La décision rendue par la Cour de Justice de l’Union Européenne (CJUE) le 6 octobre 2014 a érodé les fondations de l’accord de « Safe Harbor » entre l’UE et les États-Unis. La décision a entraîné la consternation dans les services juridiques des entreprises américaines stockant des données de citoyens européens, et fait planer le spectre d’une explosion d’actions en justice dans l’ensemble des États membres de l’UE.
Ce jugement historique représente un défi considérable pour plus de 4 000 entreprises européennes et américaines dont l’activité dépend de la fluidité de leurs transferts de données transfrontaliers. Il augmente également les risques potentiels pour les entreprises américaines qui traitaient jusqu’à présent les données de citoyens européens aux États-Unis et croyaient que les protocoles de transfert de données qu’elles avaient mis en place respectaient les normes requises par la loi de l’UE.
Un repère pour les 15 dernières années
L’accord de transfert des données Safe Harbor a gouverné les flux de données européens au-delà de l’Atlantique, ces 15 dernières années. Dans le cadre de cet accord, les entreprises américaines pouvaient auto-certifier l’apport d’une « protection adéquate » aux données des utilisateurs européens, conforme aux exigences européennes de protection des données – et aux droits humains fondamentaux comme le respect de la vie privée. Toutefois, suite aux révélations d’Edward Snowden sur la surveillance mondiale et indiscriminée de la NSA, la décision de la CJUE dans le cadre du procès de Max Schrems contre Facebook, a remis en question les protections auto-certifiées promises par le Safe Harbor.
Par conséquent, toutes les organisations auparavant couvertes par le Safe Harbor risquent maintenant la non-conformité avec la protection des données européennes telle qu’elle se présente aujourd’hui. Cela a entraîné une véritable frénésie dans les entreprises américaines, autour de la question de la gestion, du stockage, du transfert et de l’utilisation des données en Europe.
Les grandes entreprises, comme Google et Facebook, ont peut-être les ressources en place pour se restructurer rapidement, grâce à la mise en œuvre de modifications de procédures concernant les flux de données utilisateur et la construction de datacenters européens supplémentaires pour traiter les données régionales, mais quelle est la solution pour les petites et moyennes entreprises ? Par ailleurs, qu’en est-il des clients de fournisseurs Internet et de services cloud suite au jugement de la CJUE ? Les paquets de données ne connaissent pas les juridictions, et ils sont souvent transférés à l’aveugle, afin de créer de la résilience et d’accélérer l’accès.
Le débat a placé le respect de la vie privée et le consentement au centre de l’attention pour les entreprises technologiques autant que les entreprises non technologiques. Cela comprend les entreprises européennes, qui réfléchissent à une collecte plus authentique du consentement pour se préparer à l’arrivée du Régime Général de Protection des Données (RGPD), qui doit prendre effet en décembre 2017. La nouvelle réglementation normalisera les lois gouvernant la protection des données dans l’ensemble de la région et sa portée s’étend à toute entreprise étrangère traitant des données de résidents européens.
Une remise en cause à prévoir avec le RGPD européen
Pourquoi les entreprises n’opérant que dans la région de l’Europe prêtent-elles autant d’attention à la problématique du Safe Harbor ? Parce que la décision de la CJUE n’a des conséquences importantes que sur les mécanismes de transfert de données entre l’Europe et les États-Unis. Il est probable que d’autres outils juridiques, au-delà du Safe Harbor, soient également examinés de plus près avec l’arrivée du RGPD européen (Règlement général sur la protection des données )- tout cela fait planer l’incertitude sur la possibilité de respecter les normes de l’UE avec les procédures de transfert de données actuelles.
De fait, l’ETNO (association des opérateurs européens des télécommunications et réseaux) dénonce depuis longtemps les faiblesses du cadre de la Sphère de sécurité. Selon l’ETNO, l’économie numérique actuelle nécessite une certitude juridique dans ce domaine, et l’organisation demande que les futurs accords garantissent un haut degré de protection des données, pour relever les défis – et saisir les opportunités – de l’ère numérique.
Une chose est sûre. Nous allons voir arriver une nouvelle vague de réponses orientées sur la conformité sous la forme de solutions plus complexes de segmentation/résidence/souveraineté des données, de tokenisation des données et de réaction en cas de violation. Mais les entreprises devront relever un nouveau challenge à l’ère du RGPD, et les solutions tactiques ne suffiront pas à cela. Voyez plutôt la formulation de cette ébauche de la législation du RGPD : « Afin de garantir un consentement libre, … le consentement ne fournira pas de base juridique valide si l’individu n’a pas de choix véritable et libre et n’est donc pas en mesure de refuser son consentement sans préjudice… L’individu concerné par les données aura le droit de retirer son consentement à tout moment. »
L’UMA (User-Managed Access) peut aider les entreprises face à l’ invalidation du « Safe Harbor »
L’approche la plus stratégique sur le long terme ? Mettre en place des mécanismes pour un transfert des données consenti par l’utilisateur. Par chance, il existe maintenant des technologies qui rendent cela possible : c’est là que l’accès géré par l’utilisateur (UMA pour User-Managed Access) peut jouer un rôle clé.
L’UMA est une norme de confidentialité de nouvelle génération qui repose sur le protocole d’autorisation web OAuth actuel et offre aux utilisateurs un contrôle pratique et centralisé sur le partage de leurs données, même avec plusieurs sources de données. Il opère en permettant aux utilisateurs de choisir des « portées » de partage en fonction de règles spécifiques. Ils peuvent ainsi déterminer les informations qu’ils partagent sur eux-mêmes, avec qui et pour quelle durée. Par exemple, un propriétaire possédant des appareils intelligents à son domicile compatibles UMA pourrait déléguer l’accès vidéo à l’entrée de sa maison à sa babysitter afin qu’elle puisse voir qui est à la porte et laisser les personnes entrer, mais ne pas l’autoriser à désactiver la caméra de l’interphone.
Pour les entreprises cherchant à opérer leur transformation numérique, l’UMA représente une solution hyper efficace au dilemme de la confidentialité et du consentement. En réussissant à combiner la gestion des identités et des contrôles efficaces de la vie privée, l’UMA apporte les fonctionnalités de « confidentialité dès la conception » dont ont besoin les entreprises et les organismes publics pour respecter leurs obligations en matière de protection des données.
Alors que le débat fait encore rage sur ce qui constitue un « consentement informé » et la question de savoir s’il peut s’appliquer à des données comportant de multiples dimensions, il peut être utile de rappeler que le respect de la vie privée n’est PAS le secret. Il s’agit plutôt de contexte, de contrôle, de choix et de respect. Et c’est exactement ce qu’apporte l’UMA.
Alors que les organisations cherchent une réponse aux conséquences de l’invalidation du Safe Harbor, l’UMA représente une approche durable et agile à la gestion après consentement, déterminant un point de contrôle unifié qui permet aux individus d’autoriser des personnes, organisations ou objets à accéder à leurs données personnelles, contenus et services en ligne.
Par Eve Maler, VP de l’innovation et des technologies émergentes chez ForgeRock,