Table ronde - Transfert des données hors UE : les nouvelles clauses contractuelles types

Par un arrêt Schrems II, rendu le 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé l’accord Europe/États-Unis de privacy shield sur les transferts de données personnelles, au motif que les lois de surveillance extraterritoriales américaines n’offraient pas de garanties suffisantes aux citoyens européens. Elle a en même temps confirmé la validité des clauses contractuelles types (CCT) de la Commission européenne et des Règles contraignantes d’entreprise (ou Binding Corporate Rules – BCR) pour le transfert de données vers des pays situés en dehors de l’EEE et non adéquats, sous réserve que ces clauses garantissent un niveau de protection adéquat et que les transferts soient assortis de mesures complémentaires de protection.

Il était nécessaire de repenser les CCT existantes, celles-ci devant être adaptées au RGPD et à cette jurisprudence. Le 4 juin 2021, la Commission européenne a adopté de nouvelles CCT portant sur les transferts de données personnelles vers un pays tiers, en remplacement des versions existantes. Elles ont été publiées au JO le 7 juin 2021. Quel est l’esprit de ce nouveau texte ? Quels changements pour les entreprises ?

Avec : Carmen Briceno, directrice juridique & conformité groupe, Raja Group, Noémie Bergez, avocat associé, Dune, Emmanuelle Bartoli, head of data protection and regulatory affairs, group legal department, Capgemini, Marine Hannequart, international legal counsel & DPO, JobTeaser. 

LA MISE À JOUR DES CCT

Noémie Bergez : L’arrêt Schrems II de la CJUE a invalidé le Privacy Shield, accord servant de fondement au transfert de données de l’UE vers les États-Unis, qui faisait déjà suite à l’invalidation d’un précédent accord, le Safe Harbor, par un arrêt de la CJUE du 6 octobre 2015 (Schrems). Ces décisions ont fait l’objet d’un grand nombre de commentaires. Le retentissement était peut-être plus marqué autour de ces arrêts que lors de l’adoption par la Commission européenne des nouvelles CCT remplaçant celles de 2001, 2004 et 2010. Le contexte lié à l’invalidation du Privacy Shield a pu contribuer à complexifier l’appréhension de ces clauses en tant qu’outil ou mécanisme, parmi d’autres, pour transférer des données en dehors de l’UE en offrant des garanties appropriées. Il semble encore nécessaire de communiquer pour faire connaître ces nouvelles CCT auprès des entreprises et pour rendre plus compréhensibles les conditions et mécanismes de transfert des données en dehors de l’UE.

Carmen Briceno : Cette mise à jour des clauses contractuelles types était attendue avant même l’arrêt Schrems II. Elles devaient en effet être revues pour les adapter au RGPD. L’arrêt de la CJUE n’a fait qu’accélérer le processus d’adaptation prévu. Dès lors, dans ces nouvelles CCT, se trouvent des obligations liées au RGPD, notamment l’obligation pour le responsable de traitement, liée au principe de transparence, de communiquer aux personnes concernées, sur demande, une copie des CCT. Dans les faits, les nouvelles CCT alourdissent les obligations des exportateurs et des importateurs de données qui devront, entre autres, effectuer des analyses d’impact par rapport au transfert envisagé. Par ailleurs, l’approche modulaire et multipartite va permettre à de nouvelles entités actrices d’un transfert, quelles qu’elles soient, d’adhérer aux CCT. Si ces CCT sont complexes, elles sont pour autant plus complètes que celles des versions précédentes. J’estime que l’approche modulaire et multipartite qui manquait jusqu’à présent tient compte des opérations de traitement qui sont devenues de plus en plus complexes dans les échanges internationaux.

Emmanuelle Bartoli : C’était en effet l’une des lacunes des précédentes clauses : elles ne couvraient pas les transferts entre un sous-traitant au sein de l’EEE et un sous-traitant hors de l’EEE. Prestataires et clients attendaient ainsi de disposer d’un mécanisme permettant au sous-traitant lui-même d’encadrer directement les transferts qu’il réalise vers un autre sous-traitant hors de l’EEE. Les nouvelles clauses répondent à cette attente. Bien sûr ce mouvement s’inscrit dans la continuité de l’arrêt Schrems II, mais il y avait bien avant une attente du marché qui a également poussé la Commission européenne, le G29 et enfin le European Data Protection Board (EDPB) à se positionner et à adopter de nouvelles clauses.

Carmen Briceno : Il convient de mentionner également qu’à côté des CCT régissant les transferts vers des pays tiers, la Commission a aussi publié un modèle de CCT entre responsable de traitement et sous-traitant au titre de l’article 28 du RGPD. C’est un autre point positif de la décision d’exécution de la Commission, qui faisait jusqu’à présent défaut. Par ailleurs, les dispositions obligatoires de l’article 28 ont été également insérées dans le module 2 des CCT relatif aux transferts vers des pays tiers, ce qui évite de multiplier les contrats.

Marine Hannequart : L’arrêt Schrems II et les nouvelles CCT impliquent pour l’entreprise d’avoir la capacité d’évaluer la législation des pays tiers, ce qui peut se révéler très compliqué pour un DPO. Dans chaque pays pour lequel il n’y a pas de décision d’adéquation, il relève de la responsabilité de l’entreprise – en pratique le DPO – d’évaluer si la législation est conforme ou non. Le DPO doit en outre constituer un véritable dossier, c’est-à-dire faire une analyse documentée sur la législation et les circonstances particulières du traitement, afin de justifier de la légalité du transfert vers le pays tiers. Or c’est une tâche très lourde et complexe, notamment pour les petites entreprises qui ne disposent pas des ressources en interne.

Marine Hannequart, International legal counsel & DPO, JobTeaser

Emmanuelle Bartoli : Si l’on consulte deux cabinets d’avocats d’un pays donné, on ne peut exclure de recevoir deux analyses différentes de la législation locale. Il est de toute façon difficile pour les cabinets d’avocats de pays tiers de conclure quant au niveau d’adéquation d’une législation lorsque cet exercice revient en principe à la Commission européenne. On fait porter la responsabilité sur l’entreprise d’un exercice qui relève normalement de l’EDPB et de la Commission européenne. Ce point a d’ailleurs été remonté par les entreprises dans le cadre de la consultation sur les recommandations de l’EDBP, sans pour autant que cela ne soit pris en compte dans les recommandations finales. Les autorités considèrent qu’à partir du moment où un responsable de traitement décide de transférer des données en dehors de l’UE, il doit être capable d’apprécier le risque et donc de mener une analyse de la législation locale et des risques inhérents aux transferts.

Noémie Bergez : Les entreprises peuvent se heurter aussi à des problèmes de qualification quant à déterminer si elles sont responsables du traitement, responsables conjointes ou sous-traitantes. Dès lors, il pourra être difficile pour elles de mettre en œuvre les CCT. Rappelons que ces clauses constituent un modèle à inclure dans un contrat par les responsables du traitement et/ou les sous-traitants. Ils doivent, au sein des clauses, choisir le module applicable à leur situation parmi quatre modules. L’une des premières étapes est de qualifier quel rôle l’entreprise tient dans le traitement et ce n’est pas toujours si évident. Chez Dune, nous sommes régulièrement sollicités pour mener cette analyse, qui peut s’avérer complexe au regard de la nature du traitement. Certains clients, qui ont déjà avancé sur la mise en œuvre des nouvelles CCT, nous interrogent aussi pour obtenir une analyse de la législation locale et des pratiques locales par nos correspondants à l’étranger. Nous confrontons ensuite les analyses locales au RGPD et en faisons une analyse consolidée. Mais il est vrai que ce travail relève de l’interprétation. Il aurait sans doute été souhaitable de bénéficier de quelques guidelines au moment de l’adoption des CCT pour s’assurer que l’évaluation est conforme.

J’ajoute que la protection des données personnelles est une matière qui se traduit bien sous une forme visuelle. Le legal design aurait pu constituer une façon d’illustrer les règles des CCT pour les opérationnels, qui ne sont pas des professionnels du droit. La rédaction est finalement demeurée très classique, avec la même approche que celle du RGPD. Ce travail de facilitation de la compréhension ou de simplification sera-t-il mené par la suite ? Certainement par les acteurs de la protection des données (autorités de contrôle notamment).

QUELLE MÉTHODOLOGIE POUR METTRE EN ŒUVRE CES CCT ?

Carmen Briceno : Il convient de suivre les recommandations 01/2020 du CEPD qui sont très claires. Sur la base de ces recommandations, la CNIL préconise de cartographier les flux de données vers des pays hors EEE en recensant les outils informatiques utilisés (volet technique) et les contrats existants (volet juridique) afin d’identifier les CCT adaptées à la situation du transfert. Il convient de prioriser les actions en fonction des risques. Ensuite, l’évaluation du niveau de protection dont bénéficieront les données transférées est essentielle pour pouvoir mettre en place les garanties appropriées exigées par le RGPD et l’arrêt Schrems II. Cette évaluation est vaste et complexe : il est demandé d’analyser les lois de renseignement du pays de destination ainsi que les législations sectorielles éventuellement applicables à chaque transfert envisagé, et même de vérifier si les autorités locales ont le droit d’accéder à la data sans la connaissance de l’importateur. Et au-delà du droit applicable, il faut également analyser les pratiques du pays destinataire par secteur d’activité. C’est très lourd pour les acteurs et implique un déploiement important de ressources. À la longue, l’exercice sera sans doute moins compliqué puisque les analyses auront déjà été réalisées et seront mis éventuellement à disposition via des outils collaboratifs payants ou via les réseaux professionnels. Mais le début est intense : il faut demander à des avocats, dans tous les pays, de donner des avis. C’est un budget conséquent pour des PME qui seront éventuellement contraintes d’adhérer à l’analyse effectuée par leurs co-contractants.

Emmanuelle Bartoli : Les entreprises devraient se mobiliser par secteur, travailler de concert avec les instances professionnelles et les cabinets d’avocats, pour que soient rendus des avis sur les différentes législations qui puissent être réutilisés dans le temps. Cet exercice n’a pas encore commencé, mais je pense qu’il y a un véritable enjeu notamment pour les PME, mais également pour les grands groupes. Avoir une mutualisation des efforts sur l’analyse de la législation peut être d’un grand intérêt.

Emmanuelle Bartoli, Head of data protection and regulatory affairs, group legal department, Capgemini

Marine Hannequart : Plus l’entreprise est mature s’agissant de sa conformité RGPD, plus le travail de mise à jour des CCT sera facile à mener. Il passe d’abord par un registre de traitement à jour, la cartographie des flux de données et l’identification de l’ensemble des sous-traitants. En pratique, les entreprises n’ont pas toutes leurs contrats de sous-traitance centralisés. Il est par ailleurs difficile d’identifier l’existence de flux hors UE lorsque l’on fait appel à de multiples sous-traitants qui font eux-mêmes appel à des sous-traitants. Un énorme travail est donc souvent nécessaire avant d’identifier l’ensemble des flux de données hors Union européenne.

En outre, ce premier travail d’état des lieux ne règle pas le problème de fond en cas de transferts vers des pays tiers. Que faire concrètement ? Les entreprises n’ont pas forcément les moyens de changer de prestataire et de rapatrier les flux au sein de l’Union européenne.

Lorsque les prestataires situés en dehors de l’Union Européenne ne nous proposent pas de mesures organisationnelles et techniques suffisantes pour que les données soient sécurisées, nous devons chercher une alternative. S’agissant de l’hébergement d’une plateforme complexe telle que JobTeaser par exemple, si nous devions changer et faire appel à une société française ou européenne, il nous faudrait un an et demi, voire deux ans, pour finaliser la migration des données. Il nous faudrait en outre augmenter le nombre de personnes en interne pour gérer l’hébergement. Il y a donc un impact business et économique important pour les entreprises.

Par rapport à ces contraintes, le délai de grâce de 15 mois accordé aux entreprises est finalement assez court. Pour rappel, les entreprises peuvent continuer, sous certaines conditions, d’utiliser les anciennes CCT jusqu’en décembre 2022. Au-delà de ce délai, il faudra avoir implémenté les nouvelles CCT ou utiliser un autre outil de transfert.

Emmanuelle Bartoli : Chez Capgemini, nous suivons la méthodologie telle que définie par l’EDPB, et les différentes étapes recommandées. Elle implique de bien connaître ses transferts ce qui, selon la maturité de l’entreprise, est plus ou moins facile. Pour nous l’exercice de cartographie des traitements et des flux de données est déjà réalisé. Dans la mesure où nous agissons souvent en tant que sous-traitant pour le compte de clients, nous devons également à ces derniers les informations quant aux flux de données réalisés lorsque nous traitons des données pour leur compte.

Nous réalisons ensuite une analyse des législations locales avec l’aide de cabinets d’avocats locaux afin d’apprécier le risque pour la protection des données que nous traitons pour notre compte et celui de nos clients. Il s’agit en particulier d’évaluer le risque lié à l’accès aux données par les autorités. Nous avons par ailleurs développé un questionnaire d’évaluation des risques en matière de transferts de données. C’est une partie plus factuelle qui doit être documentée pour chaque transfert. Nous avons instauré un questionnaire standard qui permet d’analyser chacun d’eux pour s’assurer de la prise en compte du contexte dans l’évaluation du risque et non pas seulement de la législation, puisque l’EDPB a insisté sur ce point.

Nous nous attachons par ailleurs à définir les mesures additionnelles qui permettent de limiter les risques inhérents aux transferts. Nous suivons là encore les recommandations de l’EDPB qui consiste à définir des mesures contractuelles, organisationnelles et techniques. En matière de mesures contractuelles et organisationnelles nous disposons d’un arsenal complet avec notamment des clauses contractuelles robustes, les Binding Corporate Rules ou encore une organisation en matière de protection des données robuste.

Quant aux mesures de sécurité, le chiffrement de bout en bout avec la clef de chiffrement chez un tiers de confiance est une solution intéressante reconnue par le Conseil d’État dans l’arrêt Doctolib. Cette solution est encore difficile à mettre en place et engendre des coûts supplémentaires. Cependant le marché évolue et cette solution devrait se généraliser dès lors que cela est possible. En tout état de cause, le marché continue de mûrir sur le sujet.

Il ressort de ces différents éléments qu’il n’est donc pas question d’empêcher les transferts de données hors de l’EEE, mais bien de travailler à un ensemble de mesures permettant de limiter le risque en cas de tels transferts.

Carmen Briceno : Concernant les mesures techniques, le CEPD préconise le chiffrement ou la pseudonymisation des données. Toutefois, dans certains pays, notamment la Russie, la Chine et l’Inde, il y a des restrictions au chiffrement de données. Parfois le traitement de données nécessite d’avoir accès aux données en clair ce qui limite les choix des acteurs.

On commence à parler de nouvelles méthodes de pseudonymisation permettant de réduire le risque d’attaques de réidentification, tout en offrant le degré de fonctionnalité nécessaire pour assurer le traitement des données pseudonymisées, mais il semblerait que des études soient encore nécessaires pour renforcer le concept de pseudonymisation en tant que mesure de sécurité. L’ENISA, dans un rapport publié en 2019, prône de faire avancer l’état de connaissances et demande à la Commission européenne et les institutions concernées au sein de l’UE de soutenir et généraliser ces efforts. Finalement, à ce sujet il convient de suivre de près un projet de loi américaine introduit en juin 2020, la « Lawful Access to Encrypted Data Act » qui vise à instaurer une « backdoor » pour outrepasser le cryptage de données et qui risque d’annuler l’effectivité de ces mesures techniques.

Emmanuelle Bartoli : Il convient de rappeler que l’arrêt Schrems II règle le problème des demandes officielles, par les autorités, d’accès aux données, mais pas celui de la surveillance des États. Les autorités et la CJUE n’ont pas entendu empêcher et régler la surveillance des États qui existe en Europe et hors de l’UE. L’objectif est plutôt d’encadrer les demandes et requêtes faites par les autorités auprès des entreprises leur permettant ainsi d’outrepasser les accords unilatéraux entre les États. Tout ce qui est lié à la surveillance d’un État par l’un d’eux, nous ne pouvons pas le régler par l’insertion de clauses contractuelles. Les entreprises doivent en avoir conscience lorsqu’elles font leur analyse.

Il existe des solutions, notamment organisationnelles sur la manière de résister, en tant qu’entreprise, à ces demandes. Je pense notamment à la création de politiques en interne qui définissent la manière de gérer une demande, les critères sur lesquels la challenger et de quelle façon être transparent vis-à-vis de ses clients ou de la personne concernée. C’est un ensemble de petits mécanismes qui vont aider les entreprises à maîtriser le risque tout en continuant de transférer les données.

Carmen Briceno : Sauf que les mesures ne sont que contractuelles et donc pas opposables aux autorités des pays de destination…

Emmanuelle Bartoli : Au-delà des mesures contractuelles, comme évoqué, il y a également un arsenal lié à la gouvernance et aux mesures de sécurité qui pourront être invoquées en cas de contentieux sur le sujet. Cela permettra a minima de démontrer que les meilleurs efforts ont été mis en œuvre.

ANTICIPER L’INCERTITUDE DE LA SANCTION

Noémie Bergez : Il peut être assez complexe, pour les entreprises, de mettre en place ces CCT. Mais informées de leur existence et de leur finalité, elles prendront conscience de l’importance d’agir vite compte tenu du calendrier fixé par la Commission européenne avec une période transitoire qui se termine le 27 décembre 2022. Dès à présent, les entreprises doivent faire un état de leur transfert de données et vérifier la documentation contractuelle associée au transfert éventuel hors de l’UE, y compris par leurs prestataires. Pour les petites entreprises, il peut être difficile de mobiliser du personnel sur ce sujet. Les entreprises peuvent aussi rencontrer des difficultés à imposer auprès d’un cocontractant une modification de contrat pour mettre à jour les règles applicables au transfert de données. Il faut alors parvenir à un équilibre en cas de contrôles, en tenant compte des actions engagées et des résultats obtenus.

Les CCT peuvent aussi être appréhendées par une société comme un moyen de faire un état des lieux sur les données, de savoir où elles vont, ce qui en est fait pour son compte et de se poser les bonnes questions vis-à-vis de la réglementation qui leur est applicable. Elles constituent plus largement un moyen, pour les entreprises, de réfléchir à leur politique de gestion des données. C’est donc un élément positif, mais il faut leur donner les moyens d’en prendre conscience.

Après la publication de la décision Schrems II, nous avions déjà sensibilisé nos clients et nous continuons à le faire. Nombre d’entreprises n’ont pas encore pris conscience que le fait de ne pas encadrer les transferts hors de l’UE ou de ne pas utiliser ces clauses va entraîner des sanctions.

Certes à ma connaissance nous n’avons pas de décision de la CNIL, ou d’une autorité de contrôle, qui viendrait sanctionner une entreprise pour ne pas avoir mis en place les nouvelles CCT. Mais rappelons qu’un contrôle de la CNIL peut concerner aussi les contrats qui comportent ou devraient comporter un encadrement contractuel du traitement de données. Récemment, dans la délibération de la CNIL concernant Monsanto du 26 juillet 2021, l’autorité a relevé que les contrats avec les sous-traitants ne comportaient pas les mentions prévues par l’article 28 du RGPD et elle a sanctionné à ce titre.

Il ne faut pas oublier que le non-respect, par un responsable du traitement ou par un sous-traitant, des règles applicables aux transferts de données à des pays tiers peut être sanctionné. C’est l’une des plus importantes sanctions prévues par le RGPD puisque la violation peut entraîner une amende administrative pouvant s'élever à jusqu’à 20 M€ ou jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent. Nous n’avons pas encore d’application, mais il faut s’y préparer. Lorsqu’elles sont nécessaires, il est donc indispensable en mettre en œuvre et d’appliquer correctement les CCT. En cas de contrôle, une entreprise sera-t-elle sanctionnée si elle a choisi une mauvaise clause d’un module qui ne la concerne pas alors qu’elle a tout de même fait l’effort d’instaurer des CCT ?

Bien sûr une certaine clémence peut être attendue de la part des autorités, parce qu’elles se placent tout de même dans une démarche pédagogique, surtout dans les premiers temps. Mais au fond, personne n’en sait rien. Et tout dépendra peut-être des cibles des contrôles menés par les autorités. Il est possible d’envisager en parallèle des difficultés entre cocontractants, comme entre un responsable du traitement et un sous-traitant, qui pourraient être tranchées par le juge judiciaire. Il serait intéressant de confronter la motivation pour le non-respect de CCT, qu’elle soit sanctionnée par la CNIL comme une violation du RGPD et par le juge judiciaire qui pourrait être saisi sur le fondement de la responsabilité contractuelle. En effet, s’agissant des CCT, leur non-respect pourrait aussi engager la responsabilité contractuelle de la partie défaillante. D’ailleurs, nous pourrions nous attendre avec le RGPD, à davantage de contentieux entre responsables du traitement et sous-traitant ou entre coresponsables de traitement.

Noémie Bergez, Avocat associé, Dune

Marine Hannequart : Il y a effectivement une incertitude sur le risque de sanctions par les autorités. On espère leur clémence avec une analyse au cas par cas selon les entreprises et les moyens dont elles disposent pour se mettre en conformité. S’ajoute également un risque de condamnation à payer des dommages et intérêts aux personnes concernées, qui pourraient aussi se saisir du sujet.

En réalité, les entreprises se retrouvent exposées à des risques de sanction alors qu’elles ont souvent une marge de manœuvre limitée. C’est une question de rapport de force. Les petites et moyennes entreprises n’ont souvent pas le pouvoir ou l’expertise pour négocier avec de grands groupes des clauses complexes. S’agissant par exemple des États-Unis, les entreprises françaises travaillent au quotidien avec énormément de prestataires américains. L’évolution de la législation américaine semble peu probable. Il y a alors deux options : soit cesser de travailler avec ces prestataires – mais nous l’avons vu, c’est compliqué, voire impossible dans certaines situations – soit mettre en place des technologies qui permettent par exemple le cryptage des données. Il existe une technologie, encore au stade de développement, appelée le chiffrement homomorphe, qui permettrait de traiter les données chiffrées sans les déchiffrer C’est au stade de la recherche, mais cela permettrait d’apporter des solutions pratiques pour les entreprises.

Carmen Briceno : En effet, de nouveaux mécanismes vont se mettre en place pour tenter de contourner la surveillance disproportionnée des autorités des pays dans lesquels les données sont transférées.

Noémie Bergez : Les textes sont tout de même rédigés de manière à encadrer toutes les situations portant sur les données. Que ce soit la loi de 1978 ou le RGPD, les définitions sont extrêmement larges, et permettent de couvrir l’ensemble des traitements de données. La simple consultation ou le fait d’accéder aux données sans les stocker constituent des traitements de données. De la même façon, un transfert de données est entendu largement.

Je ne sais pas si la technologie de demain parviendra à régler la question. L’anonymisation en est un exemple puisqu’il est toujours compliqué, à l’heure actuelle, de confirmer sur le plan juridique que la technique employée est parfaite et rend inapplicable le RGPD. Mais les avancées futures nous permettront sans doute d’avoir des positions plus confortables.

AIDER LES ACTEURS EUROPÉENS À ÉMERGER

Carmen Briceno : L’émergence d’un champion européen est possible. Au mois de juin dernier, plusieurs autorités européennes, dont la CNIL, ont approuvé un code de conduite européen dédié aux fournisseurs de services d’infrastructure cloud (IaaS), il est porté par le Cloud Infrastructure Service Providers Europe (CISPE). C’est la première autorisation de code de conduite d’un réseau de cloud qui pourrait aider les acteurs européens à se positionner. Par ailleurs, les codes de conduite comme outils de transfert dont les lignes directrices de la CEPD ont été adoptées en juillet 2021 (04/2021), peuvent aussi renforcer la position des acteurs européens et s’ériger comme outil alternatif aux CCT. Une autre piste a récemment été évoquée par le ministre Bruno Lemaire pour contourner les lois américaines (Cloud Act, Patriot Act) visant à faire appel aux contrats de licence. Au lieu d’avoir un contrat directement avec le sous-traitant américain, les entreprises pourraient faire appel à des sous-traitants français, titulaires d’une licence.

Carmen Briceno, Directrice juridique & conformité groupe, Raja Group

Marine Hannequart : Le secrétaire d’État au numérique, Cédric O, a annoncé début novembre un plan d’investissement de 1,8 Md€ pour le cloud français, qui sera en partie financé par l’Union européenne, par l’État français et par des entreprises privées. Évidemment, c’est une bonne chose pour faire émerger des acteurs français. Mais il faudrait une volonté européenne forte car nous avons un vrai retard qui ne sera pas comblé en quelques mois.

En parallèle, il y a eu des annonces sur le cloud de confiance. C'est un aveu du retard des solutions françaises : au lieu du cloud souverain initialement prévu, on passe au cloud de confiance associant une entreprise américaine qui accorde une licence.

Emmanuelle Bartoli : Le cloud de confiance assure tout de même d’asseoir un cloud français en proposant des solutions assez abouties.

Noémie Bergez : En faisant émerger des acteurs européens, cela pourrait simplifier en partie les difficultés liées aux transferts de données en dehors de l’UE. Chaque entreprise est libre de choisir le prestataire de son choix. Communiquer sur un cloud français, qui propose des solutions compétitives est primordial car cela permettra aux sociétés de comprendre qu’il existe des alternatives locales.

Carmen Briceno : La France ne peut pas gérer seule ces questions de souveraineté et les ingérences qui s’en suivent. Une coopération au niveau international est nécessaire, par le biais des associations, des organismes internationaux ou des traités. Au niveau international, on constate que les autorités des pays tiers ne sont pas restées indifférentes face à la problématique des lois de surveillance. Il ne faut pas oublier, et c’est intéressant de le citer, que certains organismes internationaux s’intéressent déjà à la question. Je pense notamment l’OCDE qui a démarré des travaux en ce sens. Les CNIL du G7 ont également fait une déclaration pour essayer de trouver des synergies entre les autorités afin d’aborder la question. Un forum des autorités de contrôle mondiales, le Global Privacy Assembly, qui s’est tenu récemment, a adopté une résolution pour encadrer l’accès des gouvernements aux données personnelles. Toutefois, il reste encore beaucoup à faire pour parvenir à des pratiques plus protectrices de la vie privée permettant d’accompagner la croissance des échanges et l’innovation.