Joe Biden restreint les flux de données vers les pays "préoccupants" : quelles conséquences ?

"Les citoyens américains méritent d'avoir l'esprit tranquille car leurs données sensibles (...) sont protégées des pays préoccupants", a déclaré le président des Etats-Unis Joe Biden lors de la signature, le 28 février 2024, d'un executive order "historique" visant à restreindre les flux de données personnelles. La liste de pays concernés a été publiée. Il s'agit de la Chine, Hong Kong, la Corée du Nord, la Russie, l'Iran, Cuba et le Venezuela. Autrement dit, des pays avec lesquels les Etats-Unis entretiennent des relations diplomatiques compliquées. 

Ce décret présidentiel "invite le ministère de la Justice à édicter des règles pour protéger les données sensibles des Américains et du gouvernement ainsi que le procureur de la République et les agences gouvernementales à contrôler la vente de données sensibles à des courtiers", résume Fabrice Naftalski, avocat au sein d'EY Société d'Avocats et spécialisé dans la protection des données personnelles, sollicité par L'Usine Digitale. 

Les données des Américains et du gouvernement

Dans les détails, ce texte vise à protéger deux catégories de données. Les premières sont "les données personnelles sensibles des Américains", c'est-à-dire "les données génomiques, les données biométriques, les données personnelles de santé, les données de géolocalisation, les données financières et certains types d'informations personnellement identifiables". Fabrice Naftalski précise que cette liste ne recoupe pas tout à fait celle de l'article 9 du Règlement général sur la protection des données qui encadre les données dites "sensibles". "Contrairement à ce que prévoit l'executive order, les données financières n'y figurent pas", indique-t-il. 

La seconde catégorie inclut "les données sensibles liées au gouvernement". Le texte précise "y compris les informations de géolocalisation sur les sites gouvernementaux sensibles et les informations sur les militaires".  

Encadrer la revente de données sensibles

Dans le viseur de Washington se trouvent les courtiers en données, ces entreprises qui récupèrent des données puis les revendent. Or, ils peuvent "vendre ces données à des pays préoccupants ou à des entités contrôlées par ces pays et elles peuvent tomber entre les mains de services de renseignements étrangers, d'armées ou d'entreprises contrôlées par des gouvernements étrangers", peut-on lire dans la fiche d'information du décret présidentiel. D'où l'idée de contrôler précisément à qui sont revendues ces informations. 

La notion de "courtier en données" ou data brokers est très floue, estime l'avocat. C'est un marché très répandu aux Etats-Unis car la réglementation sur les données personnelles y est très fragmentée, ce qui laisse une grande liberté aux acteurs économiques de monétiser les données dont ils ont la charge. "C'est vrai qu'il y a beaucoup d'entreprises américaines qui vendent des fichiers de données dont il ont la disposition", fait-il remarquer. 

Or, mises dans les mains d'acteurs malveillants, ces données peuvent servir à mener des opérations d'espionnage, de contre-espionnage, de chantage et "d'autres risques pour la sécurité nationale, en particulier pour les membres de la communauté militaire", note la Maison-Blanche. 

Un contrôle des subventions 

Le texte prévoit également la mise en place "d'un contrôle des subventions de l'Etat à des groupes étrangers qui sont susceptibles de communiquer les données des Américains à des puissances étrangères", ajoute le juriste. C'est ainsi que les ministères de la Santé et des Services sociaux, de la Défense et des Anciens combattants devront contribuer à garantir que les subventions ne soient pas utilisées pour "faciliter l'accès aux données sensibles sur la santé des Américains par des pays préoccupants, y compris via des entreprises situées aux Etats-Unis". En pratique, Fabrice Naftalski pense qu'il reviendra "au ministère public et aux agences du gouvernement" d'enquêter. Un mécanisme de liste, "voire de liste noire", pourrait être développé, ajoute-t-il. 

Mais ce texte ne se limite pas à l'accès direct des données par des pays qualifiés de "préoccupants". En effet, le décret s'applique également aux "entités détenues par, et les entités ou individus contrôlés par ou soumis à la juridiction ou à la direction d'un pays préoccupant, peuvent permettre au gouvernement d'un pays préoccupant d'accéder indirectement à ces données". Le texte cite comme exemple "un pays préoccupant" qui possède "des lois sur la cybersécurité, la sécurité nationale ou les renseignements" qui obligent "ces entités ou individus" à "permettre aux services de renseignements de ce pays d'accéder aux données personnelles sensibles (...)". 

Quelles conséquences pour les entreprises européennes ? 

Quid des conséquences sur les entreprises européennes ? Il faut distinguer les entreprises qui opèrent sur le territoire américain de celles qui n'y sont pas présentes. Les premières seront "plus facilement contrôlées tant par rapport à leur actionnariat que par rapport aux fonds utilisés et aux technologiques utilisées", explique l'avocat. Les secondes, celle qui n'opèrent pas sur le territoire américain, ne semblent pas être concernées directement par l'executive order. A condition qu'elles n'utilisent pas de technologie développée par l'une des puissances étrangères citées. Auquel cas "on pourrait imaginer qu'elles soient affectées", ajoute-t-il. Serait-ce une nouvelle illustration de la tendance américaine de légiférer en dehors de ses frontières, connu sous la notion d'extraterritorialité des lois ? 

A noter que ces considérations sont hypothétiques puisque aucun texte n'a encore été adopté en application du décret présidentiel. "Il faudra voir comment le ministère de la Justice va rédiger l'ensemble des mesures, indique le juriste. Pour un executive order, je ne serai pas trop vous dire jusqu'où peut aller l'extraterritorialité..." En effet, en principe, les textes américains ayant une portée extraterritoriale ont la qualité de loi, c'est-à-dire qu'ils ont été adoptés par le Congrès. Un executive order relève du pouvoir exécutif et non législatif.

Et sur le Data Privacy Framework ?

L'Usine Digitale se demandait également si ce texte pourrait avoir des conséquences sur le Data Privacy Framework, le nouveau texte qui encadre les flux de données personnelles entre l'Union européenne et les Etats-Unis, successeur du Privacy Shield. "De prime abord, je ne pense pas qu'il y ait un impact direct, estime le juriste. Mais le diable se cache dans les détails : il faudra bien regarder comment les textes sont rédigés." Il ajoute : "je ne suis pas certain que ce soit les données des citoyens européens que le ministère de la Justice, le ministère public et les agences gouvernementales souhaitent vouloir contrôler". 

Pour Fabrice Naftalski, une chose est sûre : ce texte est "un appel du pied" au Congrès pour l'adoption d'une loi fédérale sur la protection des données personnelles après "plusieurs dizaines de tentatives de projets de loi fédérale pendant les deux derniers mandats". Accumulant les lois sectorielles et celles adoptées par chaque Etat, le paysage législatif est particulièrement complexe pour les entreprises. "C'est un message pour dire que les Etats-Unis ne peuvent pas se permettre aujourd'hui de ne pas avoir de cadre juridique robuste en matière de protection des données", analyse-t-il.

Protectionnisme versus mondialisation

Ce texte s'inscrit également dans une période bien particulière, celle de la campagne électorale. L'occasion pour Joe Biden de montrer "au grand public qu'il est extrêmement attentif à la protection des données des citoyens". "Bien sûr, ce n'est pas le premier objectif, c'est un objectif par ricochet", précise l'expert. Le président semble également vouloir montrer son attachement à la libre circulation des flux de données en énonçant que "les Etats-Unis sont déterminés à promouvoir (...) une économie mondiale dynamique en favorisant les flux de données transfrontaliers nécessaires au commerce international".