Après le Privacy Shield ? Le chiffrement, bien sûr !

En cette fin d’année 2020 inouïe pour reprendre le terme des politiques, au-delà du flux quasi-quotidien d’attaques rançongiciels, des annonces des entreprises et organismes de tous les secteurs économiques de cyberattaques bien coûteuses (par exemple, l’estimation de 50M€ de préjudices subis par Sopra-Steria), un sujet s’est distingué à mes yeux dans le paysage sans cesse en mouvement de la cybersécurité :  l’impact concret sur les entreprises de l’invalidation en juillet du Privacy Shield, le traité entre l’Union Européenne et les Etats-Unis qui régit le transfert et le partage de données personnelles.

Les dangers d’extraterritorialité des lois américaines

Pour rappel, la Cour de Justice Européenne basée à Strasbourg a estimé que le traité initial ne garantissait pas une protection satisfaisante des données transférées de l’Europe vers les Etats-Unis, car le niveau de protection des données aux Etats-Unis n’est pas équivalent à celui de l’Europe à cause de lois telles que Cloud Act ou Patriot Act qui donnent des pouvoirs intrusifs aux agences de renseignement américaines. Sans négliger aussi les dangers d’extraterritorialité des lois américaines qui sous motif que le gestionnaire est de nationalité américaine ou que les serveurs appartiennent à des sociétés américaines en Europe ou ailleurs, permettraient aux services US l’accès et la perquisition des données.

Le sujet peut paraître, à des ingénieurs aimant la technologie, un peu rébarbatif, mais il est en fait important. Les entreprises qui transfèrent des données (messagerie, données d’applications et apps, données de réseaux sociaux, etc.) vers des serveurs en dehors de l’UE n’ont plus de base légale et s’exposent à des poursuites.

La technologie du chiffrement des données

Et c’est là que les CNIL européennes, soucieuses du respect du règlement général sur la protection des données (RGPD / GDPR) entrent en jeu, en promouvant comme méthode exclusive le chiffrement des données.

Par cette décision, les CNIL imposent de facto la technologie de chiffrement devant les cadres contractuels juridiques…. Un vrai paradoxe pour les serviteurs du droit mais aussi une vraie analyse réaliste du respect des contrats et des moyens réels de leur application. En préconisant les protections techniques devant le droit des contrats, la technologie de chiffrement peut donc apparaître comme le grand gagnant. Sans cela, nous ne pourrions pas utiliser une application SaaS en mode cloud hébergé aux Etats-Unis, les données Facebook ou LinkedIn ne pourraient plus être hébergées ou partagées entre plusieurs plaques géographiques, etc.