La protection des données personnelles : illustration d’une nouvelle géopolitique du droit
La protection des données personnelles : illustration d’une nouvelle géopolitique du droit – entretien avec Marc Mossé, Directeur des affaires gouvernementales et juridiques chez Microsoft Europe
Avocat de métier, Marc Mossé est directeur des affaires gouvernementales et juridiques chez Microsoft Europe depuis 2016. En 2003, il était nommé comme directeur des affaires publiques et de la communication chez Philip Morris France. Titulaire d’un DEA en droit public et d’un DEA en droit européen des universités Paris I Panthéon-Sorbonne et Paris V René Descartes, il a précédemment exercé comme avocat, spécialisé en droit des nouvelles technologies et de la propriété intellectuelle, ainsi qu’en droit public et défense des libertés publiques. Il est également ancien collaborateur parlementaire de Robert Badinter et ancien Secrétaire de la Conférence des Avocats au Conseil d’Etat.
Le Parlement européen a finalisé en avril 2016 un nouveau dispositif de règles sur la protection des données. Le Règlement 2016/679 entrera en application en mai 2018. Concrètement, qu’est-ce que cela change pour les grandes entreprises qui collectent, stockent et traitent des données, comme Microsoft ?
On peut considérer que l’Europe a établi des standards à vocation mondiale avec ce règlement qui entrera en vigueur en mai 2018. Il s’agit là d’un progrès afin de créer un cadre de confiance indispensable pour le développement de l’économie numérique et de l’économie par le numérique. Cette logique d’harmonisation est à saluer au regard de l’importance qu’a pris la question des données et donc de la nécessité de construire un droit à la fois protecteur et facilitateur de l’innovation. Un droit qui soit réaliste aussi si l’on considère qu’en 1992, le trafic total d’Internet représentait 100 gigabytes par jour alors qu’en 2017 c’est 17,5 millions de fois ce montant par seconde… D’ailleurs, il s’inscrit dans cette initiative plus globale de l’Union Européenne nommée « Digital Single Market » par laquelle la Commission vise à créer un grand marché unique du numérique ; considérant notamment que ce marché est l’un des moyens de développer une économie de la zone européenne dynamique porteuse de croissance et d’emplois nouveaux, mais aussi de créer des champions européens grâce au digital. Ainsi, dès lors que les données constituent un des moteurs de l’économie informationnelle, il était fondamental que l’Europe harmonise son droit en la matière afin de contribuer utilement au bon fonctionnement du marché tout en le régulant intelligemment. Nous sommes entrés dans une logique d’« accountability ». Il s’agit d’un concept inspiré pour partie du droit anglo-saxon et qui s’adosse à un principe de responsabilisation des acteurs. Il comporte une logique consistant à alléger les procédures administratives pour demander, en contrepartie, aux acteurs d’être responsables dans la mise en œuvre de ce droit à la protection des données personnelles. Pour être efficace, cette approche doit être balancée. Cet équilibre est l’un des enjeux de la mise en œuvre du règlement qui fonde la protection des données sur une évaluation concrète des risques réellement encourus d’atteinte à la protection de la vie privée par les personnes concernées, et encourage chaque entreprise à rationaliser la gestion des données qu’elle collecte en exigeant d’elles une vraie transparence. Si l’on considère les développements de l’intelligence artificielle, il est certain qu’une telle approche fondée sur l’accountability sera utile même si elle n’a pas vocation à épuiser l’ensemble des questions éthiques qu’il nous faudra résoudre. C’est un vaste débat qui va tous nous occuper.
Microsoft était favorable à l’idée d’un tel règlement et nous avons fait valoir nos positions de façon constructive à cet égard. On peut cependant regretter que ce règlement comporte, in fine, un certain nombre d’interprétations ou d’adaptations possibles. Il y a ainsi 56 dispositions qui peuvent faire l’objet soit d’une interprétation, soit même d’une adaptation nationale différente ! Cette critique a été développée par beaucoup d’acteurs. En effet, c’est à la fois dommage et paradoxal de produire cet effort d’harmonisation par la voie d’un règlement – au lieu d’une directive – tout en laissant perdurer des risques de mise en œuvre divergente. A titre d’exemple simple s’agissant des services à destination du grand public, on prendra l’article 8.1 du règlement sur les conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information concernant l’âge. Cette disposition prévoit que « le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans ». Ainsi, les Etats membres peuvent décider de la fixation de l’âge minimal du consentement d’un enfant, entre 13 et 16 ans. On ne peut écarter qu’il y ait des mesures nationales distinctes d’un Etat à l’autre. C’est regrettable car il s’agit là d’un sujet, à certains égards participant d’une forme d’ordre public protecteur, qui aurait dû faire l’objet d’une pleine harmonisation.
Quoi qu’il en soit, la France va devoir tirer les conséquences de ce règlement en adoptant une nouvelle loi sur les données personnelles dès le début de la prochaine législature. Voici au moins un sujet dont on est certain qu’il sera sur l’agenda du futur gouvernement. Un rapport d’information de l’Assemblée Nationale conclu ainsi à cette nécessité d’adapter le droit français pour se conformer au règlement. On notera que le projet de loi Allemand est déjà rendu public et que l’Espagne avance assez vite également.
Pour une entreprise comme Microsoft, c’est une évolution à laquelle nous nous sommes préparés dans la mesure où nous sommes engagés en faveur de la protection des données personnelles depuis très longtemps. Qu’il s’agisse du droit existant ou des normes internationales ISO [de l’Organisation internationale de normalisation], nous avons fait un travail en amont considérable. Ainsi avons-nous été le premier groupe international prestataire de « Cloud Computing » à inclure dans nos contrats à destination des entreprises, les clauses contractuelles types de la Commission Européenne. Ces clauses types précisent des conditions protectrices en matière de transferts internationaux de données assurant un niveau équivalent aux garanties européennes. Pareillement, nous avons été certifiés très tôt au regard de deux normes ISO clés dans la protection et la sécurité des données personnelles : les normes 27001 et 27018. La première, ayant trait à la sécurité des données et la 27018 est relative à un code de bonne pratique pour la protection des données personnelles par les prestataires de Cloud computing. Etant des normes ISO, ce ne sont pas des règles de « droit dur », mais si on ajoute le respect de ces normes de soft law au respect des lois et règlements, on renforce globalement la logique protectrice susceptible de créer un cadre de confiance.
Notre entreprise est déjà engagée avec de nombreux ingénieurs et ses équipes juridiques pour s’assurer que tous les produits, toutes les solutions, tous les services vont être adaptés de telle sorte que l’ensemble des prescriptions du règlement soient respectées à la date de son entrée en vigueur en mai 2018. C’est un long travail. Pour des PME cette tâche peut s’avérer plus difficile, plus complexe. Les guidelines du Groupe de l’Article 29 sont importantes à cet égard tout comme le suivi par la Commission.
Dans le climat politique et social antiterroriste actuel, des grandes entreprises de stockage et de traitement des données comme Microsoft sont souvent appelées à coopérer avec les services des Etats. Comment cette coopération se déroule-t-elle, surtout que les données sont stockées parfois en dehors du territoire de l’Etat demandeur ?
Le numérique ne doit pas conduire à changer les principes. La réponse c’est donc : l’Etat de Droit, tout l’Etat de Droit, rien que l’Etat de Droit. Pour nous, cela passe d’abord par l’affirmation d’une règle simple et ferme : nous ne donnons pas d’accès généralisé aux données que nous stockons ou traitons. Nous répondons, bien sûr, aux réquisitions judiciaires à la condition qu’elles soient pleinement conformes à la loi. C’est en application de ce principe, d’ailleurs, que Microsoft s’est opposé il y a deux ans au gouvernement des Etats-Unis – en fait à une demande du FBI – d’accès aux données d’un de nos clientes stockées en Irlande dans le cadre d’une investigation criminelle, aux motifs que cette demande méconnaissait les principes de « privacy » et qu’en plus, elle était de nature à violer la souveraineté de l’Etat irlandais. Dans le cadre de cette procédure, la Cour d’appel de New York a donné raison à Microsoft par un arrêt du 14 juillet 2016. Microsoft a reçu le soutien de plus de 50 organisations y compris des ligues de défense de droit civiles et politiques, des industriels, des parlementaires européens, l’Etat irlandais etc., certains produisant même des Amici Curiae disponibles sur le site créé par Microsoft pour cette cause : Digital Constitution.
L’Etat de droit c’est aussi la protection de l’ordre public et la sécurité des personnes et des biens. Quel est le modèle pertinent qui permet à la fois de protéger les droits fondamentaux, de respecter la souveraineté des Etats, de garantir la sécurité ? Est-ce que ce mécanisme passe par un grand traité multilatéral ou par une rénovation des MLAT [« Mutual Legal Assistance Treaties » ou traités de coopération judiciaire internationale] ? Est-ce que cela passe, au préalable, par une harmonisation du droit européen ou par des coopérations renforcées permises par le Traité de Lisbonne ? La Commission européenne travaille actuellement sur ces questions, notamment sur la « e-evidence » c’est-à-dire l’accès, en particulier dans le cadre d’investigations pénales à des données susceptibles de constituer des éléments de preuve mais stockées dans des serveurs situés sur le territoire d’un Etat distinct de celui conduisant la procédure. Elle produira, en juin 2017, un rapport d’orientation faisant suite à son rapport intermédiaire de décembre 2016. Ainsi, cette décision de la Cour d’appel de New York aura montré qu’il faut trouver un nouveau cadre juridique permettant de concilier les droits fondamentaux au niveau européen et international.
D’une certaine façon, le numérique est saisi par la géopolitique, à moins que ce soit l’inverse. En effet, à cet égard, et au-delà de la question du droit des données personnelles, s’ajoute le sujet majeur de la cyber sécurité, c’est-à-dire de la mobilisation de l’ensemble des moyens destinés à lutter efficacement contre les cyber menaces qui peuvent provenir de groupes de criminalité organisée ou bien même d’Etats. Celle-ci est désormais au cœur des préoccupations des pouvoirs publics et des opérateurs économiques, et aussi des citoyens. En Europe, la directive NIS doit être transposée en 2018 au plus tard. Ce texte important permet de développer un certain nombre de règles de protection de systèmes d’informations de l’ensemble des acteurs, y compris des acteurs d’importance vitale pour les Etats. L’investissement dans la cyber sécurité est un vrai sujet et doit être une priorité pour les gouvernements comme pour les entreprises. Microsoft a beaucoup investi dedans en créant la « Digital Crime Unit » (‘DCU’) qui regroupe des ingénieurs, des juristes et des investigateurs, pour essayer de développer des approches cohérentes pour la protection des données personnelles et la sécurisation des systèmes d’information, en repérant les réseaux de criminels, tels ceux qui mettent en place des réseaux de « botnet » [des réseaux d’ordinateurs dormants qui peuvent être activés et faire circuler des virus au niveau mondial]. DCU peut interagir avec les gouvernements, en travaillant avec les autorités pour démanteler des réseaux, dans des cas de cyber criminalité sous investigation criminelle.
C’est cependant d’un cadre global dont nous avons collectivement besoin et il est certain qu’une réponse internationale devient de plus en plus nécessaire. Sans doute pourrait-elle passer par la mise en œuvre d’une « Convention de Genève pour la sécurité numérique ». Ce sera certainement un sujet pour les années à venir afin d’établir de nouvelles règles claires et des équilibres respectueux de la souveraineté des Etats tout en favorisant la libre circulation de l’information et des données dans un cadre sécurisé et garantissant les droits fondamentaux.
Récemment, la Cour de Justice de l’Union européenne a mis les grandes entreprises de stockage et traitement des données et des services de correspondance en ligne au cœur du débat sur la protection des données personnelles, notamment dans l’arrêt Google Spain v. Costeja de mai 2014. Comment ces entreprises-là, notamment Microsoft, assument ce nouveau rôle potentiel de gardien des données personnelles et de la vie privée de leurs utilisateurs ?
La décision de la CJUE dans Google Spain qui a qualifié le service de recherche de Google d’un service de traitement de données et a consacré le droit à l’oubli, s’applique également à Microsoft pour son moteur de recherche Bing. Depuis cet arrêt, le droit à l’oubli a fait son entré dans le RGPD [Règlement général sur la protection des données]. Cela met les prestataires de service de recherche dans une position délicate car ils doivent arbitrer entre plusieurs droits et libertés fondamentaux comme le droit à la vie privée, le droit à l’information, la liberté d’expression etc. S’ajoute la question de la portée territoriale de ce droit. Ce n’est pas là la moindre des difficultés à résoudre, la CNIL [Commission nationale de l’informatique et des libertés] ayant une vision assez large sur ce point. Suite à une divergence d’appréciation entre Google et la CNIL, une procédure est actuellement pendante devant le Conseil d’Etat afin de répondre à la question de savoir quelle est l’étendue territoriale du droit à l’oubli. C’est là une autre dimension à prendre en compte pour apprécier la nouvelle géopolitique du numérique. Cette mise en œuvre des droits des Etats doit parfois se concilier avec des droits et libertés fondamentaux et également avec les droits d’autres Etats. Cette complexité place les acteurs du numérique dans des situations parfois délicates au risque de se retrouver à devoir arbitrer entre un certain nombre de droits et libertés fondamentaux. Là encore, un tel sujet incite à favoriser une approche fondée sur des standards internationaux clairs et précis.
Quelles différences et système d’équivalence existent entre l’Union européenne et les Etats-Unis (en tenant compte de l’arrêt Schrems d’octobre 2015 et du NY Warrant Case de 2016) sur la protection des données personnelles et de la vie privée des utilisateurs de services d’informatique en nuage ?
Il y a plus de convergences entre l’Europe et les Etats-Unis que de divergences radicales. Il importe de construire des ponts en se fondant sur nos valeurs communes. Cela vaut notamment pour le sujet du transfert international de données. Suite à l’arrêt Schrems aboutissant à l’annulation du « Safe Harbor », s’est reposée la question importante est de s’assurer que lorsque les données circulent dans le monde – car elles circulent n’en déplaisent à certains tenants du souverainisme numérique –, celles-ci bénéficient, où qu’elles soient, d’un même niveau, ou à tout le moins d’un niveau équivalent, de protection. C’est important pour les acteurs européens tout comme pour les opérateurs américains. La transformation digitale de l’industrie passera par l’utilisation de plus en plus grandes des données. Dresser des murs et bloquer la circulation des données pénaliserait tout le monde y compris les acteurs européens, grands groupes, start-up ou PME. Imagine-t-on un monde dans lequel les voitures connectées seraient privées de l’intelligence fournie par le traitement des données à chaque fois qu’elle passerait d’un pays à l’autre ? Il faut donc surtout s’assurer que toutes les garanties sont réunies lorsque les données circulent.
Pour cela, il y a plusieurs mécanismes que l’on retrouve dans le règlement :
1) La décision dite d’équivalence est le premier mécanisme. Le Safe Harbor a ainsi été remplacé par le « Privacy Shield », adopté le 8 juillet 2016. C’est une décision d’adéquation qui considère qu’à travers les règles prévues par l’accord entre l’Union Européenne et les Etats-Unis, un niveau équivalent de protection existe. Ainsi, les entreprises qui s’enregistrent dans le cadre du Privacy Shield certifient [c’est un processus d’auto-certification] qu’elles en respectent ses prescriptions. L’Europe a vraiment pesé dans les discussions, dans les négociations et a réussi à obtenir des avancées fortes de la part de l’Administration Obama, y compris, notamment, par la création d’un ombudsperson qui est une personne, nommée par le gouvernement américain, chargée de recevoir les éventuelles réclamations de citoyens européens qui craindraient de faire l’objet d’une surveillance illégitime de leurs données de la part des Etats-Unis. Ainsi, le Privacy Shield est un net progrès par rapport au Safe Harbor. Certaines associations le contestent encore et ont engagé un recours devant le Tribunal de première instance de l’Union européenne. Nous verrons ce qu’il en ressortira. En tout état de cause, le Privacy Shield prévoit une procédure de revoyure qui devrait avoir lieu à l’automne 2017.
2) Le deuxième mécanisme sont les règles d’entreprises contraignantes, ou « binding corporate rules » (‘BCR’). L’idée consiste à ce que les entreprises se donnent des règles internes qui doivent être approuvées par les autorités de protection des données personnelles. Dès lors qu’elles sont approuvées, elles garantissent à ceux qui utilisent les services de ce prestataire que le niveau de protection de ce service est conforme au droit européen, ce qui vaut pour le transfert de données dans le cadre de ces BCR. Ce mécanisme a reçu une vraie reconnaissance par le Règlement en son article 47, qui renforce son rôle.
3) Enfin, les clauses contractuelles types ou « model clauses », que j’ai déjà évoqué, sont des clauses adoptées par la Commission européenne qui peuvent être intégrées dans les contrats de prestataires de Cloud, pour organiser le transfert international des données. Lorsque vous contractez avec un prestataire de Cloud qui a inclus ces clauses dans ses contrats, vous êtes assuré que le niveau de protection est satisfaisant du point de vue des standards de droit européen y compris en vérifiant le respect des règles via un droit d’audit.
Un mix de ces trois outils est possible pour apporter le maximum de garanties.
On le voit, le risque serait d’apporter des réponses inadéquates à ces questions, sans protéger réellement les droits fondamentaux des individus tout en bloquant l’innovation. Certes, pour notre part, nous avons fait le choix d’avoir plusieurs « data centers » en Europe, notamment en France désormais, mais aussi en Allemagne, en Irlande, et aux Pays-Bas. Cela étant, au-delà de ces investissements liés aux besoins de nos clients, il reste qu’il serait erroné de penser que la localisation des données dans chaque pays est l’unique réponse à cette interrogation. On le voit déjà au niveau européen où la Commission et de nombreux Etats membres plaident pour l’affirmation du principe du « free flow of data ». Contrairement à une idée reçue, le Cloud est sans doute le moyen technologique le plus sûr pour les données. A la condition bien sûr que le prestataire choisi ait adopté les plus hauts niveaux de garanties afin de protéger les données, les standards de sécurité les plus élevés et qu’il s’attache aux principes de l’Etat de droit. Dans le champ des données, comme pour les autres sujets, le souverainisme signifie repli sur soi, quand la souveraineté affirme la protection des droits.