{"id":1228,"date":"2022-11-18T07:42:53","date_gmt":"2022-11-18T07:42:53","guid":{"rendered":"https:\/\/datasure.net\/?p=1228"},"modified":"2022-11-18T09:28:23","modified_gmt":"2022-11-18T09:28:23","slug":"etat-des-lieux-sur-le-transfert-des-donnees-personnelles-ue-usa","status":"publish","type":"post","link":"https:\/\/www.datasure.net\/es\/doctrine\/etat-des-lieux-sur-le-transfert-des-donnees-personnelles-ue-usa\/","title":{"rendered":"Etat des lieux suite au d\u00e9cret ex\u00e9cutif am\u00e9ricain sur le transfert des donn\u00e9es personnelles UE-USA"},"content":{"rendered":"

Ce mois d\u2019octobre, d\u00e9clar\u00e9 mois de la cybers\u00e9curit\u00e9 par l\u2019ANSSI, ne manquait pas d\u2019actualit\u00e9s \u00e0 commenter et l\u2019une d\u2019elles \u00e9tait particuli\u00e8rement attendue\u00a0: la signature d\u2019un d\u00e9cret ex\u00e9cutif par le pr\u00e9sident Biden le 7 octobre 2022[1]<\/a> \u00a0afin d\u2019avancer, enfin, sur la question majeure du transfert des donn\u00e9es personnelles entre l\u2019Union europ\u00e9enne et les Etats-Unis.<\/strong><\/p>\n

<\/p>\n

Article publi\u00e9 \u00e0 la Revue Lamy du droit de l’immat\u00e9riel N\u00b0197 de Novembre 2022 (RLDI4583)<\/a><\/em><\/span><\/p>\n

Apr\u00e8s plus de deux ans d\u2019incertitudes juridiques, cette nouvelle vient rassurer les centaines de milliers d\u2019entreprises qui transf\u00e8rent chaque jour des donn\u00e9es personnelles de l\u2019UE vers les Etats-Unis. Une nouvelle voie semble donc se dessiner dans le brouillard d\u2019ins\u00e9curit\u00e9 juridique qu\u2019avait alors instaur\u00e9 l\u2019arr\u00eat dit \u00ab\u00a0Shrems II\u00a0\u00bb de la Cour de Justice de l\u2019Union europ\u00e9enne (CJUE)[2]<\/a>, en invalidant le principal instrument juridique servant de fondement \u00e0 ces transferts conform\u00e9ment \u00e0 l\u2019article 45 du R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD)[3]<\/a>.<\/p>\n

D\u00e8s l\u2019annonce de signature du d\u00e9cret ex\u00e9cutif am\u00e9ricain, la Commission europ\u00e9enne se f\u00e9licitait le m\u00eame jour de pouvoir ainsi d\u00e9marrer le processus de r\u00e9daction et d\u2019adoption de la nouvelle d\u00e9cision d\u2019ad\u00e9quation[4]<\/a>. Ce troisi\u00e8me texte, apr\u00e8s l\u2019invalidation coup sur coup par la CJUE du \u00ab\u00a0Safe Harbor\u00a0\u00bb<\/em> en 2015 puis du \u00ab\u00a0Privacy Shield\u00a0\u00bb <\/em>en 2020, est n\u00e9 d\u2019un accord entre Joe Biden et Ursula von der Leyen en mars dernier[5]<\/a>. La simultan\u00e9it\u00e9 de cet arrangement avec la question de la fourniture d\u2019\u00e9nergies par les am\u00e9ricains au profit de l\u2019Europe n\u2019avait d\u2019ailleurs pas manqu\u00e9 de faire r\u00e9agir certains commentateurs.<\/p>\n

 <\/p>\n

Etats-Unis\u00a0: \u00ab\u00a0un partenaire \u00e0 g\u00e9om\u00e9trie variable\u00a0\u00bb<\/strong><\/h2>\n

Dans le m\u00eame temps en France, l\u2019avant-veille du d\u00e9cret Biden, la Commission des affaires \u00e9trang\u00e8res et de la d\u00e9fense du S\u00e9nat auditionnaient St\u00e9phane Bouillon, Secr\u00e9taire G\u00e9n\u00e9ral du Secr\u00e9tariat g\u00e9n\u00e9ral de la D\u00e9fense et de la S\u00e9curit\u00e9 nationale (SGDSN) et Guillaume Poupard, directeur g\u00e9n\u00e9ral de l\u2019Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (ANSSI)[6]<\/a>. Sur la question pos\u00e9e par la Commission de savoir si les Etats-Unis \u00e9taient un \u00ab\u00a0partenaire \u00e0 g\u00e9om\u00e9trie variable selon que l\u2019on parle de cyber, de sous-marin ou de visites d\u2019Etat\u00a0\u00bb<\/em>, St\u00e9phane Bouillon a rappel\u00e9 que les relations entre les deux puissances \u00e9taient indispensables et de qualit\u00e9, non sans conclure par une recommandation \u00e0 la vigilance par la maxime : \u00ab\u00a0un Etat n\u2019a pas d\u2019amis, mais que des int\u00e9r\u00eats\u00a0\u00bb. <\/em><\/p>\n

Il faut dire que le rapport de force entretenu par les Etats-Unis vis-\u00e0-vis de l\u2019Europe et, en particulier de la France, est parfois qualifi\u00e9 de \u00ab\u00a0guerre \u00e9conomique\u00a0\u00bb<\/em> comme l\u2019illustre des dossiers tr\u00e8s sensibles tels que ceux d\u2019Alstom ou d\u2019Airbus. Le recours \u00e0 des lois extraterritoriales am\u00e9ricaines renouvelle sans cesse le d\u00e9bat sur la souverainet\u00e9 fran\u00e7aise ou europ\u00e9enne, ainsi que sur notre capacit\u00e9 \u00e0 prot\u00e9ger nos entreprises et nos donn\u00e9es, particuli\u00e8rement \u00e0 cet instant o\u00f9 la guerre frappe en Europe suite \u00e0 l\u2019invasion de l\u2019Ukraine par la Russie.<\/p>\n

Olivier de Maison Rouge, sp\u00e9cialiste du droit de l\u2019intelligence \u00e9conomique, rappelle que le concept de \u00ab\u00a0s\u00e9curit\u00e9 nationale\u00a0\u00bb<\/em> aux Etats-Unis diff\u00e8re substantiellement de l\u2019approche historique fran\u00e7aise et leur permet de \u00ab\u00a0d\u00e9passer largement le seul cadre de la d\u00e9fense militaire et des arm\u00e9es.\u00a0\u00bb[7]<\/strong><\/a><\/em> , pour y inclure des consid\u00e9rations bien plus larges, telle que la bonne marche de leur \u00e9conomie nationale.<\/p>\n

Il est aussi certain que les r\u00e9v\u00e9lations d\u2019Edward Snowden ont permis aux europ\u00e9ens de sortir d\u2019une forme de na\u00efvet\u00e9 quant \u00e0 la captation de leurs donn\u00e9es par les services de renseignements am\u00e9ricain.<\/p>\n

Pour le num\u00e9ro 1 de l\u2019ANSSI, Guillaume Poupard, nul doute donc que le nouvel accord trouv\u00e9 aura vocation \u00e0 \u00eatre annul\u00e9 \u00ab\u00a0d\u2019ici \u00e0 4 ans\u00a0\u00bb si les r\u00e8gles de bases ne sont pas chang\u00e9es[8]<\/a>. Il faut dire que l\u2019arsenal juridique \u00e0 port\u00e9e extraterritoriale des Etats-Unis est d\u00e9sormais bien connu[9]<\/a>, c\u2019est pr\u00e9cis\u00e9ment cela qui posait probl\u00e8me \u00e0 la CJUE lors de l\u2019arr\u00eat \u00ab\u00a0Shrems II\u00a0\u00bb.<\/p>\n

 <\/p>\n

Des traitements de donn\u00e9es personnelles ill\u00e9gaux depuis \u00ab\u00a0Shrems II\u00a0\u00bb<\/strong><\/h2>\n

Depuis l\u2019arr\u00eat de 2020 de la CJUE, le transfert de donn\u00e9es \u00e0 caract\u00e8re personnel de citoyens europ\u00e9ens vers les Etats-Unis est par principe consid\u00e9r\u00e9 comme contraires \u00e0 la Charte des droits fondamentaux de l\u2019Union europ\u00e9enne en ce que la surveillance am\u00e9ricaine sur ces donn\u00e9es personnelles serait excessive, insuffisamment encadr\u00e9e et surtout, n\u2019admet pas la possibilit\u00e9 d\u2019un recours effectif par les personnes concern\u00e9es.<\/p>\n

Dans un m\u00e9moire d\u00e9pos\u00e9 par la CNIL \u00e0 la demande du Conseil d\u2019Etat au sujet du recours \u00e0 Microsoft dans le dossier br\u00fblant du Health Data Hub, l\u2019autorit\u00e9 ind\u00e9pendante rappelle que le constat d\u2019ill\u00e9galit\u00e9 cons\u00e9cutif \u00e0 la d\u00e9cision de la CJUE concerne aussi bien les donn\u00e9es transf\u00e9r\u00e9es que celles h\u00e9berg\u00e9es directement en Europe par une soci\u00e9t\u00e9 am\u00e9ricaine\u00a0: la soci\u00e9t\u00e9 m\u00e8re \u00e9tant de droit am\u00e9ricain, elle reste soumise aux lois am\u00e9ricaines. A la demande des services de renseignement am\u00e9ricains, elle pourrait \u00eatre contrainte de communiquer les donn\u00e9es concern\u00e9es, y compris si celles-ci sont h\u00e9berg\u00e9es en France[10]<\/a>.<\/p>\n

Cette derni\u00e8re consid\u00e9ration semble conclure \u00e0 l\u2019ill\u00e9galit\u00e9 d\u2019\u00e0 peu pr\u00e8s tous les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel de l\u2019\u00e9conomie europ\u00e9enne en raison de l\u2019h\u00e9g\u00e9monie des acteurs am\u00e9ricains dans les solutions en Cloud<\/em>. Ni les autorit\u00e9s nationales ni les institutions europ\u00e9ennes ne semblent pourtant oser aussi clairement et publiquement l\u2019affirmer, et pour cause\u00a0: la conformit\u00e9 est en pratique tr\u00e8s difficile, voire impossible \u00e0 mettre en \u0153uvre pour les acteurs \u00e9conomiques.<\/p>\n

Il ressort en effet depuis l\u2019arr\u00eat \u00ab\u00a0Shrems II\u00a0\u00bb qu\u2019un tel transfert doit \u00eatre encadr\u00e9 par des garanties appropri\u00e9es, plus pr\u00e9cis\u00e9ment des \u00ab\u00a0mesures compl\u00e9mentaires\u00a0\u00bb qui tendent \u00e0 compenser le fait que le droit des \u00c9tats-Unis n\u2019assure pas un niveau de protection substantiellement \u00e9quivalent \u00e0 celui garanti par l\u2019article 47 de la Charte.<\/p>\n

En pratique, il s\u2019agit d\u2019emp\u00eacher les services de renseignement am\u00e9ricains d\u2019acc\u00e9der en clair aux donn\u00e9es personnelles des europ\u00e9ens\u00a0: le chiffrement de donn\u00e9es ou l\u2019anonymisation constituent ainsi des moyens s\u00e9rieux envisageables pour apporter des garanties appropri\u00e9es, rendues n\u00e9cessaires en l\u2019absence de d\u00e9cision d\u2019ad\u00e9quation. Probl\u00e8me\u00a0: ces mesures sont tr\u00e8s complexes \u00e0 mettre en \u0153uvre dans les diff\u00e9rents contextes \u00ab\u00a0m\u00e9tiers\u00a0\u00bb actuels des organisations.<\/p>\n

 <\/p>\n

Des mesures compl\u00e9mentaires difficiles \u00e0 mettre en \u0153uvre dans la pratique\u00a0: l\u2019exemple du chiffrement<\/strong><\/h2>\n

Le chiffrement est l\u2019op\u00e9ration informatique par laquelle une donn\u00e9e en clair devient inintelligible \u00e0 ceux qui ne disposent pas de l\u2019instrument pour la d\u00e9chiffrer (nomm\u00e9 cl\u00e9 priv\u00e9e ou une cl\u00e9 secr\u00e8te, selon le type de chiffrement dont il est question).<\/p>\n

A l\u2019\u00e8re du cloud computing<\/em>, la question du chiffrement est complexe et, in\u00e9vitablement, technique. \u00a0Pour des solutions SaaS, le sujet central est de savoir qui d\u00e9tient la cl\u00e9 permettant de d\u00e9chiffrer les donn\u00e9es. En pratique, il est n\u00e9cessaire pour le fournisseur de la solution de d\u00e9tenir cette cl\u00e9 afin de pouvoir servir les donn\u00e9es \u00ab\u00a0\u00e0 la vol\u00e9e\u00a0\u00bb pour l\u2019utilisateur\u00a0: ainsi, malgr\u00e9 toutes les garanties morales ou techniques affich\u00e9es par ces fournisseurs am\u00e9ricains, il n\u2019emp\u00eache que si les donn\u00e9es peuvent \u00eatre d\u00e9chiffr\u00e9es par ces derniers \u00e0 un instant T<\/em>, elles pourront alors \u00eatre capt\u00e9es par les services de renseignement am\u00e9ricains.<\/p>\n

C\u2019est ainsi que les cas de r\u00e9els chiffrements dans le cloud<\/em> ne sont pour l\u2019heure pas l\u00e9gion, mais le sujet \u00e9tant directement li\u00e9 \u00e0 la n\u00e9cessit\u00e9 de compliance<\/em> des organisations, des initiatives voient r\u00e9guli\u00e8rement le jour dont on ne sait pas encore si elles iront r\u00e9ellement plus loin que les inefficiences pr\u00e9c\u00e9demment constat\u00e9es[11]<\/a>.<\/p>\n

Pour certains, il faudrait reconna\u00eetre que la souverainet\u00e9 absolue reste un v\u0153u pieu en mati\u00e8re de num\u00e9rique[12]<\/a>. Les tenants de cette souverainet\u00e9 num\u00e9rique \u00ab souple\u00a0\u00bb consid\u00e8rent ainsi qu\u2019il peut \u00eatre excessif de voir les fournisseurs de solutions am\u00e9ricaines comme des ennemis et appellent plut\u00f4t au compromis technologique et juridique.<\/p>\n

 <\/p>\n

Le compromis technologique et juridique, la fausse bonne solution\u00a0? <\/strong><\/h2>\n

En 2021, l\u2019Etat fran\u00e7ais s\u2019\u00e9tait montr\u00e9 favorable \u00e0 un \u00ab\u00a0cloud de confiance\u00a0\u00bb m\u00ealant les solutions logicielles am\u00e9ricaines \u00e0 une infrastructure sous seul pavillon fran\u00e7ais\u00a0: le capital social devrait \u00eatre majoritairement d\u00e9tenu par des fran\u00e7ais et donc, a priori<\/em>, \u00e0 l\u2019abri des lois extraterritoriales am\u00e9ricaines. Probablement \u00e0 travers un syst\u00e8me de licences complexe en termes de propri\u00e9t\u00e9 intellectuelle, des am\u00e9ricains tels que Microsoft, Google et Amazon devraient ainsi bient\u00f4t proposer leurs services num\u00e9riques via des entreprises fran\u00e7aises telles que Orange et Capgemini (projet \u00ab\u00a0Bleu\u00a0\u00bb), Thal\u00e8s (projet \u00ab\u00a0S3ns\u00a0\u00bb) ou encore Atos (non encore officiellement d\u00e9voil\u00e9).<\/p>\n

Fausse bonne id\u00e9e, d\u2019apr\u00e8s l\u2019\u00e9cosyst\u00e8me fran\u00e7ais qui pr\u00f4ne une souverainet\u00e9 num\u00e9rique sans concession. Le d\u00e9put\u00e9 Philippe Latombe, rapporteur de la mission d\u2019information \u00ab B\u00e2tir et promouvoir une souverainet\u00e9 num\u00e9rique nationale et europ\u00e9enne \u00bb<\/em>, avait ainsi donn\u00e9 son avis tranch\u00e9 sur le sujet\u00a0en d\u00e9non\u00e7ant \u00e0 la CNIL, l\u2019ANSSI, l\u2019Autorit\u00e9 de la concurrence et la DGCCRF une \u00ab\u00a0tentative d\u2019enfumage\u00a0\u00bb de certains des acteurs concern\u00e9s.<\/p>\n

Il persiste en effet, pour les tenants d\u2019une souverainet\u00e9 num\u00e9rique fran\u00e7aise et europ\u00e9enne absolue, des risques importants de soumission aux lois extraterritoriales am\u00e9ricaines malgr\u00e9 toutes les bonnes intentions affich\u00e9es par les GAFAM.<\/p>\n

 <\/p>\n

Vers un nouvel arr\u00eat \u00ab\u00a0Shrems III\u00a0\u00bb\u00a0?<\/strong><\/h2>\n

Le 7 octobre dernier, la Maison Blanche annon\u00e7ait que le nouvel accord EU-USA aura vocation \u00e0 r\u00e9pondre aux pr\u00e9occupations soulev\u00e9es par la Cour de Justice de l\u2019Union europ\u00e9enne.<\/p>\n

Il est vrai que certains principes du RGPD font leur apparition dans le d\u00e9cret am\u00e9ricain\u00a0: le principe de minimisation[13]<\/a>, mais aussi des consid\u00e9rations relatives \u00e0 la dur\u00e9e de conservation[14]<\/a>, \u00e0 l\u2019obligation de s\u00e9curit\u00e9[15]<\/a>, au principe d\u2019exactitude[16]<\/a>\u2026<\/p>\n

Surtout, c\u2019est la notion europ\u00e9enne de \u00ab\u00a0proportionnalit\u00e9\u00a0\u00bb <\/em>qui y est reprise, directement en lien avec les exigences de la Charte des droits fondamentaux de l\u2019UE de n\u00e9cessit\u00e9 et de proportionnalit\u00e9 quant aux limitations port\u00e9es aux droits et libert\u00e9s reconnues, tels que le droit au respect de la vie priv\u00e9e[17]<\/a> ou \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel[18]<\/a>.<\/p>\n

Est-ce pour autant suffisant\u00a0? Du c\u00f4t\u00e9 de Max Shrems, via son association Noyb, on souligne que si les termes lexicaux utilis\u00e9s sont d\u00e9sormais bien align\u00e9s en accord avec la Commission europ\u00e9enne, la signification juridique que les Etats-Unis donnent \u00e0 la notion de proportionnalit\u00e9 pourrait diff\u00e9rer substantiellement de l\u2019interpr\u00e9tation de la CJUE. D\u2019apr\u00e8s Max Shrems\u00a0: \u00ab\u00a0L’UE et les \u00c9tats-Unis sont d\u00e9sormais d’accord sur l’utilisation du mot \u00ab\u00a0proportionn\u00e9\u00a0\u00bb mais semblent en d\u00e9saccord sur sa signification. En fin de compte, c’est la d\u00e9finition de la CJUE qui pr\u00e9vaudra – ce qui risque de tuer \u00e0 nouveau toute d\u00e9cision de l’UE. La Commission europ\u00e9enne ferme \u00e0 nouveau les yeux sur la loi am\u00e9ricaine, pour permettre de continuer \u00e0 espionner les Europ\u00e9ens.\u00a0\u00bb<\/em>[19]<\/a>.<\/em><\/p>\n

D\u2019autres points majeurs semblent potentiellement mener \u00e0 un futur contentieux devant la CJUE, comme par exemple le nouveau m\u00e9canisme de recours. Le d\u00e9cret met en place une \u00ab\u00a0Data Protection Review Court\u00a0\u00bb<\/em> charg\u00e9e de conna\u00eetre des recours en la mati\u00e8re\u00a0: difficult\u00e9 majeure, il ne s\u2019agira a priori<\/em> pas d\u2019un tribunal ind\u00e9pendant au sens de la Charte, mais d\u2019une entit\u00e9 d\u00e9pendant du pouvoir ex\u00e9cutif am\u00e9ricain. Il est ainsi peu probable que la CJUE consid\u00e8re le recours \u00e0 celle-ci comme un v\u00e9ritable \u00ab\u00a0recours juridictionnel\u00a0\u00bb, ce qui \u00e9tait l\u2019un des principaux motifs d\u2019invalidation du Privacy Shield en 2020.<\/p>\n

Conclusion <\/strong><\/h2>\n

La Commission europ\u00e9enne doit d\u00e9sormais travailler sur la nouvelle d\u00e9cision d\u2019ad\u00e9quation conform\u00e9ment \u00e0 l\u2019article 45 du RGPD, et recueillir ensuite l\u2019avis du Comit\u00e9 europ\u00e9en de protection des donn\u00e9es (EDPB) et des pays membres. Le texte final n\u2019est pas attendu avant le printemps 2023. Ce n\u2019est qu\u2019une fois celui-ci valid\u00e9 qu\u2019il servira de fondement aux responsables de traitement pour le transfert de donn\u00e9es personnelles UE-USA. En tout cas, jusqu\u2019\u00e0 ce qu\u2019il fasse, certainement comme ses deux pr\u00e9d\u00e9cesseurs, l\u2019objet de recours devant les juridictions nationales et europ\u00e9ennes\u2026 Gageons que nous n\u2019en aurons pas fini de sit\u00f4t avec l\u2019ins\u00e9curit\u00e9 juridique en la mati\u00e8re.<\/p>\n

Par Florian de Vaulx<\/p>\n

[1]<\/a> White House, 7 octobre 2022, FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework, Consult\u00e9 en ligne [https:\/\/www.whitehouse.gov\/briefing-room\/statements-releases\/2022\/10\/07\/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework\/] <\/em><\/p>\n

[2]<\/a> Cour de justice de l\u2019Union europ\u00e9enne (CJUE) , Arr\u00eat du 16 juillet 2020, Grande Chambre, affaire C-311\/8 Facebook Ireland et Schrems.<\/p>\n

[3]<\/a> R\u00e8glement (UE) 2016\/679 du Parlement europ\u00e9en et du Conseil du 27 avril 2016 relatif \u00e0 la protection des personnes physiques \u00e0 l’\u00e9gard du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel et \u00e0 la libre circulation de ces donn\u00e9es, et abrogeant la directive 95\/46\/CE.<\/p>\n

g\u00e9n\u00e9ral sur la protection des donn\u00e9es)<\/p>\n

[4]<\/a> European Commission, Questions & Answers : EU-U.S. Data Privacy Framework. Consult\u00e9 en ligne\u00a0[https:\/\/ec.europa.eu\/commission\/presscorner\/detail\/en\/QANDA_22_6045]<\/p>\n

[5]<\/a> Commission europ\u00e9enne, 25 mars 2022, D\u00e9claration de la Pr\u00e9sidente von der Leyen avec le Pr\u00e9sident Biden. Communiqu\u00e9 de presse. Consult\u00e9 en ligne [https:\/\/ec.europa.eu\/commission\/presscorner\/detail\/fr\/STATEMENT_22_2043]<\/p>\n

[6]<\/a> Commission des affaires \u00e9trang\u00e8res, de la d\u00e9fense et des forces arm\u00e9es, 5 octobre 2022, PLF 2023 – Audition de MM. St\u00e9phane Bouillon (SGDSN) de Guillaume Poupard (ANSSI)<\/em>. Consult\u00e9 en ligne [http:\/\/videos.senat.fr\/video.3008437_633b624b3e4ca.plf-2023—audition-de-mm-stephane-bouillon-sgdsn-de-guillaume-poupard-anssi-et-de-de-m-emmanu]<\/p>\n

[7]<\/a> de Maison Rouge, Olivier. 28 juin 2019, Ecole de Pens\u00e9e sur la Guerre \u00e9conomique (EPGE). Consult\u00e9 en ligne [https:\/\/www.epge.fr\/guerre-economique-et-strategie-de-securite-nationale\/]<\/p>\n

[8]<\/a> Cf. supra<\/em><\/p>\n

[9]<\/a> Notamment Cloud Act<\/em>, FISA (section 702) et Executive Order (EO)<\/em> 12333.<\/p>\n

[10]<\/a> CNIL, 14 octobre 2020, \u00ab\u00a0Le Conseil d\u2019\u00c9tat demande au Health Data Hub des garanties suppl\u00e9mentaires pour limiter le risque de transfert vers les \u00c9tats-Unis\u00a0\u00bb. Consult\u00e9 en ligne [https:\/\/www.cnil.fr\/fr\/le-conseil-detat-demande-au-health-data-hub-des-garanties-supplementaires]<\/p>\n

[11]<\/a> Citons ainsi l\u2019exemple de l\u2019\u00e9diteur N\u00b01 mondial Salesforce, qui propose une option de chiffrement bas\u00e9 sur un syst\u00e8me de cache temporaire, mais dont il poss\u00e8de temporairement la cl\u00e9 priv\u00e9e malgr\u00e9 les encapsulations techniques qui tentent de le faire oublier. Une annonce r\u00e9cente semble vouloir aller plus loin en y m\u00ealant des gestionnaires ext\u00e9rieurs de cl\u00e9s tels qu\u2019Atos et Thal\u00e8s, pas s\u00fbr cependant que cela ne change grand-chose au constat pr\u00e9c\u00e9dent\u00a0: peu importe qui g\u00e9n\u00e8re et d\u00e9tient la cl\u00e9 de d\u00e9chiffrement, d\u00e8s lors qu\u2019elle est n\u00e9cessairement partag\u00e9e au fournisseur de solution \u00e0 un moment ou \u00e0 un autre.<\/p>\n

[12]<\/a> Cf. supra<\/em> Guillaume Poupard, audition devant la Commission des affaires \u00e9trang\u00e8res, de la d\u00e9fense et des forces arm\u00e9es, 5 octobre 2022, PLF 2023 – Audition de MM. St\u00e9phane Bouillon (SGDSN) de Guillaume Poupard (ANSSI)<\/em>.<\/p>\n

[13]<\/a> III, (A) in<\/em> Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, 7 octobre 2022, consultable en ligne [https:\/\/www.whitehouse.gov\/briefing-room\/presidential-actions\/2022\/10\/07\/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities\/]<\/p>\n

[14]<\/a> III, (A), (2) (b) Ibid<\/em><\/p>\n

[15]<\/a> III, (B) Ibid<\/em><\/p>\n

[16]<\/a> III, (C) Ibid<\/em><\/p>\n

[17]<\/a> Article 7 de la Charte des droits fondamentaux de l\u2019Union europ\u00e9enne<\/p>\n

[18]<\/a> Article 8 Ibid<\/em><\/p>\n

[19]<\/a> NOYB, 7 octobre 2022, \u00abPremi\u00e8re r\u00e9action : Le d\u00e9cret sur la surveillance am\u00e9ricaine a peu de chances de satisfaire au droit europ\u00e9en\u00a0\u00bb. <\/em>Consultable en ligne\u00a0[https:\/\/noyb.eu\/fr\/le-nouveau-decret-americain-peu-de-chances-de-satisfaire-la-legislation-europeenne<\/a>]<\/p>\n

<\/p>\n

 <\/p>\n

Retrouvez l’int\u00e9gralit\u00e9 de notre article publi\u00e9 \u00e0 la Revue Lamy du droit de l’immat\u00e9riel :<\/p>\n

\"\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Ce mois d\u2019octobre, d\u00e9clar\u00e9 mois de la cybers\u00e9curit\u00e9 par l\u2019ANSSI, ne manquait pas d\u2019actualit\u00e9s \u00e0 commenter et l\u2019une d\u2019elles \u00e9tait particuli\u00e8rement attendue\u00a0: la signature d\u2019un d\u00e9cret ex\u00e9cutif par le pr\u00e9sident Biden le 7 octobre 2022[1] \u00a0afin d\u2019avancer, enfin, sur la question majeure du transfert des donn\u00e9es personnelles entre l\u2019Union europ\u00e9enne et les Etats-Unis.<\/p>\n","protected":false},"author":1,"featured_media":1240,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21],"tags":[],"class_list":["post-1228","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-doctrine"],"_links":{"self":[{"href":"https:\/\/www.datasure.net\/es\/wp-json\/wp\/v2\/posts\/1228","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.datasure.net\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.datasure.net\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.datasure.net\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.datasure.net\/es\/wp-json\/wp\/v2\/comments?post=1228"}],"version-history":[{"count":9,"href":"https:\/\/www.datasure.net\/es\/wp-json\/wp\/v2\/posts\/1228\/revisions"}],"predecessor-version":[{"id":1234,"href":"https:\/\/www.datasure.net\/es\/wp-json\/wp\/v2\/posts\/1228\/revisions\/1234"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.datasure.net\/es\/wp-json\/wp\/v2\/media\/1240"}],"wp:attachment":[{"href":"https:\/\/www.datasure.net\/es\/wp-json\/wp\/v2\/media?parent=1228"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.datasure.net\/es\/wp-json\/wp\/v2\/categories?post=1228"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.datasure.net\/es\/wp-json\/wp\/v2\/tags?post=1228"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}