.svg)
Dans notre série The Privacy Soapbox, nous donnons la parole aux professionnels de la privacy et aux membres de notre industrie qui souhaitent partager leurs points de vue, leurs histoires et leurs perspectives sur la protection des données. Les auteurs contribuent à ces articles à titre personnel. Les opinions exprimées sont les leurs et ne représentent pas nécessairement celles de Didomi.
Vous avez quelque chose à partager et souhaitez prendre la parole ? Contactez-nous à blog@didomi.io.
Dans le registre des choses qui n’apparaissent que pour quelques temps avant de tirer leur révérence définitive, le temps est venu d’évoquer le Data Privacy Framework, fébrile papillon de nuit conçu au crépuscule de la Commission Européenne, éclos dans le vivarium climatisé des échanges diplomatiques transatlantiques, et se préparant déjà, deux ans à peine après ses premières heures de vol, à voir rôtir ses ailes sur la lampe bleuâtre (ou blanche) de la Cour de Justice de l’Union Européenne.
Que faire d’un tel instrument juridique ?
Les professionnels de la protection des données personnelles ont bien sûr l’habitude d’avoir recours au concept de privacy-by-design. Ce principe, qu’on trouve exprimé à l’article 25 du RGPD, impose que la protection des données personnelles soit prise en compte dès les premières lignes de code. En théorie, c’est le moment où le droit et la technique prennent un matcha latte ensemble sur un coin de terrasse qu’inonde un franc rayon de soleil. En pratique, on assiste plutôt à une partie de cache-cache entre juristes et développeurs, les uns armés de leur checklist de conformité, les autres de leur roadmap. Dans tous les cas de figure, la convivialité est au rendez-vous. Annulez vos séminaires d’entreprise, pour amuser vos équipes, il suffit en réalité d’appliquer le privacy-by-design.
Mais aussi sympathique que puissent être ses attraits dans le monde de l’entreprise, appliquer le concept de privacy-by-design aux transferts de données a de quoi présenter un cas de conscience d’envergure à n’importe quel DPO. Car si l’on prend sa mission au sérieux, si l’on entend sincèrement amener sa pierre à l’édifice de la protection des données personnelles, ne faudrait-il pas purement et simplement ignorer toute décision d’adéquation, qu’elle se nomme Safe Harbor, Privacy Shield ou Data Privacy Framework ? Autrement dit, est-ce qu’appliquer le privacy-by-design tout en ayant recours au Data Privacy Framework, c’est-à-dire à une base légale doomed-by-design, n’est pas de nature à constituer une faute professionnelle ?
Car il l’est “doomed” le Data Privacy Framework tant en la matière les décisions d’adéquation apparaissent aussi vite qu’elles disparaissent. Elles s’en vont si rapidement qu’on a à peine le temps de s’attacher ; sitôt leurs quelques nuances maîtrisées, faut-il déjà présenter ses adieux. Faisons les comptes. Quinze malheureuses années pour le Safe Harbor, quatre pour le Privacy Shield et, selon toute vraisemblance, une poignée pour le Data Privacy Framework. Si l’on ignore pour l’instant l’intitulé de la prochaine version, nul doute pourtant qu’une nouvelle décision d’adéquation verra le jour pour prendre le relais si (quand ?) le Data Privacy Framework est invalidé.
Je profite d’ailleurs de cet article pour faire quelques suggestions aux négociateurs internationaux qui s’occuperont de l’étanchéité de nos vies privées à venir. Si d’instinct je militerais sans retenue, à prendre les armes, pour le “Digital Bridge”, renouant ainsi avec la tradition d’une image rassurante (Shield, Harbor, Bouclier, Port-de-plaisance, Pont, Rivière, Clair de lune, Hululement de chouettes par un soir d’été, etc.), un consensus se formera sans doute pour le plus honnête quoique désespérant “Provisional Compliance Mechanism”, même si c’est sans nul doute avec le “Schrems-Resistant Framework” qu’on toucherait au plus près à une forme de vérité.
Bref, sans euphémisme ni détour, il me semble que toute décision d’adéquation, dès lors qu’elle porte sur des transferts de données entre l’Europe et les Etats-Unis, possède à peu près autant de chances de s’en sortir qu’une prestigieuse villa napolitaine construite près du Vésuve. Le Data Privacy Framework aurait donc un destin, un destin définitif et semblable à celui de Pompéi ou d’Herculanum, c’est-à-dire qu’il finira enseveli sous plusieurs mètres de cendres. Et ceci indépendamment de l’ingéniosité des juristes à l’origine du dispositif final, quel que soit l’esprit de joaillerie qui aura animé ces pauvres créatures humaines. Un destin, ça s’accomplit, voilà tout. Car il est certain qu’il finira par tomber, comme il est clair que même le Schrems-Resistant Framework tombera lui aussi, fut-ce à cause d’un autre que Schrems. Pourquoi cette fragilité d’origine me demanderez-vous ? Tout simplement parce que le volcan n’en finit plus d'éructer, parce que les données n’en finissent plus de sortir du cratère brûlant de nos économies numériques.
La nouveauté concernant le Data Privacy Framework, c’est que de l’autre côté de l’Atlantique il a aussi été conçu sur les bases d’une solidité douteuse, sur les prémices d’un décret présidentiel gravé dans le sable. Ce qui signifie qu’à chaque nouvelle marée, à chaque nouvelle élection, il risque l’effacement par le ressac. A ce sujet, on suivra particulièrement la marée trumpienne laquelle, en foutant à la porte trois de ses quatre membres parce qu’ils étaient démocrates, a déjà privé d’effectivité l’organe le plus important du Data Privacy Framework, à savoir le Civil Liberties Protection Officer (CLPO), c’est-à-dire le guichet où sont étudiées les plaintes formulées par les citoyens européens. Ayant érigé cette institution en pilier du Data Privacy Framework, la Commission Européenne se distingue par son silence face à son effondrement.
C’est donc désormais des deux côtés du lac (across the pond) que le Data Privacy Framework est menacé dans son maintien. Jamais auparavant nous n’avions connu instrument juridique plus frêle. Colosse au pied d’argile, cathédrale juridique posée sur un fil, symphonie légale sur un échafaudage, nombreuses sont les métaphores qu’on pourrait utiliser pour décrire la précarité du Data Privacy Framework.
Dans ces conditions, comment faire pour éviter un burn out par an, se demandera n’importe quel DPO ? C’est un sujet que nous évoquerons dans un prochain article.
.avif.avif){kind=tracking}
