, bien que complexe, est pris très au sérieux et c’est au niveau de l’Union Européenne que la France et les pays membres veulent agir. Ils s’efforcent ensemble d’uniformiser les règles au sein du marché numérique unique Européen, afin de mieux protéger les droits fondamentaux en ligne des utilisateurs, consommateurs et titulaires de droits.

En plus des règlements et lois déjà en place, l’UE entend déjà aller plus loin et renforcer son arsenal législatif et réglementaire, avec notamment la législation sur les Services Numériques (Digital Services Act), et le règlement ePrivacy qui viendrait compléter le RGPD, et encadrer par des mesures contraignantes, la protection des données.