Invalidation du Privacy Shield – ça va piquer un peu

Je songe fortement à chercher sur Internet des goodiesà l’effigie de Max Schrems[1] : dans le genre chewing-gum qui colle aux cheveux doublé d’une obstination mêlée d’une capacité à être le caillou que personne ne veut dans sa chaussure, c’est du lourd. J’adore.

Il a manifestement une dent contre Facebook – il n’est pas le seul – et à ce titre a réussi en 2015 à faire annuler le Safe Harbor, qui encadrait le transfert des données personnelles des citoyens européens vers les US, pour des raisons évidentes de respect de la vie privée (si vous pensez que Facebook respecte la vie privée, je vous suggère d’arrêter la lecture de cet article et de retourner au tricot ou à une occupation saine du genre de la microcochliarmaphilie[2]). Une teigne, vous dis-je.

Son dernier fait d’armes : l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne[3], procédure dont il est à l’origine. Bon, en substance la CJUE considère que le dispositif qui garantit la sécurité des données personnelles – sous le coup du RGPD en Europe – transférées vers les États-Unis n’est pas suffisant, au motif que ces données sont accessibles aux services de renseignements US sans aucun contrôle, sans encadrement et selon un mode qui lui semble « disproportionné ». (J’adore l’euphémisme.)

Là où cela va devenir drôle comme tout, c’est quand on pense à tous ces petits contrats, ces petites annexes qui encadrent plus ou moins lesdits transferts. Pas plus tard que la semaine dernière, j’ai refusé le contrat RGPD d’un fournisseur qui stipulait tout bonnement qu’il s’autorisait à transférer nos données urbi et orbi, dans toutes les entreprises de son groupe (il s’agit d’une entreprise internationale présente sur les cinq continents) et la totalité de ses sous-traitants (rassurez-vous le Vatican n’était pas dans la liste j’ai vérifié), juste « à des fins de maintenance » sans aucune précision, ni aucune restriction ni aucune garantie. Ben voyons !

Comme disait Michel Audiard, « les emmerdes, ça vole toujours en escadrille » : on attend donc avec impatience les conséquences sur le Cloud Act (étant entendu que le Patriot Act ne relève en principe que des données physiquement hébergées sur le territoire US). Parce que si la CJUE considère que le transfert de données personnelles chez Donald ne respecte pas les fondamentaux de la vie privée, ça va être compliqué de considérer que pour les données personnelles traitées par des entreprises US (soumises au Cloud Act) sur le territoire européen, il n’y a pas plus de problème que cela.

Bon, en même temps, on va peut-être s’apercevoir qu’il vaut mieux au final héberger des données sensibles chez nous, opérées par nos entreprises, traitées par nos experts (médecins, ingénieurs, statisticiens, etc.), le tout financé grâce à la commande publique qui met en concurrence des entreprises françaises ou européennes selon des règles saines. Je ne sais pas pour vous, mais l’impôt me dérange beaucoup moins quand il sert à faire tourner notre économie et pas celle des Yankees.

RGPD je t’aime.

RGPD for ever.

L’un de vous aurait l’adresse d’un bon tatoueur ?

[1] https://fr.wikipedia.org/wiki/Max_Schrems

[2] Le mot existe vraiment, je vous laisse chercher

[3] https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf