La souveraineté des données - C'est nous le futur #4
Bienvenue à tous dans cette nouvelle édition de ma newsletter C’est nous le futur ! 👋Cette semaine, je m’intéresse à un sujet en particulier : la territorialité des données. Les données peuvent-elles et doivent-elles circuler librement d’un pays à un autre ? La souveraineté est un sujet à la mode, et le numérique n’y échappe pas.
Et comme toujours, on termine cette newsletter avec des petits news et les tweets et musique de la semaine. Bonne lecture !
🌎 Les CNIL européennes finissent par se soucier réellement de la territorialité des données
L’invalidation du Privacy Shield commence à avoir des conséquences réelles
Le RGPD encadre les transferts de données en dehors de l’Union européenne : pour qu’un transfert soit possible, il faut que certaines garanties de protection des données soient remplies.
Pour permettre la poursuite des transferts des géants du web entre l’Europe et les Etats-Unis, la Commission européenne a adopté en 2016 le Privacy Shield : une série d’entreprises américaines étaient autorisées à continuer les transferts de données en l’échange de la mise en place de mesures renforcées pour assurer la sécurité des données et la protection des droits des citoyens européens.
Mais en 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé le Privacy Shield à travers l’arrêt Schrems II (deuxième du nom car les mêmes péripéties avaient déjà eu lieu avec le deal Safe Harbor, ancêtre du Privacy Shield, invalidé en 2015). Selon la CJUE, les garanties de respect du RGPD ne sont pas réunies car la loi américaine autorise les services de surveillance des Etats-Unis à accéder aux données stockées sur leur territoire sans qu’il n’existe de garde-fous suffisants pour protéger les citoyens européens.
Depuis cet arrêt, les entreprises ont continué à transférer les données vers les Etats-Unis comme si de rien n’était. Jusqu’à ce que l’association NOYB (None of Your Business) ne saisisse les CNILs de nombreux pays européens. Par une action probablement coordonnée, les différentes CNIL mettent peu à peu en demeure des éditeurs de sites de cesser l’utilisation de Google Analytics, la solution de mesure d’audience de sites web la plus répandue au monde. L’Autriche a ouvert le bal il y a deux semaines, la CNIL française lui a emboité le pas il y a quelques jours, et d’autres pays suivront probablement dans les semaines qui viennent. Ces mises en demeure ne visent que quelques sites en particulier, mais elles pourraient s’appliquer exactement de la même manière à la majorité des sites européens, si ce n’est l’intégralité. Et Google Analytics est visé particulièrement mais ce n’est pas le seul service qui transfère des données vers les Etats-Unis…
Il y a donc une très forte incertitude juridique autour de ces sujets actuellement. Que va-t-il émerger de tout cela ? Va-t-on vers un énième Privacy Shield qui finira lui aussi invalidé ? On peut lancer les paris sur le nom du nouveau deal : Calm Sea ? Intelligence Vault ?
Un cloud européen pour héberger les données du Health Data Hub ?
Cette affaire fait écho à la polémique sur le Health Data Hub français, l’immense entrepôt de données qui vise à croiser de multiples sources de données de santé sur les Français pour permettre des travaux de recherche, notamment à base d’intelligence artificielle. Les bénéfices pour notre santé peuvent être immenses, mais les risques associés le sont tout autant en regard de la sensibilité des données. Problème : le gouvernement a choisi Microsoft comme hébergeur des données. Bien que les serveurs de Microsoft seraient localisés en Europe, les entreprises américaines sont soumises au Cloud Act, qui les contraint à divulguer des informations aux autorités américaines même si celles-ci sont hébergées hors des Etats-Unis.
C’est notamment pourquoi la CNIL a exprimé ses doutes et encouragé le ministère de la Santé français à opter pour des hébergeurs européens. Le gouvernement s’est engagé à faire appel à une solution labellisée “Cloud de confiance” dans un délai de 2 ans maximum, avec des données hébergées en Europe mais pouvant utiliser des logiciels américains... Des grands groupes français du cloud ont signé des accords avec des entreprises américaines pour créer des co-entreprises qui hébergent les données en Europe tout en se reposant sur l’infrastructure des géants américains (OVH et Thales avec Google Cloud, Orange et Capgemini avec Microsoft dans le projet Bleu).
Ce parti pris est similaire à celui de l’initiative Gaia-X, qui vise à faire émerger des solutions de cloud européens : l’intention de départ est bonne mais les géants américains du cloud (Amazon Web Services, Microsoft Azure, Google Cloud Platform, qui captent à eux trois 69% du marché européen) ont un poids trop important dans l’association. Scaleway, filiale cloud du groupe français Iliad (dont fait partie Free), a décidé en novembre de quitter Gaia-X car les américains ralentissent selon eux volontairement les groupes de travail.
Une conférence nommée Construire la souveraineté numérique de l’Europe a eu lieu cette semaine au Ministère des finances, dans le cadre de la Présidence française de l’Union européenne. Du beau monde était invité pour réfléchir à ces enjeux : des instituts de recherche et chercheurs prestigieux (INRIA, CNRS, Shoshana Zuboff…), des politiques et bureaucrates français et européens (Cédric O, Thierry Breton, Margrethe Vestager…), des fonds d’investissements, des entreprises européennes (OVH, Backmarket, )… et aussi, toujours, des entreprises américaines avec Brad Smith, le président de Microsoft.
Les péripéties du Health Data Hub ne sont probablement pas terminées : le gouvernement a retiré en décembre 2021 sa demande d’approbation par la CNIL, mettant ainsi en apparence en pause le projet, peut-être pour repartir sur des bases plus saines un peu plus tard, et probablement aussi pour ne pas avoir à traiter un sujet aussi épineux en période d’élections présidentielles.
L’arroseur arrosé : les citoyens européens sont de toute manière déjà surveillés par leurs propres gouvernements
Le plus cocasse dans l’histoire, c’est que les pays européens eux-mêmes s’octroient le droit de faire de la surveillance de masse, à commencer par la France. Et pour ça, pas besoin que les données soient stockées localement, il suffit qu’elles transitent par le pays.
Introduites en période d’état d’urgence, les “boîtes noires” ont été pérennisées en France par le parlement cette année dans une nouvelle loi. Cette dernière oblige les fournisseurs d’accès à Internet à conserver l’intégralité des meta-données (pas le contenu du message mais des informations de contexte comme les numéros de téléphone de l’appelant et de l’appelé ou l’URL du site consulté, l’heure, les adresses IP…) de tous les échanges sur Internet. Les renseignements français ont le droit de faire tourner des algorithmes sur ces immenses bases de données dans lesquelles nous sommes tous, pour repérer des comportements susceptibles d’être néfastes à l’intérêt national. Cette notion trop large est fourre-tout, alors que la CJUE a demandé de limiter ces dispositifs à “des situations dans lesquelles un État membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible”, pendant une période limitée dans le temps.
Et au-delà de cette surveillance stipulée dans la loi, on sait bien également que tous les pays cherchent à espionner les autres avec des dispositifs qui ne rentrent dans aucun cadre légal. On pense par exemple à Arnaud Montebourg dont on a appris cette semaine que le téléphone avait été infecté par le logiciel espion Pégasus depuis 2019.
Au final, c’est toute la technologie sur laquelle repose Internet qui se confronte à la réalité géopolitique. Quand on consulte un site Internet, les informations du site et nos données voyagent depuis et jusqu’aux serveurs du site (et ses partenaires, le fournisseur d'accès…) à travers une série de sous-réseaux reliés par des routeurs. Le voyage est quasi instantané mais très complexe et pas du tout transparent pour le commun des mortels. La promotion de la souveraineté numérique semble presque incompatible avec la nature même d’Internet, et on peut craindre de voir Internet se “balkaniser”, avec un Internet européen dissocié des Internet américain, chinois, russe… faisant ainsi perdre les bénéfices d’une communication sans frontières. Mais Internet ne peut pas faire fi de la réalité du monde et des intérêts de chacun. La solution est probablement à trouver, comme souvent, dans une meilleure collaboration internationale, et ce dans tous les domaines.
Et quelques petites news, à lire en attendant que la Russie déclenche la guerre
📱 Snap a fait des bénéfices pour la première fois de son histoire, ce qui a fait repartir à la hausse sa valorisation boursière.
🚪 Deux autres chercheurs en éthique des IA quittent Google pour rejoindre le DAIR (Distributed Artificial Intelligence Research), l’association fondée par Timnit Gebru. Dans un post Medium, Alex Hanna dénonce l'ambiance toxique qui règne chez Google autour de ces sujets.
📻 La Commission européenne a présenté sa proposition d’European Chips Act, visant à fabriquer davantage de puces et autres semi-conducteurs dans l’Union européenne. Dans un contexte où les pénuries sont de plus en plus marquées et où les puces sont de plus en plus stratégiques (pour équiper les ordinateurs et smartphones, mais demain aussi les voitures et tous les objets connectés), l’Europe veut limiter sa dépendance envers Taiwan, les Etats-Unis ou la Corée du Sud. Avec un investissement public-privé de 43 milliards €, l’ambition est de faire passer l’Europe de 10% de parts de marché mondial aujourd’hui à 20% en 2030.
📺 La fusion entre deux géants américains des médias, Discovery et WarnerMedia (qui appartenait à l’opérateur téléphonique AT&T), a été autorisée par le département de la justice américain. Les deux entreprises ne vont donc plus en former qu’une dans les mois qui viennent, regroupant dans un même groupe des mastodontes de la télévision, des séries et du cinéma (HBO, CNN, WarnerBros, Cartoon Network, Eurosport, toutes les chaînes de documentaires de Discovery…).
🩺 L’Assurance maladie vient de lancer Mon espace santé, un dossier médical numérique. Cette sorte de carnet de santé en ligne vient remplacer le Dossier Médical Personnel (DMP), qui existait depuis 2016 mais fonctionnait mal et était utilisé par peu de monde. Tout le monde se verra créer un espace santé dans les mois qui viennent. Sur autorisation du patient, les médecins de chaque patient pourront le consulter et venir y déposer des documents (ordonnances, résultats d’analyse, compte-rendus d’examens…). Les assureurs, mutuelles et employeurs ne pourront jamais demander à accéder à ces informations. L’accès sera aussi possible par tout médecin en cas d’urgence, et il sera possible d’y renseigner ses directives anticipées.
Les tweets de la semaine
La musique de la semaine
Moi je fais pas grand chose
Je fais qu’écrire des chansons, me révolter gentiment
Traîner mes yeux tout rouges sur l’écran sombre
J’ai pas le courage, non bien sûr que j’ai pas le courage de mes opinions
Merci d’avoir lu l’édition de cette semaine !
À partir de demain, je vais participer au défi BRIQUES 🧱 : pendant 30 jours, je vais écrire et publier un contenu chaque jour. Rassurez-vous, je ne vais pas vous spammer avec un mail par jour, cette newsletter reste hebdomadaire. Mais je pense probablement essayer d’intensifier mes posts sur Twitter. Pour ceux qui y sont, n’hésitez donc pas à me retrouver ici : @LangelinAlex.
À la semaine prochaine !