Bonne question. La question de la conformité au droit se pose sans doute, pour beaucoup d'acteurs (entreprises, personnages politiques) comme la question «qu'est-ce que je risque si je confie des données personnelles à des entreprises états-uniennes ?».
Et là, il y a deux théories qui s'affrontaient. D'un côté, les personnes qui vont s'intéresser un peu aux principes et dire que c'est irréaliste. De l'autre, des personnes qui se présenteront comme plus pragmatiques, avec implicitement le raisonnement suivant : j'ai besoin de confier mes données à des entreprises états-unienne parce que je ne sais pas/je ne veux pas faire autrement, donc il faut bien que ce soit légal (mais ma vision est sans doute biaisée).
Dans ce deuxième camp, la commission européenne a défendu l'idée qu'il suffisait d'un petit accord entre les USA et l'union Européenne pour que les pays européens puissent exporter des données personnelles aux USA. Elle a mis en place un premier accord (Safe Harbor) pour cela (c'était avant le RGPD).
À partir du moment où il y a cet accord, tout un chacun peut faire semblant qu'il n'y a pas de problème : «mon entreprise confie des données personnelles à des entreprises états-uniennes, mais ce n'est pas un problème sur le plan du droit [comprendre : je ne risque rien], regardez d'ailleurs cet accord de l'union européenne avec les USA le dit clairement».
C'est ainsi que MS peut se faire certifier HDS et prétendre que c'est complètement légal.
L'accord s'est fait retoquer par la cour de Justice de l'union européenne, qui a considéré que la législation états-unienne était incompatible avec l'«essence» même du droit à la vie privée. Le terme «essence» est dans le texte du jugement et, bien que je ne sois pas juriste, il me paraît extrêmement fort. Ça veut dire qu'il est impossible de réparer la directive Safe Harbor.
Cela n'a pas découragé la commission, qui a proposé un deuxième accord (Privacy Shield). Celui-ci a été invalidé par la CJUE en 2020. Et la commission européenne prépare un nouveau texte.
J'ai dit qu'il y avait deux théories qui s'affrontaient (à l'imparfait), parce que je pense qu'il n'y a plus vraiment d'affrontement : la théorie qui affirmait qu'on pouvait envoyer les données aux USA a quasiment perdu la bataille des idées. En raison de l'affaire Snowden, du Cloud Act, et des deux invalidations des accords existants plus celle, probable, du futur accord (Max Schrems dit déjà qu'il le fera invalider), il devient difficile de plaider qu'on peut confier des données personnelles à une entreprise états-unienne.
Dans ce contexte, il me semble qu'il serait erroné de penser que la prise de position récente de l'éducation nationale citée dans l'article est quelque chose de mineur (prise de position qui suit la doctrine édictée récemment par la DINUM). C'est à mon avis un basculement majeur de l'éducation nationale, qui sera suivi par les autres ministères. Et pour répondre à un autre commentaire : y compris dans les universités. Car quelle que soit la difficulté techniques pour quitter les GAFAM, les services juridiques vont alerter les directions ministérielles/des universités/des rectorats pour leur signaler qu'il y a un risque fort. Et je vois mal ces directions ne pas écouter leurs services juridiques...
Ça ne veut évidemment pas dire qu'on va basculer du «tout GAFAM» à du «tout logiciel libre» d'ici quelques mois. Il y aura évidemment des résistances fortes des GAFAM qui feront tout pour retarder l'évolution. Mais il y a, à mon avis, une tendance de fond qu'ils auront du mal à stopper.
[^] # Re: Question d'un non spécialiste du sujet
Posté par judicael . En réponse à la dépêche Réponse du ministre de l'Éducation Nationale française à une question parlementaire sur Office 365. Évalué à 2.
Bonne question. La question de la conformité au droit se pose sans doute, pour beaucoup d'acteurs (entreprises, personnages politiques) comme la question «qu'est-ce que je risque si je confie des données personnelles à des entreprises états-uniennes ?».
Et là, il y a deux théories qui s'affrontaient. D'un côté, les personnes qui vont s'intéresser un peu aux principes et dire que c'est irréaliste. De l'autre, des personnes qui se présenteront comme plus pragmatiques, avec implicitement le raisonnement suivant : j'ai besoin de confier mes données à des entreprises états-unienne parce que je ne sais pas/je ne veux pas faire autrement, donc il faut bien que ce soit légal (mais ma vision est sans doute biaisée).
Dans ce deuxième camp, la commission européenne a défendu l'idée qu'il suffisait d'un petit accord entre les USA et l'union Européenne pour que les pays européens puissent exporter des données personnelles aux USA. Elle a mis en place un premier accord (Safe Harbor) pour cela (c'était avant le RGPD).
À partir du moment où il y a cet accord, tout un chacun peut faire semblant qu'il n'y a pas de problème : «mon entreprise confie des données personnelles à des entreprises états-uniennes, mais ce n'est pas un problème sur le plan du droit [comprendre : je ne risque rien], regardez d'ailleurs cet accord de l'union européenne avec les USA le dit clairement».
C'est ainsi que MS peut se faire certifier HDS et prétendre que c'est complètement légal.
L'accord s'est fait retoquer par la cour de Justice de l'union européenne, qui a considéré que la législation états-unienne était incompatible avec l'«essence» même du droit à la vie privée. Le terme «essence» est dans le texte du jugement et, bien que je ne sois pas juriste, il me paraît extrêmement fort. Ça veut dire qu'il est impossible de réparer la directive Safe Harbor.
Cela n'a pas découragé la commission, qui a proposé un deuxième accord (Privacy Shield). Celui-ci a été invalidé par la CJUE en 2020. Et la commission européenne prépare un nouveau texte.
J'ai dit qu'il y avait deux théories qui s'affrontaient (à l'imparfait), parce que je pense qu'il n'y a plus vraiment d'affrontement : la théorie qui affirmait qu'on pouvait envoyer les données aux USA a quasiment perdu la bataille des idées. En raison de l'affaire Snowden, du Cloud Act, et des deux invalidations des accords existants plus celle, probable, du futur accord (Max Schrems dit déjà qu'il le fera invalider), il devient difficile de plaider qu'on peut confier des données personnelles à une entreprise états-unienne.
Dans ce contexte, il me semble qu'il serait erroné de penser que la prise de position récente de l'éducation nationale citée dans l'article est quelque chose de mineur (prise de position qui suit la doctrine édictée récemment par la DINUM). C'est à mon avis un basculement majeur de l'éducation nationale, qui sera suivi par les autres ministères. Et pour répondre à un autre commentaire : y compris dans les universités. Car quelle que soit la difficulté techniques pour quitter les GAFAM, les services juridiques vont alerter les directions ministérielles/des universités/des rectorats pour leur signaler qu'il y a un risque fort. Et je vois mal ces directions ne pas écouter leurs services juridiques...
Ça ne veut évidemment pas dire qu'on va basculer du «tout GAFAM» à du «tout logiciel libre» d'ici quelques mois. Il y aura évidemment des résistances fortes des GAFAM qui feront tout pour retarder l'évolution. Mais il y a, à mon avis, une tendance de fond qu'ils auront du mal à stopper.