Le ministère britannique chargé du numérique, le 10 septembre, vient de jeter le pavé dans la mare : il convient d’alléger, de manière drastique, le RGPD. Plus de registre, plus de DPO, plus d’analyses d’impact, tous les outils de l’accountability mis au ban… À sa place, un système de « programmes de gestion de la vie privée » : souples et personnalisables selon l’activité de l’organisme.

Pourquoi une telle annonce ? L’encre de la décision d’adéquation post Brexit, régularisant les transferts de données entre l’Europe et le Royaume Uni, encore humide ? S’agit-il d’un nouvel épisode de Game of Thrones de la data, auquel se livrent les États et les GAFAM et BATHX ou plus prosaïquement de pragmatisme dans le droit fil du Brexit, la flexibilité avant tout ?

En l’état la position rigoriste mais peu réaliste de la CJUE sur les transferts de données et la problématique des lois de surveillance États-Uniennes et des autres pays tiers, suite à l’arrêt dit Schrems II de juillet 2020, est malheureusement un terrain miné au vu de l’interdépendance des systèmes et des infrastructures, d’une économie mondialisée et de notre dépendance numérique aux outils américains… À cet égard, le gouvernement britannique a souligné sa « déception » concernant l’arrêt Schrems II et encourage une « approche par les risques » en matière de transferts « davantage fondées sur une évaluation des résultats réels des régimes de protection des données que sur une comparaison essentiellement textuelle de la législation ».

Le gouvernement Français vient de préciser1 que la migration vers l’offre Office 365 de Microsoft des solutions bureautiques et de messagerie utilisées par les agents publics n’est pas conforme à la doctrine « Cloud au Centre », laquelle prévoit notamment que de tels outils doivent être hébergés sur un cloud protégé contre toute réglementation extracommunautaire. Ailleurs en Europe, le ministre adjoint lituanien de la défense a recommandé de ne pas acheter des smartphones chinois2 « et de se débarrasser de ceux déjà acquis aussi vite que possible ».

Souveraineté numérique ou patriotisme économique ? S’agit-il d’une position schizophrène : on interdit mais on utilise tous les jours, faute de solutions techniques alternatives.

Dans le même temps, les directions opérationnelles et partant les organismes publics et privés, ne peuvent que dénoncer l’insécurité juridique attachée aux transferts hors UE, la tracasserie de la tenue en temps réel des « registres des traitements », les analyses de risques au coût parfois – souvent – prohibitif, sans compter les autres gâteries telles que les politiques de confidentialité et bandeaux cookies illisibles pour le consommateur final, au premier plan concerné par la volonté de protection inhérente à la création du RGPD.

Pour autant, il est communément admis qu’à ce jour les données constituent un levier de transformation numérique pour les entreprises, un enjeu de création de valeur et d’innovation et la matière première pour l’IA.

Aussi, la vraie question derrière les stratégies d’intelligence ou de patriotisme économique n’est-elle pas simplement de savoir si nous pouvons assurer la disponibilité et l’usage des données, carburant des technologies de demain, en conservant la protection des données à caractère personnel telle que garantie – ou à tout le moins envisagée – par les différents textes et instances Européens ?

Il n’y a donc rien d’étonnant à ce que le Royaume-Uni entende se positionner comme « un hub mondial pour des flux libres et responsables de données personnelles », avec le soutien de partenaires comme Singapour, l’Australie et le Canada, qui ont des cadres réglementaires « plus souples » et « fondés sur une approche par les risques ». Dans la poursuite de cet objectif, les Anglais semblent même prêts à risquer leur statut de territoire « adéquat ». Ce statut leur a été octroyé par la Commission européenne en juin 2021 et est communément perçu comme un blanc-seing permettant des flux libres de données personnelles depuis l’UE vers un pays désigné. Toutefois, une réforme en profondeur, telle qu’envisagée par le Royaume-Uni, pourrait amener les instances de l’UE à reconsidérer leur position à ce titre.

En effet, l’idée de souveraineté ou d’autonomie numérique est déjà mise à mal par l’intensification avec la crise sanitaire des cyber-attaques, la vulnérabilité de nos sites sensibles (en témoigne l’incendie OVH) et la dépendance continue des technologies américaines. Force est de constater que nous sommes face à la complexité de l’interdépendance des économies, interdépendance qu’il faut intégrer pour mieux la piloter. Le rejet n’étant pas une option salvatrice.

De tout cela, il ressort que les vraies questions de disponibilité des données et de la dépendance au numérique sont ignorées. Autrement dit, on élude le débat de fond sur le statut de la donnée : bien de consommation, bien commun ou extension de la personnalité de la personne concernée.

Pour ces raisons, le projet anglais est un ballon d’essai à suivre pour les européens. Il ne s’agit pas de crier haro sur le baudet RGPD ou de se satisfaire de l’ultralibéralisme. L’esprit de ce texte, précisément celui de la responsabilisation des acteurs et de la consécration du droit à l’autodétermination informationnelle, est évidemment à saluer et à maintenir. Il s’agit de rétablir de la symétrie dans les usages et de trouver où placer le curseur entre le droit souple, l’éthique et la réglementation.

Cela doit passer d’abord par une granularité de l’analyse et ensuite par la hiérarchisation des catégories de données personnelles. D’ores et déjà, l’existence d’un régime spécifique portant sur les données de santé se révèle être une démonstration de la nécessité d’adapter la protection à la sensibilité des données. À cet égard, des idées doivent probablement être empruntées à la RSE des sociétés, protectrice notamment des données.

En définitive, à défaut d’essayer de créer un sanctuaire français ou européen de la donnée, il importe plutôt d’accepter et de piloter nos dépendances numériques dans un monde complexe de plateformisation et de métavers à venir. Nous Européens avons été les premiers, au moyen du RGPD, à asséner ces préoccupations de protection des données dans un cadre réglementaire global. Soyons donc les premiers à en assurer l’application opérationnelle et à encourager la circulation et l’échange des actifs numériques.

Or, une telle application doit passer par un constat : les suites de l’arrêt Schrems II sont en train de décrédibiliser le RGPD. A défaut de l’adoption d’une approche plus rationnelle, fondée sur une prise en compte des risques réels et facilitée par des consignes claires des instances nationales et européennes, l’Europe risque de provoquer un abandon de la part de ses entreprises.

Le Royaume-Uni est, de toute évidence, arrivé à une conclusion similaire avec sa réforme pressentie. Il ne s’agit pas là de s’engager dans une course vers le bas mais d’essayer de sortir d’une impasse réglementaire, en prenant compte de l’approche de nos voisins qui semble contenir une part de bon sens.

Il ne s’agit pas, n’en déplaise à Churchill, de se battre sur les plages pour sauver des données mais de dépasser les malentendus transatlantiques et de s’inscrire dans l’efficacité des chaînes de valeur numériques. Les organismes européens doivent être en mesure de proposer concrètement un numérique durable, responsable et de confiance. Il appartiendra aux entreprises de développer des stratégies écosystémiques résilientes avec des standards communs, où l’interopérabilité et la réversibilité seront les normes. Il ne s’agit là que de valoriser le numérique comme un actif vital de l’entreprise, respectant les valeurs communes de nos citoyens et de nos territoires autour d’un cadre réglementaire lui aussi adapté et résilient. La compliance permettra aux entreprises européennes de sécuriser et de développer leur modèle économique, qu’il s’agisse de décarbonisation du numérique, de protection des données et de souveraineté de nos infrastructures.

Références

1 https://www.solutions-numeriques.com/office-365-nest-plus-conforme-a-la-doctrine-cloud-de-letat-francais/

2 https://www.lemonde.fr/international/article/2021/09/23/en-lituanie-le-ministere-de-la-defense-recommande-de-jeter-les-telephones-chinois_6095739_3210.html

France CHARRUYER et Nicholas CULLEN

sont avocats associés au sein d’ALTIJ, cabinet de référence en protection des données et en droit du numérique.

Managing Partner d’ALTIJ France CHARRUYER a développé une expertise reconnue en Droit des affaires et en Technologies avancées (IT), et accompagne ses clients dans l’exploitation, la valorisation et la défense de leurs actifs immatériels.

Solicitor of England and Wales et avocat en France, Nicholas CULLEN est expert dans les transferts transfrontaliers des données et les relations contractuelles entre les différents acteurs du RGPD.

France et Nicholas interviennent régulièrement sur les transferts de données hors UE, le Brexit et les impacts de l’arrêt Schrems II pour les acteurs de l’économie numérique.