Link list
La Cnil donne un coup de pied dans la fourmilière : interrogée sur l'emploi d'outils collaboratifs américains, l'autorité administrative française estime qu'il faut s'en passer et opter pour des solutions françaises ou européennes.
Les outils Framasoft plutôt que la suite bureautique de Google Docs pour les élèves qui poursuivent leurs études après le Bac ? Si la Commission nationale de l’informatique et des libertés (Cnil) ne va pas jusqu’à formuler une telle recommandation, le sens de son message est toutefois limpide : il est préférable de délaisser les outils américains pour l’enseignement supérieur et la recherche.
C’est en effet ce qui transparait dans une prise de parole datée du 27 mai 2021. La Cnil répondait alors aux sollicitations de la Conférence des grandes écoles et la Conférence des présidents d’université sur l’évolution du cadre juridique européen et ses effets que cela peut avoir sur les conditions stockage et de circulation des données qui sont produites, collectées et manipulées via ces outils de travail.
Pourquoi la Cnil formule ce conseil ?
Cet appel de la Cnil ne vient pas de nulle part : il tient compte d’une réalité juridique avec l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne, à l’été 2020. Or ce cadre, qui remplaçait le Safe Harbor, un mécanisme similaire qui a aussi été détruit, servait à encadrer le transfert des données des internautes en Europe vers les États-Unis, là où figurent de nombreux services en ligne.
La Cour a considéré qu’il n’existe en fait aucune garantie juridique pour des personnes non américaines pouvant être visées par les programmes de surveillance américains. Or, le Privacy Shield était censé être conforme aux standards européens. En clair, il y a un conflit manifeste entre le droit européen et le droit américain. Dès lors, la légalité de ces transferts est remise en question.
Considérant ce verdict majeur, véritable séisme juridique au niveau européen, mais aussi les documents qui lui ont été transmis, la Cnil relève que « dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des suites collaboratives pour l’éducation » surviennent, et cela pour beaucoup de monde : étudiants, chercheurs, enseignants, personnels administratifs.
Ce n’est pas tout : des informations encore plus critiques peuvent être en jeu, comme des données de santé (qui sont des données sensibles devant bénéficier d’un plus haut degré de protection ), des données particulières (relatives à des mineurs) et des données pouvant impliquer des enjeux stratégiques, dans les secteurs scientifique et économique (données de recherche).
« Il existe donc un risque d’accès par les autorités américaines aux données stockées »
Et dans le cas où les fournisseurs américains de ces outils prennent des mesures pour ne procéder à aucun transfert, de sorte de stocker et traiter les données en Europe ? Là aussi, il y a un problème : le Cloud Act. Ce texte autorise les juridictions à forcer les entreprises aux États-Unis de fournir les données sur leurs serveurs, dans le cadre d’une procédure, y compris les serveurs situés à l’étranger.
« Indépendamment de l’existence de transferts, les législations américaines s’appliquent aux données stockées par les sociétés états-uniennes en dehors de ce territoire. Il existe donc un risque d’accès par les autorités américaines aux données stockées », relève la Cnil. Dès lors, l’engagement de Microsoft en la matière doit être tempéré, même si la société a par le passé combattu ce genre de demande.
Pas de solution, sauf la migration ?
Enfin, si la Cnil admet qu’il faudrait déployer des mesures additionnelles pour poursuivre ces transferts même si le Privacy Shield est tombé, il s’avère que ces dispositions capables « d’assurer un niveau de protection adéquat » ne sont à ce jour pas identifiées. De plus, ajoute la Cnil, jouer la carte des dérogations n’est pas une réponse viable : elles doivent rester des dérogations, c’est-à-dire des exceptions.
Pour cette dernière remarque, la Cnil mentionne les observations du Comité européen de la protection des données, dont elle est membre, et qui raisonnait en citant soit le cas d’un fournisseur de services via le cloud soit le cas d’un sous-traitant qui « dans le cadre de leurs prestations, ont la nécessité d’accéder aux données en clair ou possèdent les clefs de chiffrement. »
Cette situation fait donc dire à la Cnil qu’il « est nécessaire que le risque d’un accès illégal par les autorités américaines à ces données soit écarté ». Mais parce qu’il n’est pas évident de basculer d’un claquement de doigts tout l’écosystème de l’enseignement supérieur et de la recherche, et parce qu’il existe encore une crise sanitaire à cause du coronavirus, la Cnil admet le besoin « d’une période transitoire. »
La Cnil se dit disponible pour « identifier des alternatives possibles ». Des pistes existent du côté des logiciels libres, à l’image de Framasoft ou LibreOffice. Il reste à déterminer quelles décisions seront prises à la suite de l’appel de la Cnil et, si l’offre est au niveau, car la commodité d’emploi, la disponibilité et l’éventail des fonctionnalités l’emportent parfois sur toute autre considération.
Les « conditions juridiques nécessaires » ne « semblent pas réunies » pour confier le mégafichier des données de santé françaises « à une entreprise non soumise exclusivement au droit européen », a estimé vendredi l’Assurance maladie, désignant ainsi implicitement Microsoft. La pilule ne passe toujours pas : saisi une nouvelle fois pour avis, sur le projet de décret devant graver dans le marbre les « modalités de mise en oeuvre » du gigantesque « système national des données de santé », le conseil d’administration de la Caisse nationale d’Assurance maladie (CNAM) ne s’est pas privé d’exprimer ses désaccords.
« Les conditions juridiques nécessaires à la protection de ces données ne semblent pas réunies pour que l’ensemble de la base principale soit mise à disposition d’une entreprise non soumise exclusivement au droit européen (…) indépendamment de garanties contractuelles qui auraient pu être apportées », écrit cette instance dans une délibération adoptée à l’unanimité des membres qui ont pris position. La charge vise évidemment le géant américain Microsoft, choisi sans appel d’offres début 2019 pour héberger le Health Data Hub, gestionnaire désigné de ce fichier agrégeant les données de la Sécu, des hôpitaux ou des soignants libéraux, entre autres.
« Seul un dispositif souverain et uniquement soumis au RGPD (le règlement européen qui garantit aux usagers certains droits sur leurs données, ndlr) permettra de gagner la confiance des assurés », ajoute le conseil d’administration. L’instance juge qu’en attendant cette solution, les données « ne seraient mises à disposition du Health Data Hub qu’au cas par cas », uniquement pour « des recherches nécessaires à la prévention, au traitement et à la prise en charge de la Covid-19 ».
La Cour de justice de l'Union européenne invalide un accord de 2016 pris entre Bruxelles et Washington sur le transfert des données personnelles entre les deux rives de l'Atlantique. En cause, le manque d'encadrement des programmes de surveillance américains.
C’est un coup de tonnerre juridique dans le ciel transatlantique. Jeudi 16 juillet, la Cour de justice de l’Union européenne (CJUE) a annoncé avoir invalidé la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis. C’est une décision cruciale, car elle concerne le transfert de données personnelles des Européens, donc les vôtres, vers les États-Unis.
Mais de quoi parle-t-on ?
Rappel des faits.
Jusqu’en 2015, l’envoi de données personnelles de l’Europe vers les USA était encadré par un dispositif baptisé « Safe Harbor ». Mais par l’action en justice d’un Autrichien, ce mécanisme a été annulé en octobre de cette année-là, déjà par la CJUE. Les révélations d’Edward Snowden en 2013 sur la surveillance de masse mise en place les services de renseignement américains avaient à l’époque joué un rôle important, car elles montraient un niveau de protection insuffisant pour les Européens.
cjue cour justice
Cour de justice de l’Union européenne. // Source : Transparency International EU Office
Pour éviter de laisser un vide entre les deux rives de l’Atlantique, un nouveau cadre a été mis sur pied dès l’année suivante, en 2016 : le bouclier de protection des données UE-États-Unis, ou « Privacy Shield ». Celui-ci est décrit comme plus protecteur que le « Safe Harbor ». C’est la position de Bruxelles, qui l’a validé à chaque réexamen annuel. Mais ni les CNIL du Vieux Continent, ni le Parlement européen, ni le Conseil national du numérique, ni les associations de la société civile ne partageaient ce point de vue.
À cette liste, on peut donc ajouter maintenant la Cour de justice de l’Union européenne, qui va obliger Bruxelles et Washington à renégocier un accord. Et comme le fait remarquer le professeur de droit Théodore Christakis, spécialiste de droit international public, c’est une fois encore les programmes de surveillance américains qui posent problème, car ils « ne sont pas limités à ce qui est strictement nécessaire et ne sont donc pas conformes aux standards européens ».
Dans son communiqué, la Cour fait observer qu’il n’y avait aucune garantie juridique pour des personnes non américaines potentiellement visées par ces programmes. Ainsi, il est relevé que la réglementation américaine « ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux », tandis que « l’accès et l’utilisation, par les autorités publiques américaines » des données à caractère personnel ne sont pas assez encadrés.
Pour la justice européenne, les programmes de surveillance américains ne sont pas assez bien encadrés
Pour l’Autrichien à l’origine des invalidations du « Safe Harbor » et du « Privacy Shield », cet arrêt est une bonne nouvelle.
« Je suis très heureux de ce jugement. Il semble que la Cour nous ait suivis dans tous les aspects. […] Il est clair que les États-Unis devront modifier sérieusement leurs lois de surveillance, si les entreprises américaines veulent continuer à jouer un rôle majeur sur le marché européen », écrit-il. « La Cour a clarifié pour la deuxième fois maintenant qu’il y a un conflit entre la législation européenne sur la vie privée et la législation américaine sur la surveillance. »
En somme, c’est le droit américain qui pose problème : si celui-ci n’est pas modifié de façon substantielle, il est à prévoit d’autres annulations du même ordre devant les tribunaux si Washington ne s’attaque pas à une réforme plus ambitieuse. « Comme l’UE ne modifiera pas ses droits fondamentaux pour satisfaire la NSA, la seule façon de surmonter ce conflit est que les États-Unis introduisent des droits solides en matière de protection de la vie privée pour tous, y compris les étrangers ».
Et maintenant ?
Reste une question : l’invalidation prononcée ce jour signifie-t-elle qu’il n’y a plus du tout de transfert entre les deux rives de l’Atlantique ? C’est aller un peu vite en besogne.
Si la Cour a bien annulé le « Privacy Shield », elle a par contre validé les clauses contractuelles types de la Commission européenne. Il s’agit d’un autre dispositif qui sert lui aussi à encadrer l’envoi des données personnelles aux USA. Elles servent lorsque des transferts se font en dehors de l’Union, en vue de « faciliter la tâche » des entreprises et des sous-traitants des autres pays. Autrement dit, si l’accord général n’est pas bon, des accords individuels peuvent l’être.
Deux subtilités sont toutefois à relever. Si le principe des clauses contractuelles types est approuvé, c’est à la condition que les entreprises et les sous-traitants qui y font appel se montrent en phase avec la législation européenne. C’est ce que relève l’avocat Étienne Wery sur son site : l’exportation de données n’est possible que si le niveau de protection est suffisant et respecté. Dans le cas contraire, ce transfert doit être suspendu ou interdit. Reste à pouvoir s’en assurer.
Ensuite, les clauses contractuelles types ne peuvent pas être utilisées par des entreprises qui, justement, sont sous surveillance américaine. C’est ce qu’analyse l’association Noyb, fondée par Maximilian Schrems, l’Autrichien à l’origine de toute cette affaire. « L’arrêt indique clairement que les entreprises ne peuvent pas se contenter de signer les clauses , mais qu’elles doivent également vérifier si elles peuvent les respecter dans la pratique », commence-t-il.
Un vrai casse-tête pour les géants du net.
Doctolib veut faire bonne figure : la plateforme de prise de rendez-vous médical en ligne a été récemment la cible de critiques à l’égard de son traitement des données de santé. Une enquête de France Info publiée en début d’année faisait le point sur le sujet et avait déjà poussé Doctolib à clarifier sa politique en matière de protection des données personnelles et de santé.
Pour enfoncer le clou, Doctolib a annoncé la semaine dernière la mise en place d’un dispositif de chiffrement de bout en bout sur sa plateforme, reposant sur la solution de chiffrement Tanker.io. « Jusqu’à présent, les données personnelles de santé des utilisateurs de Doctolib étaient chiffrées à deux niveaux, en transit et au repos. Le chiffrement de bout en bout garantit que les données personnelles de santé des patients qui utilisent Doctolib ne sont accessibles qu’aux patients et à leurs professionnels de santé en toutes circonstances », indique le communiqué. Doctolib précisait au passage que cette solution rendait l’accès aux données impossible pour un tiers « y compris dans les opérations d’assistance ou de maintenance ». L’enquête de France Info avait en effet révélé que Doctolib accédait parfois aux données des praticiens de santé dans le cadre d’opération de maintenance et d’assistance. De fait, si Doctolib se défendait d’accéder aux données de ses utilisateurs, il fallait donc les croire sur parole.
Le chiffrement, c'est maintenant
La solution retenue pour la mise en place de ce chiffrement assure que ce ne sera plus le cas. Comme l’explique Clément Ravouna, cofondateur de Tanker.io, « les clés appartiennent aux utilisateurs finaux puisque Tanker utilise un protocole de bout en bout et que les clés sont stockées sur les appareils des utilisateurs, ce qui a le mérite de loger physiquement cette propriété ». En d’autres termes, le chiffrement des données, la génération des clés et des pseudonymes se fait directement sur les appareils des utilisateurs grâce au SDK de Tanker.io embarqué dans l’application Doctolib.
« Avec ce déploiement, Doctolib ne sera pas en mesure d'accéder aux données de santé de ses utilisateurs et prestataires, car Doctolib n'aura pas les clés de chiffrement », nous précise Doctolib. Clément Ravouna de Tanker.io ajoute que seule « l'association de deux utilisateurs, via le protocole Tanker, permettra de déchiffrer les données. Lorsqu'un patient décide de partager une ressource avec un professionnel de santé via Doctolib, de nouvelles clés sont générées, utilisées et partagées via notre solution Tanker ». La solution de Tanker, décrite dans un livre blanc disponible sur leur site, permet une gestion des clés qui se veut invisible pour les utilisateurs et embarquée dans une application déjà existante. Tanker.io avait obtenu en 2017 une certification de sécurité de premier niveau auprès de l’Anssi.
Reste une interrogation, déjà soulevée par l’enquête de France Info : Doctolib ne peut pas vendre des données personnelles de santé, au sens où celles-ci pourraient permettre d’identifier de façon nominative les patients. Mais exploiter ces données anonymisées reste possible légalement. La solution de Tanker.io offre également la possibilité « d’anonymiser » les données via la génération de pseudonymes découplés des données brutes, comme le décrit son livre blanc. Interrogé à ce sujet, le service presse de Doctolib assure que « le modèle économique de Doctolib n'a rien à voir avec l'exploitation des données. Doctolib ne vend pas les données, Doctolib n'utilise pas les données pour faire de la publicité ou vendre des services ».
Dans ses lignes directrices, sur lesquelles le Conseil D’État vient de se prononcer, la Cnil jugeait le recours à des «cookies walls» contraire au règlement général sur la protection des données (RGPD).
Question posée sur Twitter le 22/06/2020
Bonjour,
Votre question fait référence à cet article du journal les Échos, selon lequel, «à l’avenir, les sites Internet pourront bloquer l’accès à tous les internautes qui refusent les cookies, ces traceurs informatiques controversés». Et ce en vertu d’une «décision du Conseil D’État publiée vendredi» où la plus haute juridiction administrative «donne raison aux éditeurs de sites contre la Cnil [Commission nationale de l’informatique et des libertés, ndlr], le gendarme français de la vie privée sur Internet, qui avait interdit une telle pratique».
Même son de cloche du côté d’une dépêche AFP sur le sujet (notamment reprise par le Monde) : «Selon la plus haute juridiction administrative, les éditeurs peuvent bloquer l’accès à leur site à un internaute qui refuserait les cookies, contrairement à ce que préconise le gendarme français des données personnelles dans ses lignes directrices sur le sujet publiées en 2019.»
En bref, le Conseil D’État «légaliserait» cette pratique, généralement appelée «cookies walls» (où il est nécessaire d’accepter les cookies pour accéder à un contenu, comme on parle de paywall lorsqu’il faut payer), à la suite d’une procédure menée par neuf associations qui représentent des entreprises françaises dans le domaine des médias, de la publicité et du commerce en ligne (Geste, SRI, IAB France, MMAF, Udecam, AACC, Fevad, UDM et SNCD).
«Droit souple»
Problème : selon plusieurs spécialistes des questions de vie privée et médias spécialisés, qui s’appuient sur le contenu de la décision, le Conseil d’État se prononce en fait sur la forme et non sur le fond. Sa décision ne permettrait donc pas, en l’état, de préjuger de la légalité ou non d’un «cookies walls».
On peut lire dans le communiqué de presse de la juridiction que «le Conseil D’État annule partiellement les lignes directrices de la Cnil relatives aux cookies et autres traceurs de connexion». Mais plus bas, on apprend que le Conseil D’État juge que «la Cnil a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit "de droit souple"». Les actes de droit souple désignant «les instruments, telles que les lignes directrices des autorités de régulation [comme la Cnil], qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques».
Le Conseil D’État considère donc «que la Cnil ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue» à propos des cookies walls. Tout en prenant bien soin de préciser qu’il se prononce sur cette question de forme «sans se prononcer sur le fond de la question», à savoir la légalité de bloquer l’accès à un contenu à un utilisateur qui refuserait les cookies.
Pour Bernard Lamon, avocat spécialiste des questions liées au règlement général sur la protection des données (RGPD), le Conseil D’État a simplement dit que sur un point très précis de ses lignes directrices, la Cnil avait franchi la ligne jaune puisque «dans des lignes directrices on ne peut pas dire que les cookies walls sont interdits de manière globale». «Mais le Conseil D’État ne s’est pas prononcé sur la légalité des cookies walls, contrairement à ce que prétendent certains qui se livrent à une bataille de communication. Pour savoir si c’est légal ou non, il faudra du contentieux, avec un examen concret, site par site», estime-t-il.
Pour Etienne Drouard, l’avocat du cabinet Hogan Lovells qui représente les associations requérantes, le Conseil D’État «rappelle que la Cnil doit analyser au cas par cas les alternatives proposées à l’utilisateur en contrepartie de l’accès au site de l’éditeur.» En d’autres termes, en proposant à l’internaute soit d’accéder gratuitement au contenu avec des cookies publicitaires, soit de se connecter via un compte, soit de payer, l’éditeur du site offre un choix au lecteur, «qui préserve la liberté du consentement prévue par le RGPD». «Ce qui n’est pas possible, c’est de conditionner l’accès au site à l’acceptation des cookies, sans offrir d’alternative», avance l’avocat, confirmant donc que le Conseil d’État n’a pas «légalisé» les cookies walls. Plus largement, il se félicite que le Conseil d’État rappelle qu’un «régulateur comme la Cnil ne peut pas, à la différence d’un législateur, créer des interdictions de principe».
«Retour à l’équilibre»
«La Cnil prend acte de cette décision et ajustera en conséquence ses lignes directrices et sa future recommandation pour s’y conformer», a indiqué la commission sur son site.
Sur le fond, la Cnil s’était alignée sur la position du comité européen de protection des données (CEPD), organe européen indépendant qui «contribue à l’application cohérente des règles en matière de protection des données au sein de l’Union européenne». Celui-ci considère en effet que les cookies walls ne sont pas «conformes» au RGPD puisque «les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l’occurrence l’impossibilité d’accéder au site consulté)».
Le Groupement des éditeurs de services en ligne (Geste), qui faisait partie des requérants, se satisfait de son côté de la décision du Conseil d’État qui permet «un retour à l’équilibre du RGPD» : «Nous avions la conviction que la Cnil avait surinterprété le RGPD. Nous défendons le droit pour les éditeurs de site de choisir leur modèle économique», avance son président, Bertrand Gié. Y compris le cookies walls donc, même si «à sa connaissance», aucun gros site français n’a pour le moment fait ce choix. Explicitement en tout cas : selon le blogueur Aeris, qui travaille «dans la sécurité informatique et plus précisément sur la vie privée», la pratique du cookies wall recouvre aussi les nombreux sites qui partent du principe que «si vous continuez à visiter ce site, vous consentez à recevoir des cookies» : «C’est tout aussi illégal, et en pratique le refus des cookies implique une impossibilité de visite du site», estime-t-il.
Dans la même décision, «le Conseil d’État donne raison à la Cnil sur tout le reste, que ce soit sur sa compétence ou les lignes directrices» relève par ailleurs l’avocat Bernard Lamon. Idem pour le média spécialisé Next Inpact qui juge que la décision du Conseil D’État va dans le sens de la commission, «même si cette dernière devra parfois ajuster sa manière de faire. C’est notamment le cas pour les cookies walls» : «Alors qu’éditeurs de presse et autres organismes publicitaires s’étant attaqués aux lignes directrices de la Cnil s’attendaient à une confirmation de leur position, cela n’a pas été le cas. […] Concernant le consentement [des utilisateurs] ses positions se trouvent renforcées par le Conseil D’État qui a "validé l’essentiel des interprétations ou recommandations" en la matière. Notamment que la gestion devait être symétrique (aussi simple à accorder qu’à refuser) et "porter sur chacune des finalités, ce qui implique notamment une information spécifique".»