Valérie Chavanne: « Une donnée qui ne circule pas ne sert à rien »

INfluencia Pourquoi les transferts de données auxquels est consacré le livre blanc #DataTransfer¹ sont-ils devenus si stratégiques ?

Valérie Chavanne  :  une donnée qui ne circule pas ne sert à rien. Les transferts de données ont donc toujours représenté un point d’attention stratégique pour les États. La directive européenne de 1995, ancêtre du Règlement général sur la protection des données (RGPD), s’attachait déjà à établir des règles claires concernant les transferts. Bien avant le développement fulgurant des infrastructures numériques sur lesquelles reposent désormais nos sociétés et qui rendent cette question d’autant plus pressante ! La maîtrise des transferts de données personnelles est donc devenue essentielle pour éviter une potentielle ingérence d’autorités étrangères, protéger les valeurs démocratiques européennes – notamment le droit à la vie privée et à la protection des données de ses citoyens – et combattre toute vassalisation économique ou technologique.

IN: le RGPD ne répond-il pas à ces objectifs ?

V.C. :  la vision et les objectifs du RGPD s’accordent tout à fait avec la défense d’une stratégie européenne autour de la notion de souveraineté. Mais les textes ne sont rien sans leur interprétation et leur implémentation pratique. C’est à ce niveau que nous développons notre critique de la situation juridique actuelle.

IN. :   de quel ordre sont les problèmes ?

V.C. :  les transferts de données des citoyens européens vers des pays tiers à l’Union européenne (UE) sont soumis à des règles édictées par le RGPD. Dès que des données à caractère personnel sont traitées par un acteur américain, celui-ci est soumis aux règles de surveillance des États-Unis, peu importe la localisation géographique. C’est en se basant sur ces lois que la Cour de justice de l’Union européenne a invalidé le Safe Harbor, puis le Privacy Shield en 2020². Au-delà de la révocation brutale du mécanisme de transfert vers les États-Unis, cette seconde invalidation a fragilisé le recours à l’alternative des « clauses contractuelles types ». Chaque acteur est désormais renvoyé à une « analyse au cas par cas » pour déterminer la légalité des transferts. Une telle situation n’est ni opérationnelle ni satisfaisante en termes de sécurité juridique. Afin de contourner ces obstacles, nous voyons se développer des formes de licences permettant l’implémentation de solutions, par exemple américaines, par des acteurs européens. L’objectif étant de ne pas être soumis aux législations extraterritoriales et, pour les acteurs américains, ne pas être obligés de répondre à une sollicitation de leurs autorités nationales concernant les données de citoyens européens.

La souveraineté numérique européenne ne pourra être que le résultat d’une volonté politique affirmée, soutenue par un investissement concret durable.

IN.:  le livre blanc préconise une stratégie en deux temps pour atteindre cette souveraineté européenne. Ne risque-t-on pas de s’enliser dans les compromis de court terme avant d’atteindre l’objectif final ?

V.C.:  c’est un danger que nous ne pouvons en aucun cas sous-estimer. Les solutions technologiques opérationnelles que nous suggérons ne sont pas des solutions miracles. Elles visent à rester dans la réglementation et à pouvoir opérer en attendant de trouver une solution européenne. Il faudra rester vigilants et mesurer notre capacité à trouver des alternatives pour progresser vers cet objectif de long terme en renforçant les infrastructures ou en développant des technologies. Pas pour que l’Europe se replie sur elle-même, mais pour qu’elle puisse continuer à travailler avec tout le monde en opérant des choix au sein d’un millefeuille réglementaire et d’une fragmentation mondiale de plus en plus importante sur la protection des données personnelles³.

IN. :  en Europe, la volonté politique pour protéger les données est plus forte que par le passé. Quels éléments vous semblent de nature à peser suffisamment pour changer la donne ?

V.C.:  la prise de conscience par les citoyens européens et les États membres autour des enjeux sur la protection des données personnelles est aujourd’hui l’élément déterminant. L’Europe devra aussi se donner les moyens de ses ambitions, qui passeront par la formation des talents et des financements très importants de sociétés tech. La souveraineté numérique européenne ne pourra être que le résultat d’une volonté politique affirmée, soutenue par un investissement concret durable.

Exergues

La maîtrise des transferts de données personnelles est devenue essentielle.

La souveraineté numérique européenne ne pourra être que le résultat d’une volonté politique affirmée, soutenue par un investissement concret durable.