Le droit de la protection des données, comme n’importe quelle loi, s’applique principalement dans le pays dont il émane. Les normes légales en matière de protection des données vont généralement un peu plus loin en obligeant celui qui traite ou exporte des données dans un autre pays à assurer une protection minimale, en général au moins la même protection que celle qui est garantie dans le pays d’origine, pour les données qui ne sont plus dans le pays. Ainsi la Loi fédérale sur la protection des données exige de celui qui exporte des données dans un pays n’offrant pas le même niveau légal de protection que des garanties particulières soient apportées (par le biais d’un contrat) ou que la personne dont les données sont traitées en soit informé et donne son accord.
En revanche, le droit du pays A ne pourra jamais empêcher le droit du pays B de s’appliquer dans le pays B. Cela s’applique aussi en matière de protection des données : les données exportées depuis le pays A vers le pays B devront respecter le droit du pays A (essentiellement pour les protections qu’il apporte) et celui du pays B (en particulier les autres lois). Il peut s’agir par exemple de lois de procédure, de lois fiscales ou de lois sur les services de renseignement. Le Foreign Intelligence Surveillance Act américain (FISA) permet au Gouvernement américain d’obtenir facilement des informations concernant des personnes qui ne sont pas des résidents U.S. (ceux-ci étant exclus de la protection offerte par le 4e Amendement et ne bénéficiant pas de la possibilité de saisir une autorité judiciaire). Les pays membres de la Convention européenne des droits de l’Homme assurent en revanche une protection similaire aux ressortissants nationaux et aux étrangers.
Bien réfléchir où l’on héberge ses données
Alors que presque l’intégralité des données américaines sont hébergées aux USA ou par des sociétés américaines, seul un tiers des données européennes le sont en Europe ou par des sociétés européennes. L’explication est simple: la très grande majorité des fournisseurs de services d’hébergement sont américaines (comme Amazon, Apple, Google, Microsoft,…). Au regard de ce que nous avons écrit plus haut, cela signifie aussi que deux tiers des données européennes sont soumises à des règles étrangères (notamment en matière d’accès aux données), règles sur lesquelles le droit national du pays d’origine n’a aucune influence. La solution n’est guère différente en Suisse.
Il est essentiel de regarder plus loin que le simple respect de la conformité au droit. Une société ne sera guère heureuse de voir ses données transmises à une autorité étrangère ou une société concurrente, de même que le client final d’une société commerciale n’appréciera guère de voir ses données personnelles rendues accessibles à l’étranger, et cela même si la loi est respectée. De plus, une fois que les données ont été transmises ou enregistrées, la suppression des données originales ne supprimera pas les copies.
Personne n’aurait l’idée d’aller mettre une liasse de documents confidentiels dans le coffre-fort d’une société en faillite ou dont les affaires sont sujettes à caution, dans l’armoire sans clé d’un local ouvert au public et où le risque d’inondation est important, ou encore dans un pays politiquement et économiquement instable. Pourtant lorsqu’il s’agit d’héberger des données informatiques, le choix se porte souvent sur la solution la moins chère, sans se poser la question de savoir où et par qui les données seront traitées, à quelles conditions, si un sous-traitement est autorisé, etc. Il n’est guère moins inquiétant d’avoir des données sur une feuille imprimée dans un local ouvert que des données sur un serveur facilement accessible dans un pays inconnu. Des données sont également souvent hébergées à l’étranger sans que le responsable le sache ou en ait conscience (le fonctionnaire qui synchronise par exemple son agenda ou sa messagerie professionnelle avec son iPhone personnel qui utilise iCloud stocke ainsi des données aux USA, y compris des données étatiques qui ne devraient pas quitter le pays…).
Le choix d’un sous-traitant (y compris un simple hébergeur de données) dépendra donc d’abord du type de données traitées. On prendra ensuite garde aux pays concernés, aux possibilités de déléguer le traitement, aux devoirs d’information du sous-traitant (en cas de faille de sécurité, de transmission de données, etc.), aux garanties apportées et aux possibilités d’indemnisation. Des moyens techniques sont également judicieux comme le cryptage des données ou la répartition des données chez différents sous-traitants, de sorte que les données présentes chez un fournisseur ne puissent pas être lues sans l’autre partie.
Dans certains cas, la seule solution sera un hébergement dans le même pays (voire pour l’Etat sur ses propres serveurs) ou limité à quelques pays. La limitation s’applique tant à la «nationalité» de la société qui gère les données que du lieu où sont les données. C’est également une opportunité réelle pour les entreprises suisses (et européennes) que de proposer des services d’hébergement de qualité et avec une garantie du lieu où les données seront traitées.
13 février 2013 at 09:47
Je croyais que le US/EU-Europe divide était parfois trop marqué 😉 … Quid de l’accès à nos données par les services d’intelligence et de renseignement européens ? Est-ce mieux 😉 ?
13 février 2013 at 21:03
Dans certains domaines la protection effective des données est assez semblable je maintiens, mais dans d’autres il y a de grands écarts.
Cela va dépendre d’un pays à l’autre certainement mais la CEDH pose quand même un cadre légal, et cela indistinctement du lieu de résidence ou de la nationalité. Un contrôle judiciaire demeure possible.
D’autre part, et de manière très pragmatique, si je suis dans un pays A et que je conserve mes données dans ce pays A, seul les services de renseignement du pays A pourront obtenir mes données (du moins directement) et j’ai généralement conscience de ce risque, alors que si je suis dans un pays A et que j’héberge mes données dans le pays B chez une société du pays C, alors les pays A, B et C auront accès à mes données. Et il semble que peu de personnes en ont conscience.