Renforcement des contrôles de la CNIL sur les plateformes, mise en pratique des textes européens, 2023 sera une année charnière pour les décideurs du digital et du marketing dans la maîtrise des enjeux juridiques sur les données. Pour Mannaïg Gabillard, avocate en droit des affaires et spécialiste des sujets IP/IT au sein du Cabinet Askesis, les entreprises vont devoir gérer opérationnellement ces chantiers tout en les mettant au service du business.
DigitalCMO.fr – Sur le terrain économique et business quels sont les changements sur le marché de la donnée ?
Mannaïg Gabillard – Le marché du cloud et de la data est dominé par des acteurs non-européens, et est marqué par des habitudes technologiques encrées, des effets d’annonces et de forts enjeux commerciaux La data est bien devenue le nouvel or noir de l’économie. Sa circulation et son partage participent à l’économie de marché et sont un enjeu de compétitivité. Les entreprises ont besoin d’accéder à des infrastructures décentralisées, puissantes et performantes. Face au spectre de la guerre notamment économique dans laquelle les données tiennent le rôle de monnaie d’échange, les différentes puissances économiques continuent à s’affronter. La Chine depuis le 1er janvier 2023, impose l’hébergement de données sensibles sur le territoire national, à l’instar du Maroc en juin 2022. Au niveau européen, est brandi le projet de cloud européen Gaia-X empruntant son nom à la déesse grecque de la Terre, dont l’objectif était de proposer une infrastructure conforme à la règlementation européenne, garantissant aux utilisateurs la non-surveillance de masse par les autorités policière ou de renseignement. En France, des initiatives dites de « cloud souverain » 100% français se sont multipliées avec la société S3NS de Thales ou Bleu de Capgemini. Cependant bien que portés par des acteurs au capital majoritairement français, la composition des briques technologiques de ces solutions pouvant être d’origine étrangère et notamment américaine vient déliter la souveraineté de ces projets. Cette réalité de dépendance technologique à l’égard des hyperscalers dont les solutions permettent de garantir une interopérabilité et un accès aux bases de données se heurte aux enjeux de souveraineté défendus par chaque puissance économique et politique à travers leurs cadres règlementaires.
DigitalCMO.fr – Le contexte réglementaire pays par pays s’est-il complexifié sur la protection des données ?
Mannaïg Gabillard – Le Cloud Act (1) aux Etats-Unis autorise la justice américaine à saisir les données numériques partout dans le monde, mais en réalité dans des conditions restrictives d’une procédure judiciaire, de la délivrance d’un mandat (warrant) par un juge indépendant et de la présomption sérieuse d’une infraction suffisamment grave (serious crime). C’est conjuguée aux législations à vocation extraterritoriale de lutte contre le terrorisme comme le FISA renforcé par le Patriot Act en 2001 que la règlementation américaine permet à ces autorités, en cas d’enquêtes criminelles, de saisir, tout simplement, l’ensemble des données qui pourraient menacer l’ordre public. Les règlementations russe, chinoise et européenne se multiplient, mêlant tour à tour protectionnisme et extraterritorialité. Vu comme la 3ème voie, la règlementation européenne (DMA, DSA, Data Act, Directive NIS mise à jour) à vocation extraterritoriale vient circonscrire le champ des possibles pour les GAFAM en termes d’accès, d’utilisation, de transfert et de sécurisation des données. En dépit de cette règlementation, il demeure que ni la localisation des centres de données ni les engagements contractuels n’offrent de garantie à leurs détenteurs contre les accès des autorités américaines : ce sont les entités qui les « possèdent », « gardent » ou « contrôlent » qui ont leur importance pour déterminer l’applicabilité du Cloud Act, de même que le critère de la vente de produits et/ou de services à des individus et/ou entreprises établis aux Etats-Unis, et le recours à des fournisseurs de services établis aux Etats-Unis.
DigitalCMO – Comment les responsables du digital (dont les CMO) et leur DSI doivent s’intéresser à ces questions ?
Mannaïg Gabillard – Dans ce contexte, la notion de cloud by design fait tout son sens : la sensibilité des données vient définir en amont la solidité de la « maison » les hébergeant. Compte tenu de la complexité du cadre règlementaire générant une insécurité juridique forte, toutes les données ne sont pas éligibles à leur hébergement dans un cloud public en raison des réglementations qui leur sont applicables ou de la sensibilité stratégique de ces données. Les travaux de cartographie des données, réalisés lors de la mise en place des programmes de conformité RGPD et de secret des affaires, pourraient être utiles et de manière empirique réutilisés afin d’identifier la criticité des données. Ces chantiers sont une priorité en ce début d’année.
( 1)Le Cloud Act promulgué le 23 mars 2018 s’applique à toute « United States person », définie très largement comme étant pour les personnes morales, toute société de droit américain, filiale étrangère incluse, et permet aux agences de renseignements américaines (CIA, FBI…), sur décision préalable d’un juge et dans le seul cadre de procédures pénales, d’obtenir des opérateurs de télécoms et autres fournisseurs de service de cloud computing, des informations qui seraient stockées sur leurs serveurs, même lorsque les données qu’ils détiennent, directement ou par leurs filiales, se trouvent dans des data centers situés hors du territoire des États-Unis.
