Comprendre et gérer les transferts de données

Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d'adéquation concernant les transferts de données entre les États-Unis et l'Union européenne. Parmi les instruments permettant de sécuriser les transferts de données en dehors de l’Union Européenne ou de l’Espace Économique Européen, la décision d'adéquation constitue l'une des premières garanties prévues par le règlement général sur la protection des données (RGPD). La décision d’adéquation permet en outre le transfert de données à caractère personnel du territoire de l'Union européenne vers un pays qui, bien que situé en dehors de l'UE, dispose d'une législation suffisamment protectrice des données à caractère personnel : cet outil est visé à l'article 45 du RGPD. Afin de déterminer si le pays en question peut être considéré, ou non, comme adéquat, une évaluation globale du cadre de protection des données est réalisée au regard, non seulement de la protection applicable aux données à caractère personnel, mais aussi des mécanismes de surveillance et des recours disponibles pour les personnes faisant l'objet de telles mesures. La liste des éléments qui doivent être pris en compte pour réaliser cette évaluation est disponible, directement sur le site de la Commission européenne. Jusqu’à la publication de la nouvelle décision d’adéquation concernant les États-Unis, les pays suivants étaient reconnus comme adéquats : l'Andorre, l'Argentine, le Canada, la Nouvelle-Zélande, la Suisse, le Japon, le Royaume-Uni, la Corée du sud ou encore Israël. La liste de l'ensemble des pays est accessible depuis la carte de la protection des données dans le monde de la CNIL.

Depuis le 10 juillet 2023, date de publication de la décision de la Commission européenne, les États-Unis entrent donc dans le club des pays adéquats : l'adoption de ce nouvel accord fait directement suite à la publication, le 7 octobre 2022, d'un ordre exécutif par le président Joe Biden visant à renforcer les garanties concernant la collecte et l'utilisation des données personnelles par les services de renseignement américains, notamment en réponse aux conclusions de l'examen réalisé trois ans auparavant par la Cour de justice de l'Union européenne (« CJUE ») concernant la législation américaine. Depuis le 16 juillet 2020, date de publication de l'arrêt "Schrems II" (PDF), l'examen par la Cour de la législation américaine faisait obstacle à ce que pays soit reconnu comme un adéquat, c’est-à-dire comme un pays offrant une législation suffisamment protectrice des données personnelles et équivalente à celle reconnue par le RGPD. En outre, la CJUE avait constaté que les dispositions de l'article 702 du Foreign Intelligence Services Act et de l'Executive Order 12333 ne permettaient pas de considérer que les États-Unis pouvaient être considérés comme un pays adéquat, au regard du RGPD. Ces conclusions résultaient notamment des dispositions de ces deux textes qui ne prévoient pas la possibilité, pour les personnes faisant l'objet de mesures de surveillance de la part des autorités américaines, de contester le bien-fondé de ces mesures devant les tribunaux américains. Or, cette absence de recours effectif, notamment pour les ressortissants européens, entrait directement en contradiction avec les dispositions de l'article 47 de la Charte des droits fondamentaux de l'Union européenne qui consacre, au niveau européen, le « (…) droit pour toute personne dont les droits et libertés garantis par le droit de l'Union ont été violés de bénéficier d’un recours effectif devant un tribunal (…) ». En conséquence, si la Cour considérait que pour certains programmes de surveillance, la législation américaine ne conférait pas aux personnes non américaines potentiellement visées des droits opposables aux autorités américaines devant les tribunaux, contrairement au droit au recours effectif reconnu au niveau européen, cette législation n'offrait pas de protection jugée équivalente à celle offerte par le RGPD et consacrée dans la Charte de l'Union Européenne.

"La Commission est censée être la "gardienne des traités" et le défenseur de l'"état de droit". Elle adore ce rôle lorsqu'il s'agit d'États membres qui violent le droit communautaire. Aujourd'hui, la Commission [européenne] elle-même ignore tout simplement la Cour de justice [de l'Union européenne] pour la troisième fois". Ces déclarations de Max Schrems, activiste autrichien militant pour la protection des données personnelles, annoncent la couleur du prochain combat qui opposera la Commission européenne et les activistes en matière de protection des données personnelles. Pour mémoire, Max Schrems a déjà obtenu l'invalidation d'un premier accord en matière de transfert de données entre l'Union européenne et les États-Unis, baptisé "Safe Harbor", puis l'invalidation d'un second accord, cette fois-ci appelé "Privacy Shield" (PDF), par la CJUE. Parallèlement, dès février 2023, les autorités de protection des données européennes, par la voix du Comité Européen sur la Protection des Données (CEPD), avaient fait remarquer d'une part que le concept d'accès "proportionné" aux données pourrait ne pas être conforme, là encore, à la Charte des droits fondamentaux de l'Union européenne, d'autre part que le mécanisme de recours, s'il était renforcé avec la création d'une fonction de Délégué à la protection des libertés (Civil Liberties Protection Officer) et d'une Cour d'examen de la protection des données (Data Protection Review Court), restait sujet à d'éventuelles critiques dès lors que la Cour n'apparaissait pas totalement indépendante, puisque relevant de l'exécutif américain...

En outre, l'entrée en vigueur de ce nouvel accord laisse présager un nouveau feuilleton politico-judiciaire, comme en témoignent les déclarations de l'ONG None Of Your Business (NOYB) cofondée par Max Schrems : "se contenter d'annoncer que quelque chose est "nouveau", "robuste" ou "efficace" ne suffit pas devant la Cour de justice. Pour que cela fonctionne, il faudrait modifier la législation américaine en matière de surveillance, ce qui n'est tout simplement pas le cas"

Comme expliqué précédemment, si les Etats-Unis disposent dorénavant d’une décision d’adéquation et que les transferts de données vers ce pays sont désormais libres, il peut apparaître préférable de privilégier des alternatives européennes en prévision d’une éventuelle invalidation de cette décision par la CJUE. Aussi, afin d’éviter tout risque d’application d’extraterritorialité du droit américain, il convient non seulement de choisir des solutions hébergées sur le territoire européen mais aussi, et surtout, des acteurs de nationalité européenne afin d’éviter toute application du Cloud Act.

C’est dans cette logique qu’European Alternatives a souhaité rassembler les alternatives européennes aux services numériques, produits d’informatique en nuage et aux différents logiciels en ligne (Software As A Service – SaaS) : qu’il s’agisse d’hébergement de serveurs, de fourniture de courriers électroniques, d’analyse web ou encore de chats d’entreprise, la plateforme propose de lister les différents alternatives européennes disponibles. En voici quelques exemples …

-      Les services européens d’analyse web :

Le service d’analyse web suit le comportement des utilisateurs sur les sites web afin que leurs propriétaires puissent comprendre et analyser l’utilisation du site et optimiser le parcours de navigation.

Plausible (logiciel estonien, hébergé en UE et open source),

Simple Analytics (logiciel nééerlandais, hébergé en UE),

Piwik PRO (logiciel polonais, hébergé en UE, plan gratuit),

Visitor Analytics (logiciel allemand, hébergé en UE, plan gratuit),

Pirsch (logiciel allemand, hébergé en UE, open source),

-      Plateformes européennes d’informatique en nuage :

La plateforme d’informatique en nuage fournit des services d’hébergement à la demande : les fournisseurs suivants sont les fournisseurs à usage général qui offrent des services gérés tels que les bases de données, les clusters gérés ou le stockage de serveurs virtuels.

Scaleway (logiciel français, hébergé en UE),

OVHCloud (logiciel français, hébergé en UE),

UpCloud (logiciel finlandais, hébergé en UE),

ExoScale (logiciel suisse, hébergé en Suisse),

GridScale (logiciel allemand, hébergé en UE)

-      Service de réseau européen de diffusion de contenu :

Les fournisseurs suivants proposent d’offrir un réseau de diffusion de contenu, appelé Content Delivery Network (CDN), géographiquement réparti.

Bunny CDN (fournisseur slovène, hébergé en UE),

KeyCDN (fournisseur suisse, hébergé en Suisse),

Mytra (fournisseur allemand, hébergé en UE),

Leaseweb CDN (fournisseur néerlandais, hébergé en UE),

CDN OVHCloud (fournisseur allemand, hébergé en UE),

-      Les services de signature électronique :

Le logiciel de signature électronique aide les clients à signer les documents par voie numérique, tout en respectant le cadre juridique européen (règlement eIDAS) ou suisse (zertES).

Sproof (fournisseur autrichien, hébergé en UE, plan gratuit),

Yousign (fournisseur français, hébergé en UE),

Autenti (fournisseur polonais, hébergé en UE, plan gratuit),

MOXIS XiTrust (fournisseur autrichien, hébergé en UE),

Skribble (logiciel suisse),

-      Les services de paiement en ligne :

Les prestataires de services de paiement (PSP) aident les entreprises à traiter leurs paiements.

Mollie (fournisseur néerlandais, hébergé en UE),

Adyen (fournisseur néerlandais, hébergé en UE),

Unzer (fournisseur allemand, hébergé en UE),

Stancer (fournisseur français, hébergé en UE),

Mangopay (fournisseur luxembourgeois, hébergé en UE),

-      Les services de gestion des mots de passe :

Le gestionnaire de mots de passe est un logiciel qui permet aux utilisateurs de stocker et de gérer les mots de passe en toute sécurité.

Padloc (fournisseur allemand, hébergé en UE, source ouverte, plan gratuit),

Proton Pass (fournisseur suisse, hébergé en Suisse, source ouverte)

Passbolt (fournisseur luxembourgeois, hébergé en UE, source ouverte),

Hypervault (fournisseur belge, hébergé en UE),

Bitwarden (source ouverte),

-      Services de messageries instantanées :

L’application de messagerie instantanée permet aux utilisateurs d’envoyer des messages textes et des médias avec d’autres utilisateurs.

Olvid (fournisseur français, plan gratuit),

Threema (fournisseur suisse, hébergé en Suisse),

Ginlo Private (fournisseur allemand, hébergé en UE),

Skred (fournisseur français, hébergé en UE, plan gratuit)

-      Services européens d’hébergement de fichiers :

Ces fournisseurs proposent des services permettant aux utilisateurs de télécharger des fichiers pour les sauvegarder ou les partager avec d’autres utilisateurs.

Infomaniak (fournisseur suisse, hébergé en Suisse),

Koofr (fournisseur slovène, hébergé en UE, plan gratuit),

Jottacloud (fournisseur norvégien, hébergé dans l’EEE, plan gratuit),

Filenlen (fournisseur allemand, hébergé en UE, plan gratuit),

pCloud (fournisseur suisse, hébergé en UE),

-      Fournisseurs de courriers électroniques :

Les fournisseurs de courriers électroniques permettent aux utilisateurs de disposer d’une adresse électronique avec une interface de messagerie web dans laquelle ce dernier peut lire et envoyer ses courriels.

Mailbox.org (fournisseur allemand, hébergé en UE),

Posteo (fournisseur allemand, hébergé en UE),

Soverin (fournisseur néerlandais, hébergé en UE),

ProtonMail (fournisseur suisse, hébergé en Suisse),

Combell Email (fournisseur belge, hébergé en UE),

-      Services européens de visioconférence :

Le logiciel de vidéoconférence permet aux utilisateurs de communiquer entre elles via Internet, la vidéo et l’audio.

ClickMeeting (fournisseur polonais, hébergé en UE, plan gratuit),

Digital Samba (fournisseur espagnol, hébergé en UE, plan gratuit),

Alfaview (fournisseur allemand, hébergé en UE, plan gratuit),

Infomaniak kMeet (fournisseur suisse, hébergé en Suisse, plan gratuit),

Whereby (fournisseur norvégien, hébergé dans l’EEE, plan gratuit),

-      Services européens de microblogging :

Le service de microblogging permet aux utilisateurs de publier de courts textes, des images ou des liens vers des vidéos.

Mastodon (source ouverte),

Pléoma (source ouverte),

-      Plateformes européennes de mise en réseau professionnelle :

Une plateforme de mise en réseau professionnelle est un réseau social sur les relations d’affaires.

Xing (plateforme allemande, hébergée en UE),