Le RGPD : une protection suffisante face aux menaces ?

C’est un truisme : nos systèmes d’information sont devenus complexes et essentiels. Si, face aux incessantes attaques des hackers de tout bord, la plupart des entreprises se soucient de la sécurité de leurs infrastructures, de la confidentialité de leurs données et du respect du RGPD, sont-elles aussi vigilantes face au risque légal de pillage de leurs données par un état tiers ? Pas si sûr… Rappelons que, le 27 avril 2016, l’Union européenne a adopté son RGPD (Règlement Général sur la Protection des Données) pour assurer la protection des données à caractère personnel de ses citoyens, quelle que soit la nationalité de l’opérateur qui collecte et traite ces données. Depuis 9 ans, le RGPD est brandi comme arme de défense massive visant à garantir la confidentialité de nos données personnelles. Pour simplifier : il suffirait que les données soient hébergées sur le territoire européen par un prestataire mettant en œuvre le RGPD pour s’assurer qu’elles soient à l’abri d’un usage frauduleux (comme on a pu le constater dans l’affaire Cambridge Analytics et les tentatives de manipulation électorale au Royaume-Uni). Pour autant, le RGPD est-il une garantie suffisante face à certaines réglementations nationales ?

Le Cloud Act : une menace pour la souveraineté des données européennes

La question se pose d’autant plus que le Cloud Act américain tente de s’imposer comme une réglementation supranationale à tout acteur ayant des liens avec les États-Unis. En effet, adoptée aux États-Unis en 2018, cette loi à portée extraterritoriale soulève nombre de débats sur la protection des données, la souveraineté des États et la coopération internationale. Malgré le RGPD, s’appuyant sur le Cloud Act, les autorités américaines peuvent exiger de tout fournisseur de services numériques américain ou présentant un lien suffisant avec les États-Unis de divulguer les données qu’il héberge. Entendons-nous sur la notion de « lien suffisant » : un faisceau concordant d’indices fera l’affaire, puisqu’il suffit que l’entreprise assure la vente de produits ou de services à des personnes ou à des entreprises situées aux États-Unis ; mette des produits sur le marché américain, ou y fasse de la publicité aux États-Unis ; entretienne des relations professionnelles avec des fournisseurs américains… Concernant les services en ligne, il suffira d’avoir un site accessible aux États-Unis (notamment un site en anglais) ou d’utiliser des serveurs qui y sont situés : la très grande majorité des fournisseurs de services numériques internationaux répondent à ces critères ! Pour peu que ce soit le cas de votre fournisseur, il pourrait être contraint par les juridictions américaines de produire vos données. Ce qui doit attirer votre attention au rythme où évolue la relation transatlantique (tout peut être prétexte à invoquer la sécurité des États-Unis).

Quelles stratégies pour protéger ses données ?

Face à un rapport de force en défaveur de l’Europe, comment mettre définitivement nos données à l’abri ? Tout d’abord en s’adressant à un hébergeur dont les capitaux sont européens, à un opérateur sans lien avec le marché américain ; en stockant vos données dans un datacenter situés sur le territoire européen. Façon de se protéger contre le Cloud Act et l’exigence des autorités américaines. Si le mal est déjà fait (vos choix vous ayant conduit à confier vos données à un prestataire soumis aux requêtes du Cloud Act), quelques mesures vous éviteront de voir vos données, même transmises, utilisables, notamment en procédant à leur chiffrement. Il vous faudra, bien sûr, sécuriser vos clés de chiffrement pour éviter, en cas de vol, qu’elles puissent être déchiffrées. RGPD, CloudAct : ces réglementations s’opposent. Aucune ne peut garantir que vos données soient à l’abri. Déclarée de longue date, visible, immatérielle, la guerre des data fait néanmoins rage. Restons vigilant, soyons lucide : le RGPD ne protège les Européens qu’au sein de l’Union européenne, mais pas face dans le reste du monde ! Que l’accès à vos données soit obtenu légalement contre votre gré, ou illégalement, vous devez protéger les données des personnes qui vous les confient. Pas de solution miracle, mais un ensemble de mesures pratiques auxquelles on ne peut plus se soustraire. À défaut, au nom du RGPD, vous pourriez être poursuivi pour n’avoir pas pris les précautions préventives qui s’imposaient.