09 / 02 / 2017
#Compte-Rendu

FIC 2017 : vers un (véritable) espace numérique européen ?

  • Linkedin
Comment assurer la sécurité des données personnelles au sein d’un cyberespace dont la surface de vulnérabilité ne cesse d’augmenter ? Avec des dizaines de milliards d’objets connectés sur la planète d’ici cinq ans et un potentiel de fragilités immense, démontré notamment par l’attaque DDoS massive menée en octobre 2016, le sujet n’a jamais été aussi actuel. Quelle place pour l’Europe dans cette réflexion ? Quid d’une stratégie européenne ? Autant de questions au centre de la seconde conférence plénière de la 9e édition du Forum international de la cybersécurité qui s’est tenu à Lille. RSLN y était.

Annoncée comme l’une des dix priorités de la Commission, l’Europe du numérique progresse, quoique bien (trop) lentement de l’avis de nombreux observateurs. Si, pour y parvenir, le Vieux Continent entend jouer la carte du droit et de la normalisation, la « balkanisation » de l’espace politique européen reste un handicap qu’il faut pourtant dépasser, précise en préambule Louis Pouzin, inventeur du datagramme et concepteur du premier réseau à commutation de paquets :

«Face à une menace mondiale, on peut théoriquement mettre en place des périmètres de sécurité, comme l’ont fait les Chinois en créant, en 2005, un réseau indépendant des Etats-Unis. Mais cela ne peut se faire à l’échelle de l’Europe, car il y a vingt-huit pays, et il faut que tous s’accordent. Et quand il y a urgence, comme c’est le cas actuellement, ça n’est pas la bonne méthode.»

Pour lui, il n’existe alors qu’une seule façon viable pour avancer : travailler «main dans la main avec des voisins de confiance» à travers le continent. Une posture qui permettrait, de plus, à l’Europe de se positionner comme un contrepoids efficace aux Etats-Unis, en particulier en matière de surveillance, dont l’hégémonie est régulièrement dénoncée.

Etats-Unis. NASA via Unsplash CC0

« Le Privacy Shield reviendra devant la Cour de justice de l’Union européenne »

« Les gouvernements sont des cibles, mais peuvent également être des menaces pour les données personnelles des individus. »

82 share

Un sujet qui tient particulièrement à cœur de Max Schrems, fervent défenseur de la protection des données personnelles, qui est longuement revenu dans son intervention sur l’invalidation par la CJUE du Safe Harbor, dont les principes permettaient le transfert de données personnelles européennes vers les Etats-Unis à condition que le niveau de sécurité des entités destinataires soit suffisant.

Le juriste autrichien a d’ailleurs prédit le même funeste destin au Privacy Shield, successeur du texte qu’il a lui-même largement contribué à enterrer, en soulignant notamment que ce dernier, en n’interdisant pas la surveillance de masse, via « l’annexe 6 de la page 4, qui autorise la collecte de données dans six cas précis» parmi lesquels la lutte antiterroriste, la lutte contre la prolifération nucléaire et la «cybersécurité», violait l’essence des droits fondamentaux.

Une démonstration à laquelle s’est opposé John Frank, le vice-président de Microsoft en charge des affaires publiques européennes :

«Je suis très confiant dans ce nouveau dispositif : même s’il y a des gouvernements à travers le monde qui exercent une surveillance plus ou moins généralisée, nous allons chiffrer les données des utilisateurs européens dans le cloud, afin que les régimes malveillants ne puissent accéder à ces données. Notre position est claire : les gouvernements sont des cibles [pour les cyberattaquants] mais peuvent également être des menaces pour les données personnelles des individus. »

Le tableau dressé par Max Schrems n’est néanmoins pas si noir, puisqu’il a tout de même évoqué des modèles de cloud vertueux, tel que celui mis en place en Allemagne par Microsoft, en partenariat avec Deutsch Telekom.

Harmonisation et changement de doctrine

En plus des garde-fous évoqués par John Frank, il faudra également compter avec ceux de la CNIL, exposés lors de cette table-ronde par sa directrice adjointe, Florence Raynal : «En septembre, nous ferons une première évaluation de l’implémentation du Privacy Shield, que nous renouvellerons chaque année pour jauger de son efficacité.»

Mais avant cela, celle qui est également à la tête du service des affaires européennes et internationales de la Commission, insiste sur la «nécessité d’harmoniser » les pouvoirs des vingt-huit autorités de protection des données de chaque pays de l’Union, aujourd’hui regroupées au sein du G29. Une harmonisation suivie, dans les faits, d’un changement de doctrine :

« Chaque élément d'harmonisation est une avancée majeure. »

82 share

«Dès la mise en application, le 25 mai 2018, du Règlement général sur la protection des données, les choses vont changer. Les entreprises passeront d’une conformité bureaucratique à une conformité opérationnelle : chacune sera alors responsable de sa conformité et devra pouvoir le démontrer. Pour les autorités, ce sera la création duguichet unique, et des décisions plus contraignantes pour ceux qui n’arrivent pas à se mettre d’accord.»

« On est en train de changer de monde »

Un moment «historique» dixit Alban Schmutz, vice-président du développement stratégique d’OVH. «Chaque élément d’harmonisation est une avancée majeure, explique ce dernier. Le GDPR est justement l’illustration qu’on est en train de changer de monde.Pour les fournisseurs de cloud européens, c’est l’opportunité de créer une régulation unique sur un espace économique immense. Et c’est également une manière de générer du soft power auprès des opérateurs internationaux. »

Reste, justement, une inconnue – et non des moindres : l’impact de l’installation de la toute nouvelle administration Trump aux Etats-Unis. Une évolution qui pourrait «peut-être changer la donne» selon Max Schrems. «Personne ne sait ce qu’il va se passer avec l’administration Trump, ajoute John Frank. Mais le nouveau ministre du Commerce a récemment exprimé l’importance de ne pas détricoter le Privacy Shield.» Reste à savoir s’il s’agit là d’une véritable directive ou… d’un vœu pieux.