14 février 2022

Temps de lecture : 3 min

Valérie Chavanne : « Une donnée qui ne circule pas ne sert à rien »

Avocate spécialisée en droit des nouvelles technologies et fondatrice de LegalUP Consulting, Valérie Chavanne a dirigé les travaux du livre blanc #DataTransfer, les données au service de la souveraineté européenne, publié à l’automne 2021 par le think tank La villa Numeris. Cette réflexion propose des solutions pour que les entreprises européennes puissent transférer leurs données en toute sécurité juridique dans le cadre réglementaire actuel. L'interview a été publiée dans la revue numéro 38, intitulée Data, cette nouvelle identité. Pour vous abonner à INfluencia, c'est ici !  
INfluencia : Pourquoi les transferts de données auxquels est consacré le livre blanc #DataTransfer sont-ils devenus si stratégiques ?

Valérie Chavanne  :  une donnée qui ne circule pas ne sert à rien. Les transferts de données ont donc toujours représenté un point d’attention stratégique pour les États. La directive européenne de 1995, ancêtre du Règlement général sur la protection des données (RGPD), s’attachait déjà à établir des règles claires concernant les transferts. Bien avant le développement fulgurant des infrastructures numériques sur lesquelles reposent désormais nos sociétés et qui rendent cette question d’autant plus pressante ! La maîtrise des transferts de données personnelles est donc devenue essentielle pour éviter une potentielle ingérence d’autorités étrangères, protéger les valeurs démocratiques européennes – notamment le droit à la vie privée et à la protection des données de ses citoyens – et combattre toute vassalisation économique ou technologique.

IN : le RGPD ne répond-il pas à ces objectifs ?

V.C. :  la vision et les objectifs du RGPD s’accordent tout à fait avec la défense d’une stratégie européenne autour de la notion de souveraineté. Mais les textes ne sont rien sans leur interprétation et leur implémentation pratique. C’est à ce niveau que nous développons notre critique de la situation juridique actuelle.

IN : de quel ordre sont les problèmes ?

V.C. :  les transferts de données des citoyens européens vers des pays tiers à l’Union européenne (UE) sont soumis à des règles édictées par le RGPD. Dès que des données à caractère personnel sont traitées par un acteur américain, celui-ci est soumis aux règles de surveillance des États-Unis, peu importe la localisation géographique. C’est en se basant sur ces lois que la Cour de justice de l’Union européenne a invalidé le Safe Harbor, puis le Privacy Shield en 20202. Au-delà de la révocation brutale du mécanisme de transfert vers les États-Unis, cette seconde invalidation a fragilisé le recours à l’alternative des « clauses contractuelles types ». Chaque acteur est désormais renvoyé à une « analyse au cas par cas » pour déterminer la légalité des transferts. Une telle situation n’est ni opérationnelle ni satisfaisante en termes de sécurité juridique. Afin de contourner ces obstacles, nous voyons se développer des formes de licences permettant l’implémentation de solutions, par exemple américaines, par des acteurs européens. L’objectif étant de ne pas être soumis aux législations extraterritoriales et, pour les acteurs américains, ne pas être obligés de répondre à une sollicitation de leurs autorités nationales concernant les données de citoyens européens.

La souveraineté numérique européenne ne pourra être que le résultat d’une volonté politique affirmée, soutenue par un investissement concret durable.

IN : le livre blanc préconise une stratégie en deux temps pour atteindre cette souveraineté européenne. Ne risque-t-on pas de s’enliser dans les compromis de court terme avant d’atteindre l’objectif final ?

V.C. :  c’est un danger que nous ne pouvons en aucun cas sous-estimer. Les solutions technologiques opérationnelles que nous suggérons ne sont pas des solutions miracles. Elles visent à rester dans la réglementation et à pouvoir opérer en attendant de trouver une solution européenne. Il faudra rester vigilants et mesurer notre capacité à trouver des alternatives pour progresser vers cet objectif de long terme en renforçant les infrastructures ou en développant des technologies. Pas pour que l’Europe se replie sur elle-même, mais pour qu’elle puisse continuer à travailler avec tout le monde en opérant des choix au sein d’un millefeuille réglementaire et d’une fragmentation mondiale de plus en plus importante sur la protection des données personnelles2.

IN :  en Europe, la volonté politique pour protéger les données est plus forte que par le passé. Quels éléments vous semblent de nature à peser suffisamment pour changer la donne ?

V.C. :  la prise de conscience par les citoyens européens et les États membres autour des enjeux sur la protection des données personnelles est aujourd’hui l’élément déterminant. L’Europe devra aussi se donner les moyens de ses ambitions, qui passeront par la formation des talents et des financements très importants de sociétés tech. La souveraineté numérique européenne ne pourra être que le résultat d’une volonté politique affirmée, soutenue par un investissement concret durable.

 

(1) A l’issue d’une saga juridique lancée en 2013 contre Facebook par l’activiste autrichien Max Schrems après les révélations d’Edward Snowden, deux arrêts dits « Schrems I et II » de la Cour de justice de l’Union européenne ont invalidé le cadre dans lequel se faisait jusqu’alors les échanges de données transatlantiques.

(2) A la suite du règlement européen de 2018, plusieurs territoires se sont dotés de leur propre RGPD, comme le California Consumer Privacy Act (CCPA), en vigueur depuis janvier 2020, ou le Personal Information Protection Law (PIPL) chinois, lancé le 1er novembre 2021.

 

En résumé

Le livre blanc #DataTransfer, les données au service de la souveraineté européenne, réalisé par  La villa numeris sous la direction de Valérie Chavanne et Quentin Roland, avocats chez LegalUP Consulting, a été publié à l’automne 2021.

Allez plus loin avec Influencia

the good newsletter

LES FORMATIONS INFLUENCIA

les abonnements Influencia