crédit : Cédric Puisney
La Cour Européenne de Justice a invalidé la décision de la Commission relative à la politique de Safe Arbor US. La première conséquence de cet acte, c’est qu’en théorie, la totalité des prestataires de services « en ligne » devront maintenir les données de leurs clients Européens « en conformité » pour prévenir toute intrusion ou exploitation de la part d’une organisation étrangère… la NSA est directement désignée. C’est le second effet Snowden, qui succède au premier effet Patriot Act.
Trois jours durant, les médias de la Communauté ont chanté Victoire.
Mais de l’autre côté de l’Atlantique, on s’interroge sur le réalisme d’une telle exigence. La mise en conformité fait déjà l’objet de tractations directes entre l’Europe et des grandes entreprises US. Une mise en conformité qui passera par exemple par un chiffrement plus strict des données Européennes devant transiter ou être stockées aux USA. Reste à savoir qui chiffrera, dans quelles conditions, avec quel niveau de résistance face aux outils des services de renseignement.
Une autre solution consisterait, pensent beaucoup, à interdire en partie ces transferts de données, et imposer aux opérateurs une garantie de stockage et de traitement au sein même des frontières d’Europe. Mais il faut rappeler que le Patriot Act est applicable à toute entreprise US, et s’étend aux données de ces entreprises même situées « à l’étranger ». Le patron technique de Microsoft Irlande avait osé rappeler ce genre d’évidence il y a quelques années, et ces propos avaient choqué bon nombre de défenseurs des libertés individuelles. Mais peu avait été fait, seule une eurodéputée du Parlement Européen avait osé publiquement parler de l’affaire.
Cette décision s’étendra-t-elle aux réseaux d’information et de transfert de données grand public ? C’est peu probable. Les systèmes Cloud genre Siri, Cortana, Google Now, qui constituent autant d’outils de profilage et d’alimentation de flux « big data » ne sont qu’un exemple des « cas impossibles » qui échapperont à la décision de la CJUE. Cette décision sera-t-elle accompagnée d’une définition claire de ce qu’elle appelle « un niveau adéquat de protection » des données transférées en dehors de la C.E. ? C’est là chose impossible, car ledit niveau dépend directement de notre connaissance sur la capacité de nos « alliés mais pas nécessairement amis » en matière de déchiffrement et d’extraction de données sensibles par simple recoupement et analyse Big Data. Enfin, il est difficilement réaliste, à l’heure où la notion de coût d’exploitation l’emporte systématiquement sur l’idée même de sécurité, d’imaginer que du jour au lendemain la totalité des contrats de télé administration, SOC, infogérance soit s’installe en Europe, soit que lesdites sociétés interdisent à leurs employés de « voir » le contenu des données situées sur les systèmes qu’ils sont censés maintenir à distance.
Ce qui ne signifie pas que cet arrêté ne serve à rien. Il constitue à la fois un premier pas vers une normalisation des échanges numériques avec le reste du monde, ainsi qu’une mise au pas du Parlement qui peut parfois aller à l’encontre des intérêts économiques et des libertés des citoyens d’Europe.
