Transfert de données : la bataille ne fait-elle que commencer ?


  • Après des années d’incertitudes entre les Etats-Unis et l’Europe sur l’épineux sujet du transfert des données de données personnelles, l'executive order du président américain Joe Biden a enfin redonné une lueur d’espoir aux entreprises européennes, en attente d’un accord pour encadrer ces transferts espérés pour le printemps ou l’été 2023. 
  • Mais plusieurs voix s’élèvent pour remarquer les faiblesses de ce nouveau Privacy Shield, baptisé Trans-Atlantic Data Privacy Framework (TADPF), ainsi que les risques et délais sur la voie de sa signature.

Confrontées à ce flou juridique qui les dépasse, puisqu’il concerne un pan immense de l’économie utilisant des solutions américaines, les entreprises européennes peuvent se demander si cet accord verra véritablement le jour, pour combien de temps, et enfin quelle est la meilleure approche en termes de stack technique pour gérer les risques juridiques.

Énième revirement ou solution de long terme ?

La récurrence des revirements sur le sujet des transferts de données personnelles a, il est vrai, de quoi faire peur aux directions juridiques, marketing et IT sur l’espérance de vie de la prochaine mouture. Rappel des faits :

  • 2000 : conclusion d’un premier traité, le Safe Harbor

  • 2015 : invalidation du Safe Harbor par la CJUE

  • 2016 : conclusion d’un remplaçant : le Privacy Shield

  • 2018 : entrée en vigueur du RGPD, et dépôt auprès de la CJUE, par l’association NOYB, d’une plainte affirmant l’incompatibilité du Privacy Shield avec le RGPD

  • 2020 : invalidation du Privacy Shield par la CJUE, et dépôt par NOYB de plaintes contre certaines sociétés utilisant des solutions transférant des données aux États-Unis

  • 2022 : plusieurs de ces plaintes jugées comme recevables par des agences de protection des données comme la CNIL

L’expérience fait donc dire qu’il est probable que ce nouvel accord ait une durée de vie limitée, d’autant que certains des arguments sur sa capacité à satisfaire le droit européen, soulevés par NOYB qui a déclaré attaquer l’accord dès sa sortie, sont audibles. Même si le nouveau texte apporte des avancées notables pour la protection des données des citoyens européens, plusieurs changements de fond dans la politique de renseignement américaine et dans l’organisation de son pouvoir judiciaire seraient nécessaires pour aboutir à une solution véritablement pérenne.

Certains vont jusqu’à douter que cet accord verra le jour. Les positions assez tranchées de la CNIL et ses consoeurs autrichienne, danoise et italienne laissent en effet présager de nombreuses objections au sein de l’EDPB (European Data Protection Board, composé des 27 autorités nationales de protection des données des pays membres). Toutefois l’avis de ces autorités indépendantes est uniquement consultatif, et c’est bien la voix des Etats membres qui prévaudra, avec une majorité requise de 55% des Etats et 65% de la population. 

À ce niveau-là, on peut penser que le TADPF recueillera les voix nécessaires. Les enjeux économiques pour l’UE semblent trop importants, allant bien au-delà des solutions d’analytics incriminées début 2022, touchant les outils et budgets publicitaires, mais surtout les solutions de cloud américaines de façon générale. La tentation des clouds souverains, si elle a eu le vent en poupe à l’aune de plusieurs déclarations politiques, semble (malheureusement) encore trop timorée pour s’affirmer comme une alternative crédible à court-terme.

Un accord qui devrait donc bien voir le jour, et pour une durée probablement limitée… Certains observateurs parlent de 5 ans, et si le TADPF fait aussi bien que le Privacy Shield, on pourrait espérer 4 ans entre son entrée en vigueur et les premières conséquences de sa possible invalidation pour les entreprises. Une “éternité” dans le monde du marketing digital, mais pendant laquelle les marketers voudront se mettre à l’abri de nouveaux revirements. Il faut également pouvoir se prémunir des risques de mise en demeure avant l’entrée en vigueur de l’accord, puisque l’EDPB avait précédemment indiqué que l’accord de principe ne valait pas moratoire.

Quelle approche de stack pour gérer le risque juridique dans la durée ?

La question spécifique de l’outil d’analytics, puisque Google Analytics a focalisé l’attention de ce débat juridique intercontinental, accapare aujourd’hui une bonne partie des ressources techniques et du temps de cerveau disponible des DPO et CDO… Notre seule recommandation invariable pour naviguer dans les actualités des derniers mois a été d’exhorter à éviter des choix précipités, et à évaluer précisément les différentes options de l’alternative.

Google Analytics continue d’afficher des capacités solides, notamment par ses synergies actuelles avec les outils média Google - dont on peut imaginer qu’elles resteront importantes dans un monde sans cookies - ou tout simplement par l’existence d’une main d'œuvre qualifiée et abondante pour l’opérer. Pour sécuriser son usage et s’affranchir du transfert de certaines données problématiques soulevées par la CNIL, Google a apporté dans Google Analytics 4 de nouvelles fonctionnalités permettant par exemple de filtrer les adresses IP avant l’envoi de données aux États-Unis. Il convient à chaque entreprise d’analyser si ces mesures sont suffisantes ou non.

L’approche de “proxyfication” formalisée par la CNIL semble par ailleurs une option intéressante. En ajoutant un serveur agissant comme sas intermédiaire entre le navigateur des utilisateurs et les serveurs de Google Analytics, les marketers regagnent le contrôle sur la collecte de données. D’ici l’arrivée du TADPF, cette solution pourrait permettre de supprimer ou encoder plus largement les données problématiques, tout en laissant revenir à une collecte plus complète par la suite. C’est donc bien de la flexibilité qu’apporte ce type d’architecture appelée “server-side”, qui a par ailleurs des bénéfices en termes de résilience de la donnée et pour la vitesse de chargement des pages.

Il faut toutefois analyser les impacts sur les cas d’usage, jusqu’au TADPF, du retrait de Google Analytics des différentes données pointées par la CNIL, comme par exemple le retrait de certaines données média. Pour préserver certains cas d’usage, et plus généralement pour s’acheter de la sérénité d’esprit, certains annonceurs et éditeurs préféreront se tourner vers des solutions alternatives hébergées en UE, comme Piano, Piwik Pro, Matomo ou encore Adobe Analytics. Ces solutions embarquent des capacités de reporting et analyse intéressantes et sont souvent exemptées de consentement; il convient d’évaluer leur adaptation à vos besoins analytics et média, ainsi que leur apport en termes de sécurité juridique. 

Au-delà du choix d'outils analytics, un mouvement plus profond chez certains acteurs avancés est celui de la réappropriation des données first-party sur des architectures cloud propriétaires. En plus d’offrir davantage de maîtrise sur le traitement et l’activation des données, cette voie peut être de nature à rendre moins dépendant des aléas extérieurs.