"J'ai fait ce que personne ne fait : j'ai lu le contrat qui nous lie à Google et Facebook"

Que peut le droit en matière de protection des données ? Y a t-il trop ou pas assez de lois sur le numérique en Europe ? Auteur du livre "Quand le digital défie l'État de droit", l'avocat Olivier Iteanu est l'un des meilleurs spécialistes français et européens du droit du numérique. À l'occasion d'une conférence sur le cloud souverain organisée par La Tribune en partenariat avec IMS Networks, il a répondu à La Tribune Toulouse.
Olivier Iteanu est l'auteur du libre "Quand le digital défie l'État de droit"

Le droit arrive-t-il à s'adapter et à suivre l'évolution du numérique et du cloud ?

Le droit court toujours après l'innovation, c'est évident. Mais avec l'Europe, on peut dire qu'on est en surréglementation, plutôt que dans un vide juridique. Il y a pléthore de textes. Sur la thématique des données à caractère personnel (une thématique importante dans le domaine du numérique), le premier règlement européen entrera en application le 25 mai 2018. C'est un règlement général sur la protection des données à caractère personnel qui est appelé à abroger les directives prises dans ce domaine et à se substituer à la loi Informatique et liberté de 1978 qui a instauré la Cnil. C'est un cadre général qui va s'appliquer à tous les pays de l'UE. En mai 2018, la première directive communautaire en matière de cybersécurité sera par ailleurs transposée au niveau national.

Est-ce satisfaisant selon vous?

Dans le domaine du droit, on ne peut plus dire aujourd'hui que le droit est à côté du numérique. Il y a des thématiques qui sont adressées. Mais le problème que je vois avec la globalisation digitale, c'est que l'on crée des contraintes importantes pour les acteurs économiques de l'Union européenne alors que l'on a beaucoup d'offreurs en dehors de l'UE, qui n'ont pas ces contraintes et qui ne sont pas aussi vertueux. Il y a donc une compétitivité accrue. L'UE doit adresser ce problème car cela crée une situation de concurrence déloyale.

Les acteurs américains, par exemple, ne sont donc pas soumis aux mêmes règles que les acteurs européens sur le territoire européen ?

C'est en tout cas ce qu'ils prétendent. Google et Facebook notamment, mais ce ne sont pas les seuls. Souvent, quand ils se sont présentés devant la Cnil, devant les tribunaux, ils ont contesté la juridiction européenne. Il faut bien que l'UE se préoccupe de ce problème-là. On peut essayer d'être extrêmement vertueux et très contraignant pour les acteurs locaux mais il faut que tout le monde soit soumis aux mêmes règles.

Ce problème des multinationales n'est-il pas aussi dû à notre retard technologique qui nous force à avoir recours à des acteurs américains ?

Cette question est liée au problème précédent. Effectivement, on a un problème de solution alternative. En Europe, on a un moteur de recherche qui est quasi monopolistique, Google. Le numéro deux doit être Bing et le troisième Yahoo. Le plus gros réseau social est Facebook, mais on pourrait aussi parler de Linkedin, de Dropbox et de dizaines de services.

Ce n'est pas le cas partout. En Chine, en Russie, ce n'est pas Google qui est numéro un, mais un acteur local. Uber a quitté le marché Chinois à l'été 2016 et l'a laissé, en prenant une participation minoritaire, à un acteur local.

Dans votre livre Quand le digital défie l'État de droit*, vous soulevez justement le problème des différences de législation et la prédominance des acteurs américains dans le numérique...

En effet. Je prends l'exemple d'une jeune fille que j'ai prénommée Alice. Quand elle se lève le matin, elle monte sur son pèse-personne connecté à internet Fitbit, elle regarde les informations sur Twitter, elle prend son Uber, travaille sur Dropbox, Linkedin, fait ses achats sur Amazon et termine sa journée en regardant une vidéo sur Youtube et sa série préférée sur Netflix.

J'ai regardé, sur quelques dizaines de services, avec qui Alice avait contracté. J'ai fait ce que personne ne fait, j'ai lu le contrat. Moi-même je ne les lis pas. Mais ils ne sont pas faits pour être lus, ils sont même faits pour qu'on ne les lise pas mais qu'on puisse vous les opposer demain. À 80 %, elle contracte avec des sociétés de droit californiennes. Pourtant, Google France existe, Facebook France existe. Mais là, en l'occurrence, c'est Google Ireland et Facebook en Californie. J'ai regardé quel était le droit affiché au contrat et quel était le juge déclaré compétent en cas de litige sur l'interprétation de l'exécution. C'est un juge californien à 90 % du temps.

Pourquoi est-ce un problème?

On fait un bond en arrière de deux siècles. Parce que l'État de droit, c'était la possibilité pour chacun, lorsqu'un litige naît sur une parole donnée, sur une promesse, de pouvoir saisir le service public de la justice, impartial, qui tranche le litige. Si ce n'est plus possible, ça pose un problème. Ce problème de souveraineté, on le constate plus particulièrement lorsque l'on parle de droit.

D'où l'importance de lire les contrats qui nous lient avec les entreprises?

Le sous-titre de mon livre, c'était "la révolution invisible". Parce que ça ne se voit pas, parce qu'on ne lit pas les contrats. C'est notamment le cas de quelques concepts maniés dans ces contrats, ce que l'on appelle les conditions générales d'utilisation. Lorsque l'on parle de vie privée, de liberté d'expression, de droits d'auteur, de lois, ce n'est pas la même chose selon les pays. Ce sont les mêmes mots que nous, mais ça n'a rien à voir. Privacy et vie privée, free speech du 1er amendement et liberté d'expression, ça n'a rien à voir. Il n'y a que le copyright et le droit d'auteur, qui ne sont pas exactement la même chose, mais qui ont les mêmes objectifs.

Pour eux, c'est leur "policy" qui s'applique. En matière de données à caractère personnel, on aura un règlement qui s'appliquera en mai 2018 au niveau européen. Les États-Unis n'ont jamais eu une loi fédérale sur les données à caractère personnel.

Cette question se pose notamment sur le cloud, puisque beaucoup d'hébergeurs sont aux États-Unis. Est-ce qu'un cloud européen ou un cloud français sont à l'heure actuelle la meilleure solution ?

Oui, puisque l'un des grands changements avec le règlement européen, c'est que les personnes qui auront manqué à leurs obligations vis-à-vis des données à caractère personnel de leurs clients, de leurs salariés, de leurs contacts, peuvent être soumises à une sanction prononcée par la Cnil qui peut aller jusqu'à 4 % du CA mondial du contrevenant. Aujourd'hui, depuis la loi pour la République numérique, la sanction est de 3 millions, et, jusqu'à octobre 2016, c'était 150 000 euros.

Mais qui est responsable dans ce cas ?

Ce n'est pas le prestataire qui prend le risque juridique. Quand je donne mes données à la Fnac, à mon employeur ou à une société quelconque, elle va s'adresser à un prestataire, mais c'est elle qui est responsable du traitement. Donc, c'est elle qui court le risque juridique. Quand on s'adresse à un prestataire qui vous dit qu'il est conforme, qu'il a un SLA (Service-level agreement, accord de niveau de service, NDLR), on s'engage sur la sécurité des données. Mais si l'infrastructure est à 9 000 km de là, on n'a pas la main. On peut avoir toutes les sources d'audit qu'on veut, on ne pourra pas y accéder, on ne pourra pas contrôler.

Et le risque juridique, c'est le client qui le prend, en tant que banque, en tant qu'assurance, en tant qu'administration ou collectivité territoriale. Il est donc nécessaire aujourd'hui que les autorités publiques aident des acteurs locaux à émerger pour qu'il y ait des solutions alternatives comme IMS Network, OVH, Orange, etc. C'est l'intérêt de tout le monde.

La sanction financière dont vous parliez sera-t-elle applicable aux acteurs américains sur le territoire européen ?

On n'a pas le droit d'exporter des données en dehors de l'Union européenne - ça coûte 5 ans de prison et 300 000 euros d'amende aujourd'hui - sauf dans une liste de pays que la Commission européenne a qualifiés, parce qu'ils ont une loi Informatique et liberté et une autorité nationale de contrôle, comme nous. Ce sont la Suisse, le Canada, Israël, par exemple.

Or, les États-Unis n'ont pas de loi fédérale en matière de données à caractère personnel, donc on ne peut pas les qualifier. La Commission européenne a cependant passé un accord spécial avec le Département du commerce américain appelé Safe Harbor, en 2000, qui est tombé en 2015. Maintenant, ça s'appelle le Privacy Shield, et ceux qui y adhèrent peuvent prendre des données européennes et les mettre sur les infrastructures aux États-Unis. Mais on ne peut toujours pas suffisamment contrôler, donc le risque juridique demeure pour le client.

* Quand le digital défie l'État de droit publié en 2016 aux éditions Eyrolles

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.