Par Judith BECKHARD-CARDOSO
La Chine est aujourd’hui (avec l’Inde), le plus grand entrepôt de données transfrontalières du monde tout en étant le plus grand exportateur de la ressource devenue la plus précieuse de la planète : les données personnelles.
Si les données constituent l'or de la nouvelle décennie, il est temps de comprendre les complexités qui entourent les silos de données et le monde réglementé que cette nouvelle ruée a engendré.
L'année marquée par la pandémie et une humanité "à l'abri chez elle" a été jalonnée de décisions et de documents clés sur la réglementation des données, dans des zones géographiques stratégiques, clé d'un nouvel ordre mondial.
En novembre 2020, la Chine a présenté un projet de loi sur la protection des informations personnelles (PIPL) visant à mettre en place un régime structuré de gouvernance des données et de la vie privée. Aucun calendrier de mise en œuvre n’est encore décidé, laissant planer l’insécurité juridique pour les entreprises et conférant un pouvoir discrétionnaire au gouvernement chinois. Un an plus tard, la loi est applicable à compter du 1er janvier 2022, sans pour autant que l’on puisse la dire finalisée, au vu du manque de définitions de sujets pourtant significatifs tels que les « données importantes ».
La PIPL impose des sanctions importantes en cas de violations graves, notamment des ordonnances de rectification, la confiscation des gains illégaux, la suspension de l'activité, la révocation des licences d'exploitation et des amendes pouvant atteindre 50 millions RMB (environ 7,6 millions USD) ou cinq pour cent du chiffre d'affaires de l'année précédente. Les personnes chargées de la protection des informations personnelles seront également soumises à des sanctions pouvant aller jusqu'à 1 million de RMB (environ 153 200 dollars US).
Elle soulève des points clés liés à la sécurité nationale par rapport à l'économie mondiale, à l'interdiction des contrôleurs et des processeurs de données étrangers, et à l'utilisation d'entreprises ou d'investissements chinois comme liens économiques avec des souverains internationaux, les menaçant ainsi d'actions réciproques en cas de décisions ou de menaces défavorables.
La PIPL a beaucoup emprunté au Règlement général sur la protection des données (RGPD) de l'Union européenne (UE) mais comporte des dispositions qui donnent à la police numérique de Pékin une portée qui dépasse ses frontières physiques. Ainsi si certains l’ont qualifiée de « RGPD chinois », il convient de lire attentivement les chroniques du Professeur Marie-Anne Frison-Roche sur le sujet pour se convaincre que l’objectif affirmé est bien celui de la cyber-souveraineté et de la Chine et non de la maîtrise de leurs données personnelles par les citoyens chinois ou tout autre citoyen sur le territoire chinois.
Elle permet en effet à la Chine de contrôler strictement les flux de données en provenance de son territoire, avec des sanctions et des interdictions éventuelles à l'encontre des entités figurant sur la liste noire.
Une décision de la Cour européenne de justice a mis à mal les dispositions du Privacy Shield, un cadre juridique qui guidait les flux de données entre les États-Unis et les pays de l'UE. Cette décision historique entraîne des conséquences importantes pour des milliers d'entreprises qui partagent actuellement des millions de dollars de données avec les États-Unis.
L'UE a également publié une première série de mesures dans le cadre de la loi sur la gouvernance des données afin de "favoriser la disponibilité des données à utiliser en augmentant la confiance dans les intermédiaires de données et en renforçant les mécanismes de partage des données". Cette loi comporte des lignes directrices et des références ambiguës sur les transferts internationaux de données, les demandes d'accès de pays tiers et les dispositions visant à contrôler les données non personnelles. Tous ces éléments ont des limites qui viennent taillader le tissu existant du commerce et de la coopération mondiale.
Jusqu’où va la transparence et où commence la violation de la vie privée et l’atteinte aux données personnelles ? Lorsqu’il s’agit de lutte contre la fraude, la transparence est celle des données financières des entreprises. Il s’agit certes de données sensibles au sens du business mais non au sens des droits des personnes.
Un exemple typique a été soulevée avec les données de santé concernant le besoin de traçabilité et le développement du virus COVID : les données concernées étaient celles d’une part des déplacements des personnes testées, de l’état de santé des personnes testées, des déplacements des personnes croisées par ces personnes, et on arrivait rapidement à une violation de la vie privée et de la protection des données des personnes concernées, au sens occidental du terme : non seulement les volontaires, mais également ceux qui les croisaient.
Occidental. Le terme est ici capital : selon une étude des législations sur une cinquantaine de pays dont certains ne possèdent pas de loi sur la protection des données, toutes possèdent une règlementation sur la vidéosurveillance, l’accès aux données collectées, la durée de la collecte, l’objectif plus ou moins flou de la collecte. Les régions ayant répondu le plus rapidement au développement du virus sont celles où la liberté d’aller et venir librement est la plus contrainte et la plus surveillée par le gouvernement : Corée, Chine, Hong-Kong, Taiwan, Singapour.
La question a été et est encore débattue des limites de l’accès à ces données et dans quelle mesure il convient de les collecter et de les conserver pour endiguer efficacement l’épidémie.
La question sous-jacente est celle de l’accès à et de la sécurité de ces données : comment ne pas craindre des fuites massives alors que nombre de serveurs, y compris ceux utilisés pour le prochain sommet des Nations Unies se font sous l’égide de TenCent, le géant chinois, dont les fuites en matière de cybersécurité n’ont pas échappé à la presse étrangère.
La transparence a un corollaire très strict : la sécurité (des données).
Nous avons des normes concernant la protection des données et ce qui constitue des données sensibles en Europe. Certains états américains en ont également, plusieurs, non fédérées. Le Moyen-Orient, la Russie, le Japon, la Chine, l’Inde, l’Australie et la Nouvelle-Zélande pour ne citer qu’eux, en ont également. Les Philippines, la Malaisie en prennent. Un certain nombre de pays d’Afrique commencent à travailler sur ces questions sur la base des modèles européens. Les pays d’Amérique Latine sur la base des modèles californiens.
Les règlements sur la protection des données s’appliquent selon certains pays à leurs citoyens (le RGPD notamment), à leurs résidents (le CCPA, Pays ?), aux données traversant leur territoire (la Chine, la Russie) et en matière de lutte contre la fraude (l’Inde).
-------------------
Un exemple pratique : Imaginons maintenant que, citoyenne européenne, je sois pour des raisons de travail, résidente californienne et que je doive me rendre en Chine ou en Russie ou en Inde pour un contrat.
La Chine m’appliquera sa loi : je lui dois toutes mes données puisque je suis sur son territoire, en cas de fuite de ces données, le département de la justice californien me permettra d’assigner l’entreprise chinoise fautive devant ses tribunaux, et le RGPD, me permettra d’assigner cette même entreprise devant les tribunaux de mon pays européens et de porter plainte afin d’obtenir une sanction.
Comment imaginer de manière réaliste la possibilité d’exécuter une telle situation ?
-------------------
La solution ne sera pas juridique avant très longtemps. Le retour d’expérience sera long et douloureux mais il devra passer par des accords bilatéraux ou multilatéraux. La situation générée par l’attitude de l’Angleterre post-Brexit est un exemple de la difficulté que les états rencontreront à gérer ce manque de compatibilité.
Les fraudeurs et hackeurs ne sont pas limités par les lois. Les Etats ne sont pas tenus par les lois des autres états, la question de l’extraterritorialité des lois se heurtant au pragmatisme dans sa mise en œuvre.
Il revient aujourd’hui aux entreprises multinationales de mettre en place des accords intra-groupes ou des lignes directrices qui imposeront des standards à leurs salariés quel que soit le lieu ou la loi applicable. Avec un risque que ces salariés se retrouvent à devoir choisir entre la loi de leur état et celle de leur entreprise, et décident dès lors, de ne rien faire ou de frauder l’une des deux règles.
Un paradoxe qui pourrait bien être le nouveau paradigme de l’ère cyber au sein de laquelle nous voyageons désormais.
Judith Beckhard-Cardoso
Secrétaire Générale de l’ACFE France, et membre de l’International Association of Privacy Professionals (IAPP), Judith Beckhard Cardoso a d’abord été avocat au sein des cabinets Jones Day, puis Debevoise & Plimpton LLP, en droit social et protection des données. À ce titre, elle a notamment travaillé sur la transmission d’informations à des autorités étrangères dans le cadre de contentieux transfrontaliers, enquêtes internes et notamment le dossier Siemens en 2007.
Judith Beckhard Cardoso a quitté le barreau en 2015 et travaille désormais en tant que Privacy Counsel pour différents groupes internationaux.