L'adoption du Bouclier de protection des données par les autorités réglementaires américaines et européennes, successeur du Safe Harbor qui régit le transfert de données personnelles entre les États-Unis, le Canada et l'UE depuis plus de dix ans, a été un échec cuisant, laissant derrière elle une grande incertitude. Le principal point d'achoppement pour les défenseurs de la vie privée dans l'UE reste la question de savoir si les entreprises américaines peuvent garantir qu'elles peuvent effectivement protéger les données des citoyens européens des protections fédérales américaines en matière de collecte de données. Cependant, les divergences dans la manière dont les régulateurs européens souhaitent que les organisations américaines traitent les données de leurs citoyens pourraient également se traduire par des exigences plus rigoureuses pour respecter les principes de l'accord.
La conformité au Privacy Shield, comme de nombreuses réglementations axées sur les flux de données, repose aujourd'hui sur l'autocertification et l'auto-évaluation, fondées sur des principes d'accord. Mais pourquoi continuons-nous à nous fier à la simple approbation pour prouver notre conformité ? À l'ère du big data et des infrastructures distribuées, la confirmation des flux de données doit se faire par l'intelligence des données, et non par des déclarations de bonnes intentions.
Faire de la confidentialité des données une priorité
L'autocertification relative aux mouvements de données pose un problème évident en matière de conformité : comment savoir avec certitude où les données ont été et où elles vont si elles ne sont pas suivies ? Même les audits les mieux intentionnés ne peuvent révéler que des limites lorsqu'ils s'appuient uniquement sur des entretiens et des enquêtes humains faillibles. La conformité est censée être un test exact de conformité, et non une mesure approximative de l'effort. Dans le cas du Privacy Shield, l'autocertification crée un problème secondaire : l'accord sera inévitablement contesté devant la Cour de justice de l'Union européenne et sera très probablement révisé à un moment donné. Cela pose la question suivante pour une organisation : comment certifier en toute confiance la conformité aujourd'hui, demain et à l'avenir, même si les indicateurs peuvent évoluer.
Le Département du Commerce des États-Unis (autorité de certification des organisations américaines) est désormais habilité à surveiller et à vérifier activement la conformité des politiques de confidentialité avec les principes du Privacy Shield, mais pas les pratiques de traitement et de gestion des données en place, qui devraient être conformes à ces politiques. De plus, dans le cadre de la révision du Privacy Shield, le Département du Commerce peut lancer des examens et exiger des organisations participantes qu'elles répondent rapidement aux demandes d'enquête.
La certification de la conformité des organisations à la réglementation sur la protection de la vie privée en général et au Privacy Shield en particulier devra évoluer, passant de la confiance à la vérification. Les organisations surveillent et suivent déjà toutes sortes de données en interne, mais à ce jour, les données personnelles ne font pas partie de ces actifs. La situation devient plus problématique lorsque l'on considère l'étendue du Privacy Shield.
Si la protection des données des citoyens européens contre la surveillance américaine demeure la principale préoccupation du Privacy Shield, l'accord actuel intègre également un principe de limitation de la finalité : prouver que les données sont traitées uniquement aux fins auxquelles les utilisateurs ont consenti. Le précédent Privacy Shield ne prévoyait aucune restriction quant à l'utilisation des données des citoyens européens aux États-Unis. Ce n'est plus le cas. L'accord prévoit désormais des limitations d'utilisation, de conservation et d'autres restrictions relatives au traitement des données. Mais sans mécanisme précis de vérification, il est difficile de fournir des preuves de conformité autres que la parole donnée. Les citoyens européens doivent se fier aux organisations américaines pour affirmer leur conformité, sans preuve de données.
Au-delà des querelles politiques, il ressort clairement du Privacy Shield que les transferts de données transatlantiques (et potentiellement transmanche après le Brexit) seront désormais soumis à un contrôle plus strict. Cependant, les preuves utilisées pour attester de la conformité restent ancrées dans une époque antérieure à l'informatique, sans parler de l'analyse moderne des données. En matière de données personnelles, la certification Privacy Shield est loin d'être axée sur les données. Tout repose sur la confiance, sans aucune vérification.
Faire entrer la cartographie des données dans l'ère du GPS
Les avis divergent quant à la réaction des organisations à la réouverture du processus d'autocertification le 1er août. Certains observateurs estiment qu'avec tant d'incertitude, beaucoup retarderont l'autocertification. D'autres soutiennent que, comme l'autocertification permet aux organisations de procéder légalement à des transferts de données transatlantiques dans le cadre d'un accord-cadre unique plutôt que de mettre en œuvre des clauses contractuelles avec des partenaires de données individuels, beaucoup saisiront l'occasion.
Quoi qu'il en soit, les organisations qui gèrent et traitent les données personnelles des citoyens de l'UE devront adopter une approche plus systématique pour comprendre non seulement à qui appartiennent les données (et en quelle quantité), mais aussi comment ces données circulent dans leur infrastructure et quels tiers y ont accès. Que l'autocertification survive ou non au prochain défi juridique, axée sur les données, cartographie des données quantitatives deviendra une exigence clé pour répondre aux nouveaux principes du Privacy Shield en particulier, mais aussi au principe général de protection responsable des données personnelles et de la confidentialité pour toutes les entreprises dépositaires des données des consommateurs.
Nous vivons aujourd'hui à l'ère de l'analyse avancée des données et du positionnement global. Il est inutile de se fier à la cartographie des flux de données de l'époque de Christophe Colomb pour mesurer la circulation de l'information entre les entreprises ou les pays.
Auteur
