[Dossier] Les États-Unis, le RGPD et Max Schrems

[Générique] L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni au x libertés individuelles ou publiques.

[Aeris] Bonjour et bienvenue dans le septième épisode de RdGP, le podcast sérieux qui vous emmène au cœur des enjeux des droits numériques, des libertés individuelles et de la vie privée. Bonjour Benjamin.

[Benjamin] Bonjour Aeris, alors aujourd'hui on va vous raconter une petite histoire, une petite histoire autrichienne, l'histoire de Max Schrems.

[Benjamin] au pays de Facebook.

[Benjamin] Alors notre histoire commence en 2012.

[Benjamin] Et donc c'est l'histoire du petit Max Schrems que Aeris va nous raconter ce soir.

[Aeris] Donc Max Schrems est un petit étudiant à l'époque qui a 25 ans, qui milite pas mal dans le milieu de la vie privée, qui est aussi actif, pas sur le RGPD, puisque du coup 2012 il n'y avait pas encore le RGPD, mais il y avait les directives vie privacie, il y avait les directives 95.

[Aeris] existait, qui sont des textes à peu près équivalents à...

[Benjamin] dont on avait parlé dans le tout premier épisode de RdGP

[Aeris] C'est ça, sur l'historique en fait, c'est vraiment des textes qui sont quasiment équivalents aux...

[Benjamin] RGPD

[Aeris] RGPD et pas RdGP. Et du coup, lui ce qu'il voulait c'était surtout la publicité ciblée. Il avait déjà plusieurs plaintes contre Facebook à l'époque.

[Aeris] pour des problèmes de publicité ciblée où Facebook est trop intrusif sur les données des gens.

[Benjamin] Je vois. En fait il en avait marre que tout le monde ait à subir les publicités ultra ciblées de Facebook. Et donc il installait un bloqueur de pub et c'est la fin de notre histoire.

[Aeris] Ah bah si c'était ça, ça aurait été facile pour eux, mais non, malheureusement il s'est un peu plus accroché que ça. Et donc il a essayé d'aller avec plusieurs plaintes devant les autorités de protection des données autrichiennes. Et au bout d'un moment en fait il s'est rendu compte qu'il avait une arme atomique dans les mains.

[Aeris] puisque Facebook est bien entendu américain, donc les données partaient...

[Aeris] aux états unis. Ces données à lui partaient aux états unis. Donc il avait bien effectivement une copie, Facebook lui avait livré une palette de documents quand il avait demandé l'intégralité de ces données. Ça lui arrivait en carton entier tellement les Facebook avaient donné sur lui et il s'est rendu compte que tout ça partait aux états unis. Et c'est là en fait la loi européenne avait été, il y avait un traité d'adéquation entre l'Europe et les états unis qui s'appelle...

[Aeris] qui a un accord qui a été dégocié entre entre les États-Unis et l'Europe et qui dit que les États-Unis sont un pays compatible avec le RGPD.

[Benjamin] D'accord, donc en fait si je comprends bien, on a le RGPD qui, au début de notre histoire, n'existait pas encore mais existait quand même sous la forme de la directive 95. Donc l'ancêtre du RGPD, c'est ce qu'on avait vu.

[Benjamin] à l'épisode 1. En gros ça voulait dire que chaque pays devait appliquer à sa source mais...

[Benjamin] À l'arrivée ça revenait au même.

[Benjamin] Lui, il en a marre de la pub Facebook, donc il se dit, euh, bon bah je vais pas mettre de bloqueur de pub, ça serait trop facile, et puis l'épisode durerait trois minutes.

[Benjamin] Du coup je vais m'attaquer au problème à la source.

[Benjamin] les Médonais partent aux Etats-Unis, sauf que pas de pot, il se trouve qu'il y a un accord transatlantique entre l'Europe et les Etats-Unis qui s'appelait le Safe Harbor.

[Benjamin] de citoyens européens aux États-Unis.

[Benjamin] et du coup, il a perdu et là l'histoire s'arrête vraiment.

[Aeris] Et ben non, parce que du coup il y a un article, un décret américain, qui est le FISA 702.

[Aeris] qui est arrivé suite aux attentats du 11 septembre où les états unis ont eu un peu les mêmes réactions que ce que nous on a quand on a des attentats sur notre sol, décident de faire des lois scélérates de surveillance et en particulier.

[Aeris] Bah ouais, on appelle un chat un chat. Et en fait le FISA 702 dit qu'en particulier les européens, enfin tous les non-américains n'ont quasiment aucun droit, ou n'ont aucun droit tout court, et le gouvernement américain est en droit de demander à n'importe quelle entreprise américaine toutes les données qu'ils ont sur une personne non-américaine.

[Aeris] dans des buts de surveillance, protection, etc. pour se défendre contre les attentats.

[Benjamin] Oui, donc en fait, il est en train de chercher, il cherche comment interdire la pub Facebook.

[Benjamin] Il voit qu'il n'y arrive pas, il se dit mes données sont parties aux Etats-Unis, c'est sûrement pas normal, manque de pot, il y a le safe harbor qui dit si si c'est tout à fait normal. Il continue à fouiller, il tombe donc sur le FISA 702 qui date de 2008, qui suite aux attentats du 11 septembre permet aux Etats-Unis de demander n'importe quelle donnée d'un citoyen non américain qui serait hébergé par une entreprise américaine. Mais bon comme il y a le safe harbor qui a validé qu'on avait le droit, ben c'est qu'il n'y avait pas de problème et du coup,

[Aeris] Et ben non, parce que c'est ce que lui a dit les... Certaines APD, les autorités de protection de données ou Facebook ont dit mais non, il y a le safe far board donc il n'y a pas de problème en fait, la commission européenne, parce que c'est la commission européenne qui signe ces accords d'adéquation avec le gouvernement américain de notre côté. Et donc tout le monde dit ben non, en fait, il y a ce truc là, il y a ce safe far board qui existe, donc ce que tu dis, c'est n'importe quoi.

[Benjamin] Ok donc c'est n'importe quoi.

[Aeris] et ben Max Schrems lui il trouve que c'est pas n'importe quoi et donc il fait remonter l'information en disant j'ai un problème jusqu'à la CJUE, donc la Cour de Justice de l'Union Européenne, qui est la plus haute juridiction européenne de notre côté, et en lui posant la question bonjour à la CJUE 1 en fait, il y a tout le monde qui me dit que je suis un con, que j'ai pas raison, et donc il y a le Safe Airboard, il y a FISA 702, il y a le RGPD ou e-Privacy ou Directive 95 à l'époque.

[Aeris] qui dit que c'est pas possible d'avoir ce droit côté constitution américaine de tout pouvoir sur les données européennes.

[Aeris] Et donc du coup, bah, c'est pas légal.

[Benjamin] Donc lui ce qu'il dit c'est que le FISA 702, donc loi américaine qui permet aux entreprises, enfin qui permet à l'état américain de demander à une entreprise américaine toute donnée sur un citoyen européen entre autres, enfin non américain.

[Benjamin] lui ce qu'il dit c'est que ce FISA 702 n'est pas compatible avec le RGPD ou son ancêtre, la directive 95. Et donc il demande à la CJUE parce qu'évidemment les APD et Facebook disent qu'il n'y a pas de problème, qu'il y a le safe harbor.

[Benjamin] qui dit que c'est bon et donc il demande à la CJUE qui lui dit que c'est bon et là l'histoire s'arrête.

[Aeris] Et ben non, toujours pas, parce que la CJUE dit, ben voilà, on est en 2015, donc il a fallu déjà trois ans pour arriver là, et la CJUE dit, bah effectivement, le FISA 702 n'est pas compatible avec la législation européenne. Donc la CJUE lui dit, bah effectivement, il y a un problème avec FISA 702, cette loi n'est pas compatible avec le règlement européen, et donc le CIFARBOR n'est pas légal, et n'existe pas depuis qu'il a été signé.

[Benjamin] Donc le SafeArbore est invalidé à la date où la CJUE le dit.

[Aeris] Voilà, même avant, puisque en théorie c'est rétroactif, en vrai ça n'a pas été appliqué bien entendu, mais en vrai c'est rétroactif, c'est-à-dire que cet accord d'adéquation n'a réellement pas existé au sens juridique du terme. Alors après que ce soit rétroactif ou pas, ça n'a pas vraiment changé grand-chose, parce que... On ne peut pas revenir dans le temps.

[Benjamin] Parce qu'on peut pas revenir dans le temps, donc de toute façon...

[Aeris] Voilà, donc ça changeait pas grand chose en vrai. Mais il a réussi à annuler l'accord d'adéquation Europe-États-Unis. Et le côté marrant, c'est que du coup, il n'a pas non seulement annulé l'accord d'adéquation, mais il a fait reconnaître par la CJUE...

[Aeris] que FISA 702.

[Aeris] n'était pas compatible avec la législation américaine et la législation européenne.

[Aeris] Et donc du coup, il n'y avait aucun autre accord d'adéquation de possible, puisque le FISA 702...

[Aeris] existait toujours en fait et qu'il avait...

[Aeris] Il avait sorti, il avait exhibé un contre-exemple en fait qui faisait que les accords d'adéquation Europe-États-Unis n'étaient pas possibles.

[Benjamin] Donc en fait, si je résume, on a Max Schrems, donc citoyen autrichien d'une vingtaine d'années, qu'on a marre de voir de la pub sur Facebook.

[Benjamin] je vais mettre fin à cette situation-là, qui commence à fouiller, qui se rend compte que...

[Benjamin] C'est donné par tous les Etats-Unis dans le cadre du Safe Harbor.

[Benjamin] mais que le Safe Harbor, donc l'accord transatlantique...

[Benjamin] est illégale à cause de la directive américaine FISA 702 ?

[Benjamin] il fait annuler le safe-arboard de manière même rétroactive.

[Benjamin] ce qui fait qu'on ne peut plus héberger de données de citoyens européens aux États-Unis.

[Aeris] Voilà.

[Benjamin] Il fallait pas le faire chier, Max Schrems.

[Aeris] Ah non, clairement pas, ouais. Et donc on s'est retrouvé à la sortie de là, où le tout usage de technologie américaine qui allait traiter des données à caractère personnel était illégal en Europe.

[Benjamin] Et donc, c'est depuis cette date-là qu'on n'utilise plus de service américain ou en Europe.

[Aeris] Ah oui, si seulement ça avait été le cas. Bien entendu, Facebook, les APD, même toutes les autres entreprises ont dit mais c'est quoi ce bordel en fait ? C'est pas possible, c'est juste... Ils se réveillent dans un cauchemar en fait. Et donc il y a un espèce de déni qui se met en place.

[Aeris] Et la Commission européenne en particulier reprend le flambeau en se disant bon bah le... le safe harbor ok il a été invalidé, bah on va en refaire un.

[Aeris] Donc il reprenne le texte quasiment identique, il change juste 2,3 mots, réordonne 2 paragraphes.

[Aeris] Ça donne le Privacy Shield.

[Aeris] Et donc il l'aurait pu bien en disant bah voilà, il y a un accord d'adéquation donc vous pouvez retransmettre à nouveau vos données entre les Europe et les Etats-Unis.

[Benjamin] Comme le Cypherboard a été invalidé par la CJUE à cause du petit Max Schrems qu'il fallait pas emmerder

[Benjamin] et ben tout le monde se dit c'est pas grave on va le réemballer

[Benjamin] On appelle ça Privacy Shield.

[Benjamin] Le privacy shield en gros il dit que des citoyens européens peuvent stocker leurs données sur des serveurs d'entreprises américaines.

[Benjamin] Max Schrems du coup il est bien dégoûté et il s'est mis à planter des poireaux et depuis tout va bien.

[Aeris] Et bah non, parce que du coup la CJUE lui avait bien dit que FISA 702 était incompatible avec tout accord d'adéquation donc lui qu'est-ce qu'il fait ? Bah c'est qu'il se retrouve avec un accord d'adéquation qu'il pense tout aussi illégal et donc il retourne devant la CJUE et ça donne forcément l'arrêt Schrems II en 2020.

[Aeris] qui dit que bah non en fait le Privacy Shield c'est un copier-coller du Safe Harbor donc vous allez arrêter vos blagues

[Aeris] On annule ça comme d'habitude rétroactivement, donc il n'y a toujours pas eu d'accord d'adéquation depuis 2008 et l'arrivée de FISA 702. Et puis Max Schrems gagne une deuxième fois avec l'arrêt Schrems 2 qui dit exactement la même chose et on est en 2020.

[Aeris] Et bien entendu ça va pas s'arrêter là !

[Benjamin] Alors attends, parce que donc...

[Benjamin] Quand on parle de l'arrêt Schrems I et de l'arrêt Schrems II,

[Benjamin] En fait, c'est la même chose.

[Benjamin] C'est juste que ça s'est passé à quelques années d'écart, mais concrètement c'est les mêmes mécanismes, c'est toujours un citoyen. C'est un citoyen en fait, Max Reims, c'est pas un élu, c'est juste un citoyen.

[Benjamin] C'est un citoyen donc avec des petites connaissances juridiques a priori ?

[Aeris] Bah il est quand même avocat hein maintenant.

[Benjamin] Bon, mais quand il a commencé, il était même pas encore avocat.

[Aeris] Non, il devait être juriste, il devait sortir d'école, il avait 25 ans.

[Benjamin] Donc c'est un citoyen lambda qui s'est dit non non ça c'est pas possible, il y a un problème d'adéquation entre les accords

[Benjamin] entre l'Europe et les États-Unis et la réglementation américaine.

[Benjamin] Une première fois Schrems 1, il gagne. Une deuxième fois Schrems 2, il regagne.

[Benjamin] Et donc là, c'est fini du coup, c'est game over.

[Aeris] Alors c'est pas game over, parce que forcément que ça s'est pas bien passé non plus. La Commission européenne n'a pas l'air d'avoir compris le message. La CJUE a été très claire dans son arrêt Schrems 2, parce que la CJUE commence aussi à en avoir marre. Donc il a écrit clairement dans son arrêt Schrems 2 en disant si la Commission européenne nous refait le coup...

[Aeris] Ça va barder. Et forcément, la Commission européenne a refait le coup.

[Aeris] Et ouais, parce que du coup ils ont repris le texte. C'est un jour sans fin. Ah mais c'est exactement ça. En fait ils ont repris le texte. Donc entre 2020 et 2023, il y a eu un espèce de no man's land. C'est à dire qu'il n'y avait pas d'accord d'adéquation qui existait, mais les autorités de protection des données n'ont pas voulu bouger parce que c'était trop l'enfer. Donc la Commission européenne a préparé un texte pendant trois ans, qui en gros était encore un copier-coller du safe harbor et du privacy shield.

[Benjamin] et qui s'appelle...

[Aeris] qui s'appelle le DPF de Data Privacy Framework.

[Aeris] Ils ont changé un petit truc quand même, ils ont rajouté un petit tribunal pour qu'un citoyen européen puisse demander à la justice américaine Est-ce que quelqu'un aurait accédé à mes données ?

[Aeris] et en gros, c'est marqué dans la loi, noir sur blanc, ce tribunal ne peut répondre qu'on ne sait pas, on ne peut pas vous dire...

[Aeris] On a été vérifié mais...

[Benjamin] mais on peut demander.

[Aeris] On peut demander mais voilà.

[Benjamin] peut pas avoir d'abonnes mais on peut demander avant on pouvait même pas demander et alors donc le dpf le data privacy framework

[Benjamin] c'est un corps à un accord transatlantique entre l'Europe et les Etats-Unis. Donc tout le monde s'est mis autour de la table en disant non mais il faut qu'on puisse travailler ensemble, on va pas couper l'internet en deux parce que en fait, on a peut-être dû préciser, mais le risque à la fin c'est ça, c'est de couper internet en deux. C'est-à-dire que les câbles sous-marins entre l'Europe et les Etats-Unis, on a pu qu'aller revendre au prix du cuivre parce qu'ils servent plus à rien.

[Aeris] Et puis toutes les dépendances avec les entreprises américaines, Microsoft, Google, Facebook, LinkedIn, enfin n'importe quelle boîte américaine, le matériel américain, parce que vos routers que vous avez dans les data centers, les Cisco et autres, c'est aussi des technologies américaines. Donc en gros, il y a...

[Aeris] 99% de la dure numérique européenne qui disparaît instantanément.

[Benjamin] L'impact potentiel est énorme et en fait quand je dis potentiel c'est un abus de langage puisque on n'est pas dans la potentialité là, ça a été jugé par la CJUE.

[Aeris] Oui, mais tout le monde s'en fout. Et tout le monde s'en fout vraiment complètement. Les autorités de protection des données, en particulier en France, typiquement refusaient de sanctionner au moins les trois ans, puisque pendant trois ans, de 2020 à 2023, il n'y avait pas d'accord d'adéquation. Les entreprises continuaient à envoyer des données en Amérique.

[Aeris] et les autorités de protection des données qu'on prenait les plaintes en disant oui bah c'est pas grave il y a la commission européenne qui bosse un peu sur le sujet donc on va attendre et au bout de trois ans quand on a eu le DPF bah ils ont tout clôturé en disant voyez maintenant il y a un accord d'adéquation donc on a à quoi poigner

[Benjamin] il est le même sauf que maintenant on a le droit de demander.

[Benjamin] On peut pas avoir de réponse mais on a le droit de demander. Et donc, est-ce qu'on peut s'attendre à un Schrems III ?

[Aeris] Alors il faut s'attendre à un Schrems III parce que c'est là où ça devient vraiment n'importe quoi. Quand la Commission européenne a négocié les accords du DPF, elle a dû faire un peu de la consultation des autres autorités européennes.

[Aeris] Donc il y a plusieurs... En gros c'est un peu comme notre Assemblée nationale, parlement, etc. On demande l'accord et l'avis des différentes instances. Donc elle a demandé l'avis à la commission Libé, qui est une commission européenne qui est en charge justement des libertés et des protections individuelles. La commission Libé lui a dit mais t'es malade en fait, ce truc là c'est juste repomper du DPF, enfin du privacy shields et faire bordre donc juste...

[Aeris] On sait que c'est déjà... ça va pas tenir encore par la CJUE. Le Parlement européen est aussi consulté. Le Parlement européen voit la décision de l'Ibé et dit bah on est complètement d'accord en fait. Ils votent même un texte officiel en disant ne signez pas ce truc là, c'est juste la même chose qui va vous attendre dans plusieurs années.

[Aeris] Le comité européen de la protection des données est aussi consulté et donne un avis extrêmement critique sur le sujet en disant mais en fait vous avez rien changé dans le texte donc du coup on voit pas pourquoi on pourrait aller sur ce sujet là

[Aeris] Schrems 2, enfin Schrems est du coup aussi consulté et il a fondé depuis le temps une association qui s'appelle NOYB.

[Aeris] Donc il consulte NOYB en disant...

[Benjamin] NOYB comment t'écris ça ?

[Benjamin] None Of Your Business

[Benjamin] Je fais encore le candide, je fais semblant de pas savoir, en fait je sais.

[Aeris] Et du coup en fait NOYB dit pareil, bah en fait c'est le même texte, on comprend pas en fait pourquoi vous venez de nous voir, vous devriez être assez grand, surtout que la CJUE vous a bien dit d'arrêter votre bordel, donc là le truc est juste pas légal.

[Aeris] Et nous on voit les trois décisions, donc ça c'était l'été 2023.

[Aeris] Et puis là on voit la commission européenne qui dit, on a consulté tout le monde, il y a personne qui est d'accord avec nous, mais nous on a quand même signé le texte.

[Aeris] Et donc le texte est en application depuis... De mémoire, c'est juillet 2023.

[Benjamin] Donc là en fait...

[Benjamin] on a le droit

[Benjamin] de stocker des données de citoyens européens aux États-Unis dans le cadre du DPF, du Data Privacy Framework.

[Benjamin] jusqu'à le prochain arrêt Schrems III qui probablement nous ramènera au point de départ et un jour supplémentaire la marmotte tout ça.

[Aeris] Alors c'est un peu plus compliqué que ça parce que même le RGPD avait déjà prévu le coup, en fait, et c'est pas parce qu'il y a un accord d'adéquation que c'est un blanc-saint d'autorisation d'export de données.

[Aeris] C'est déjà... l'accord d'adéquation n'est qu'une des principes à appliquer. C'est nécessaire mais pas supplisant. En particulier, il faut aussi intérêt légitime, base légale, information, etc. Et la plupart du temps, ce n'est pas respecté. Si on fait de la publicité ciblée, ça n'est pas... Vous n'avez pas de base légale, vous avez plein de choses qui déconnent. Et donc du coup, c'est pas parce qu'il y a un DPF que vous avez le droit de le faire.

[Aeris] Il y a aussi, la CJUE a été très claire, c'est que les responsables de traitement ou les DPO...

[Aeris] doivent étudier l'accord d'adéquation et...

[Aeris] potentiellement se poser des questions aussi sur le sujet.

[Aeris] en disant est-ce que c'est vraiment légal, est-ce qu'on n'est pas en train de juste fermer les yeux et de prendre un peu les jambes pour des cons ? Et donc les pas du tout, les DPO et les responsables de traitement devraient aussi se poser des questions.

[Aeris] Les autorités de protection des données ont même été averties aussi officiellement par les arrêts Schrems II en disant si vous êtes saisies de plaintes sur le DPF, vous devez remettre en cause le DPF lui-même pour bien vous assurer que les exports de données sont légitimes ou pas. Donc en gros, c'est pas parce qu'il y a un DPF que les traitements devraient avoir lieu. Mais effectivement tout le monde ferme les yeux parce que les intérêts sont trop gros.

[Benjamin] D'accord, mais il y a quand même un truc que je trouve incroyable dans cette histoire, c'est que donc Max Schrems, qui est un citoyen autrichien...

[Benjamin] d'une vingtaine d'années, tout seul vient mettre le grain de sable dans l'économie mondiale.

[Benjamin] entre l'Europe et les États-Unis.

[Benjamin] et aujourd'hui il est tout seul, enfin il est tout seul à s'attaquer à ces problèmes là ?

[Aeris] Alors non, déjà il est pas tout seul parce que ben justement après le Schrems 1 il avait monté NOYB donc c'était 2013 de mémoire.

[Aeris] Donc il a une association maintenant où ils sont très efficaces sur ce genre de sujets. C'est lui derrière mais qui a aussi passé la main et donc du coup il y a une vraie équipe qui s'est montée. En France aussi il y a eu plusieurs tentatives de faire invalider le DPF. Donc il y a eu Philippe Latombe qui est un député.

[Aeris] assez connu justement dans le monde du numérique, il s'est dit...

[Benjamin] de Vendée

[Aeris] De Vendée, tout à fait. Qui s'est dit, bah en fait, il y a le DPF qui m'embête un peu. Il a profité donc le Health Data Hub qui est le gros centre de données de santé.

[Benjamin] Ouais ouais, on a beaucoup entendu parler en France, ouais.

[Aeris] dont on a pas mal parlé et en fait qui a été confié à Microsoft et donc du coup lui il a été voir le conseil d'état.

[Aeris] français en disant barbe.

[Aeris] DPF, il y a un problème en fait, il faudra peut-être l'invalider.

[Aeris] Le Conseil d'État a malheureusement refusé le référé, donc ce qu'on appelle un référé, c'est-à-dire de décider en urgence.

[Aeris] parce qu'il a considéré qu'il n'y avait pas de risque en fait, il n'y avait pas de risque.

[Benjamin] Ok, donc en fait dans le cadre du Health Data Hub qui disait on va mettre toutes nos données de santé chez Microsoft, donc aux Etats-Unis.

[Benjamin] Philippe Latombe, député...

[Benjamin] français a saisi le Conseil d'État en disant stop, il faut arrêter tout de suite.

[Aeris] C'est ça. En disant il y a urgence et du coup... Mais il a pas eu de gain de cause sur le tout de suite donc il faudra attendre la suite.

[Benjamin] Est-ce qu'il a eu gain de cause sur le plus tard ?

[Aeris] Le plus tard ce sera dans plusieurs années, puisque les temps juridiques sont toujours des temps longs. Donc du coup il faudra attendre. Son recours en référé n'est pas passé, mais il y a le recours tout court qui peut encore passer. Donc on attendra d'avoir la décision du Conseil d'État.

[Benjamin] Ok, mais le temps long, par exemple, Max Schrems, c'était du référé ou c'était la procédure normale ?

[Aeris] Non non, c'était de la procédure normale, la preuve, c'est que ça a pris plusieurs années. Je crois que c'était 2012-2015 pour Schrems 1, et 2016-2020 pour Schrems 2.

[Aeris] Donc on parle plutôt en 4, 5, 6, 10 ans des fois pour ce genre de processus.

[Benjamin] Ok, concrètement parce que on voit bien autour de nous que Outlook, que Gmail, que...

[Benjamin] que tous les services US que tout le monde utilise, ils n'ont pas été coupés pendant ces périodes là. Donc en fait...

[Benjamin] Il y a une inertie, on a dit, des APD.

[Benjamin] et puis des fournisseurs de services, qui joue aussi sur le fait que la justice prend son temps.

[Benjamin] et que tout le monde se dit non on va attendre de voir ce que dit la justice et quand la justice dit non mais en fait c'est n'importe quoi on dit non mais on va lui redemander pour être sûr

[Aeris] C'est ça, en changeant juste une virgule, c'est pas le même texte, on vous promet. Et on repasse.

[Benjamin] du coup on remet une pièce dans la machine et c'est reparti pour 4-5 ans.

[Aeris] Mais c'est des processus qui sont malheureusement très connus, puisque que ce soit Schrems II, on a eu le même problème avec l'IAB, le TCF, où il y a 3, 4, 5 et 6 décisions d'APD, CJUE, on vient devant les APD, ça traîne énormément en longueur. On a aussi pas mal de boîtes en France qui sont connues pour faire ça. On a les APD qui ne sont pas non plus très actives, puisqu'on a par exemple sur le DPF, il y a des autorités de protection des données, je pense à la Norvège de mémoire, Norvège, Finlande, surtout les pays comme ça du nord.

[Aeris] qu'on décidait, bah il y a le DPF, il n'est pas légal, donc j'interdis directement les traitements. EDPF, qui est la CNIL au niveau du Parlement européen, leur a interdit d'utiliser Microsoft Office 365.

[Aeris] il y a eu pas mal de décisions comme ça qui sont tombées.

[Benjamin] D'accord mais par exemple en Norvège ça veut dire que personne n'utilise Outlook ou Gmail ?

[Aeris] Bah après, c'est entre l'interdiction et l'application, il y a toujours un monde, mais ils ont quand même une APD qui vient taper, ils ont interdit par exemple.

[Benjamin] Dans la théorie tu peux pas.

[Aeris] Dans la théorie tu peux pas, y a quand même eu des condamnations par exemple.

[Benjamin] Dans la pratique tout le monde s'en fout.

[Aeris] Je sais pas dans d'autres pays comment ça marche mais typiquement Cloudflare a été interdit, Mailchimp a été interdit, Microsoft 365 a été interdit, ils ont dû faire des développements spécifiques pour avoir le droit de se déployer, je crois que c'était en Finlande. Enfin il y a quand même des APD qui se bougent sur le sujet.

[Benjamin] Mais si Cloudflare est interdit, tu as énormément de sites qui ne sont plus accessibles.

[Aeris] Bah ils ont dû changer en fait, ils ont dû changer de fournisseur, les trucs bah...

[Benjamin] Ah mais c'est des sites norvégiens du coup.

[Aeris] Oui, ça doit être des signes norvégiens, après ça dépend vraiment pays par pays. Typiquement en France, la CNIL ne fait absolument rien sur le sujet. La CNIL a même... elle-même est déjà... s'est déjà autocondamnée trois fois pour avoir utilisé des systèmes américains en dehors de tout accord adéquation, mais ça pose de problèmes à personne.

[Benjamin] C'est à dire que derrière, il y a le pragmatisme et la réalité économique de faut bien qu'on bosse.

[Aeris] Bah en fait, c'est là où ça devient intéressant et qu'on peut faire un peu plus de la géopolitique plutôt que du RGPD pur et dur.

[Aeris] C'est que Schrems 2 est un énorme argument pour interdire les États-Unis pour des raisons de protection de la vie privée, etc.

[Aeris] Et ce qui se cache aussi derrière aujourd'hui, c'est le problème de souveraineté en Europe. C'est qu'effectivement on peut pas... Aujourd'hui on peut difficilement se passer des États-Unis sur tout ce qui est numérique et etc. Mais c'est un vrai problème en dehors de la vie privée.

[Aeris] Aujourd'hui on a Trump qui a malheureusement arrivé au pouvoir la semaine dernière. On ne sait pas de quoi va être fait demain aux États-Unis. On a vu aussi par exemple quand il y a eu le rachat de Broadcom par VMware, ou l'inverse, je ne sais plus. Mais en tout cas les hausses de prix ont été flagrantes et les startups françaises sont arrivés en pleurs à la Commission européenne en disant « S'il vous plaît, sauvez-nous parce que là... »

[Aeris] en fait, ça va nous tuer.

[Aeris] Et on a un vrai vrai problème d'indépendance et que demain, si les États-Unis se fâchent ou font n'importe quoi, ce qui risque d'être plutôt le cas vu les ministères qui sont en train de se monter aux États-Unis...

[Aeris] ça peut devenir le grand n'importe quoi en Europe aussi.

[Benjamin] C'est à dire qu'on a un problème de souveraineté et de souveraineté numérique, on en a déjà parlé. On a...

[Benjamin] rapidement évoqué il y a deux semaines comment est-ce que le logiciel libre pouvait être une piste d'émancipation par rapport à ça

[Benjamin] Là ce que tu es en train de dire c'est que le RGPD, alors on peut en penser ce qu'on veut.

[Benjamin] Mais le RGPD c'est aussi un moyen politique de se protéger de l'hégémonie américaine ?

[Aeris] C'est ça, c'est que ça permettrait aussi de faire... Là, ça a permis, en tout cas, de faire prendre conscience, au niveau juridique, des problèmes de souveraineté que ça pose. Aujourd'hui, tout le monde s'arqueboute sur... Bah oui, mais il faut continuer à faire le business, etc. Et ça rejoint un peu le premier épisode qu'on dit aussi sur les vagues climatiques et les changements climatiques, etc. C'est pas qu'une question de RGPD.

[Aeris] c'est que vous allez avoir... vous allez vous prendre de plein fouet potentiellement un problème géopolitique.

[Benjamin] C'est ce dont on parlait avec Benjamin Sonntag.

[Aeris] C'est ça. C'est que là avec Trump, on ne sait pas du tout ce qu'ils vont pouvoir faire. On a eu le problème avec la Russie aussi où il a fallu se couper leur infrastructure en deux semaines d'autant parce qu'il y avait des embargo et des décisions juridiques.

[Aeris] fort qui empêchait tout usage de la Russie.

[Aeris] on pourrait imaginer la même chose que ce soit dans un sens ou dans l'autre, c'est-à-dire...

[Aeris] soit Trump qui décide de faire du protectionnisme et que du coup tous les prix avec les américains vont s'envoler et les entreprises européennes vont être pris à la gorge.

[Benjamin] Le protectionnisme en général c'est dans l'autre sens, c'est les taxes qu'on les met à l'entrée pas à la sortie.

[Aeris] Bah oui, mais après, ça pourrait marcher, enfin, s'ils veulent... On sait pas, en fait, comment ils vont.

[Benjamin] C'est à dire que s'ils mettent des taxes à la sortie, ils vont perdre des clients, ça va pas forcément faire leurs affaires. Mais globalement, on voit bien le principe qu'on est dans un monde...

[Benjamin] mondialisé où on dépend énormément les uns des autres.

[Benjamin] et que tous les outils de souveraineté qui sont à notre disposition sont bons à prendre et que le RGPD...

[Aeris] C'est ça, on va dire que c'est une bonne excuse. Ça peut être une bonne excuse en fait.

[Benjamin] Vos données personnelles, on s'en fout, ce qu'on veut c'est se protéger finalement.

[Aeris] C'est se protéger, c'est ça, et arriver à changer de... Et aujourd'hui, malgré Schrems I, malgré Schrems I, malgré certainement Schrems III qui se profile...

[Aeris] personne ne réagit, c'est-à-dire qu'on ne monte pas dans d'infrastructures souveraines, alors que ce soit françaises, européennes ou dans d'autres pays plus respectueux.

[Aeris] mais en tout cas on est extrêmement dépendant des américains et le jour où on va devoir se fâcher avec eux ça va être très compliqué et on a vu ce que ça a donné avec l'Allemagne et la Russie. L'Allemagne était très dépendante du gaz russe et a refusé du coup...

[Aeris] des sanctions russes et fait vraiment de la géopolitique à cause de sa dépendance. Et on risque de se retrouver dans le même état le jour où il faudra se fâcher avec les États-Unis. Et s'il faut imposer des sanctions avec l'ONU ou d'autres, ça risque d'être compliqué.

[Benjamin] C'est sûr que s'il faut interdire tous les GAFAM, puisque les GAFAM ils sont tous américains...

[Benjamin] Ça va être compliqué d'aller bosser le lundi matin.

[Aeris] Oui mais après on parle pas que des GAFAM, on parle aussi... Ça a été soulevé par les analyses de risque des APD norvégiennes de mémoire.

[Aeris] c'est vos routers. Le matériel n'est pas fabriqué en Europe. Soit c'est chinois, soit c'est américain. On a très peu de routers européens. La plupart des logiciels que vous utilisez, les infrastructures, même le développement du carnel Linux, du noyau Linux, repose énormément sur les contributions américaines, sur les financements américains. Même le Firefox aujourd'hui, c'est le grand débat, c'est financé par du Google.

[Aeris] Et donc c'est des dépendances monstrueuses dans tous les écosystèmes. Et malheureusement en Europe aujourd'hui il n'y a aucune prise de conscience sur le sujet. Et malgré que Schrems 1 date déjà de 2015, on en est à plus de 10 ans, on n'a aucune initiative européenne pour prendre le relais en cas de problème.

[Benjamin] Ce qu'on comprend bien c'est que ces arrêts Schrems 1 et Schrems 2 déjà ils sont des copiers collés, ils sont à l'identique et ils montrent surtout qu'on est tétanisé à l'idée de prendre des décisions qui permettraient d'avancer les choses parce que là concrètement on gagne du temps mais on prend aucune décision

[Benjamin] qui change la situation, on refait la même chose en espérant que le résultat soit différent alors que...

[Benjamin] a priori, si on fait exactement la même chose dans la même condition, il va se passer exactement la même chose.

[Benjamin] Donc au final, il faudrait assouplir le RGPD pour avancer parce qu'il y a un moment où on peut être pour le RGPD contre ou en avoir juste rien à faire, mais on peut pas se dire qu'on va arrêter de bosser complètement et qu'on va couper Internet en deux. Donc si on veut vraiment avoir une attitude constructive...

[Benjamin] C'est quoi la solution ? C'est d'assouplir le RGPD ? C'est de le supprimer complètement ?

[Aeris] Pour moi le RGPD est un texte qui est...

[Benjamin] C'est de dire aux américains, remballez votre visa 702 et puis trouvons autre chose.

[Aeris] En fait le RGPD est relativement souple, c'est un texte qui est extrêmement adaptatif, vous pouvez le lire un peu dans tous les sens, et je pense qu'il y a des portes ouvertes pour autoriser quand même les traitements vers les États-Unis. Aujourd'hui ce qui bloque beaucoup c'est par exemple la notion de proportionnalité et de probabilité qui n'existent pas en fait dans les exports internationaux.

[Aeris] autant si vous faites du franco-français ou du franco-européen.

[Aeris] vous avez le droit de faire ce qu'on appelle les analyses de risque en disant bon bah...

[Aeris] Il y a 0,01% de chance qu'une intrusion sur les données arrive par un système étranger, donc je ne vais pas en tenir compte parce que c'est très peu probable.

[Benjamin] J'ai mesuré mon risque.

[Aeris] Je vais mesurer mon risque alors que ce système n'est pas du tout possible avec les Américains. Et si on prend l'exemple du Health Data Hub, la probabilité qu'il y ait une agence de renseignement américaine, surtout par des processus légaux, parce que rappelons-le que ce n'est pas le Far West de leur côté, c'est encadré par un juge, c'est juste que nous en tant qu'Européens, on n'a pas le droit d'avoir accès à la procédure.

[Aeris] Mais quand un juge américain a décidé d'aller extraire des données d'un européen par le Health Data Hub, il est, sans me tromper, je pense dire que le risque est nul. Puisque même Amazon de toute façon ou Microsoft ne connaîtra pas où s'en stocker les données sous les formats que ça a, et donc ils n'iront pas faire des saisies, or donnez-moi les 200 terrains qui sont sur le Health Data Hub.

[Benjamin] Toi ce que tu dis c'est que le Health Data Hub, c'est les données de santé de tous les français, ça va se retrouver sur des disques durs de Microsoft parmi des milliers de teraoctets de données.

[Benjamin] sous des formats qui sont connus a priori que par la France.

[Aeris] Oui.

[Benjamin] et que pour qu'un juge se dise « ah tiens je vais ordonner qu'on aille extraire des données dans ce fatra-là pour en faire ».

[Aeris] On sait pas quoi.

[Benjamin] Ben en fait non ça c'est de la science fiction paranoïaque mais ça n'arrivera pas. Donc le risque il est nul ou quasi nul.

[Benjamin] Et du coup...

[Benjamin] Toi ce que tu dis c'est que ça sert à rien de l'interdire.

[Aeris] Bah c'est ça, disons pas, encadrons, faisons pas n'importe quoi quand même, effectivement, ça empêche pas de mettre du chiffrement là où on peut pour empêcher les accès, là où on peut vraiment les empêcher, vraiment rendre le truc réellement nul. Ça empêche pas d'avoir des bons contrats avec Amazon sur le sujet, ça empêche pas d'essayer de faire changer FISA 702 en disant on aimerait quand même avoir des droits d'accès côté américain.

[Benjamin] au moins avoir le droit de poser la question.

[Aeris] Voilà, au moins d'avoir... et d'avoir la réponse.

[Benjamin] Ah mais comme t'y vas là...

[Aeris] Et voilà, je pense qu'à moyen, le RGPD est suffisamment flexible pour pouvoir aller dans ce genre de réflexion. Et de l'autre côté, c'est aussi bâtissons notre infrastructure européenne, ne dépendant plus des américains, mettons de l'argent sur la table, faisons des appels d'offres...

[Aeris] les américains fonctionnent énormément par la commande publique pour faire leur infrastructure, faisons pareil en Europe et montons des data centers, montons des services de services.

[Aeris] pour faire concurrence avec les américains et ne plus avoir la dépendance à terme avec eux directement.

[Benjamin] Oui, c'est à dire qu'on sait très bien que les États-Unis, sûrement le plus grand pays capitaliste du monde, en fait...

[Benjamin] Toutes les avancées majeures, elles ont été financées par le public.

[Aeris] Oui c'est ça. La plupart c'est le département de militaires américains qui finance la plus grosse partie.

[Benjamin] et qu'en France le financement public est tout petit comparé à ce qu'il y a aux Etats-Unis et que c'est pas étonnant qu'ils aient des infrastructures démesurées là où nous on galère un petit peu.

[Aeris] Voilà, mais du coup je pense qu'il y a les deux côtés à jouer. En fait, le RGPD est suffisamment flexible pour qu'on puisse avancer là-dessus et arriver à faire des exports vers les États-Unis. Rappelons aussi, et ça je l'ai déjà souligné aussi pas mal de fois en ligne, c'est qu'on est en train de reprocher aux Américains de faire des choses que nous, on fait très bien à notre propre population. Typiquement, moi j'ai eu le cas...

[Benjamin] Non, ça je peux pas te croire.

[Aeris] Moi j'ai eu le cas, je l'ai vécu, que des agents de renseignement français ont débarqué dans un data center, sont repartis avec mes données, saisis des disques durs sous le bras et quand on demande l'accès au dossier on vous répond que non vous n'aurez pas accès au dossier. Donc droit de la défense complètement bafoué, aucun accès à la procédure, pas le droit de se défendre devant un juge, le juge qui refuse tout accès au dossier. Donc en fait pourquoi est-ce qu'on autorise en France des choses qu'on a interdites aux Etats-Unis ?

[Benjamin] Ouais. Donc ce que tu dis c'est la pouille...

[Benjamin] Ce que tu dis c'est la paille dans son oeil, la poutre dans celle du voisin ou le contraire. FISA 702 ça permet à un juge américain d'aller extraire des données et nous...

[Benjamin] on ne sait pas, on n'a pas accès à la procédure et on comprend que ce soit...

[Benjamin] un tantinet irritant voire scandaleux.

[Benjamin] Mais en fait en France, c'est déjà le cas, c'est-à-dire qu'en France...

[Benjamin] suite aux lois antiterroristes.

[Aeris] Ou même, c'est même pour le coup, c'est complètement illégal, on n'est même plus dans des encadres juridiques encadrés, etc. C'est des juges qui se réveillent un matin, qui signent des demandes de réquisition qui sont juste lunaires, qui font aucun contrôle de ce qu'ils signent, des saisies. C'est une anomalie, mais pour le coup ça existe réellement en France, et c'est presque entériné par les décisions du gouvernement, etc.

[Aeris] qui ne font pas grand chose pour encadrer ça. On pense aussi aux écoutes illégales, ou en tout cas très peu encadrées avec...

[Benjamin] Mais si c'est légal, c'est une anomalie, c'est illégal. Là, quand on parle de FISA 702, on parle d'un cadre légal.

[Aeris] Oui, mais on pourrait parler aussi de la CNCTR en France, qui est la Commission nationale des contrôles de...

[Aeris] On pourrait parler aussi de la CNCTR en France qui est un organisme qui est chargé en théorie d'encadrer les écoutes téléphoniques et autres à la demande de notes blanches du gouvernement mais qui si on leur pose la question ne peut aucun répondre ça existe ou ça n'existe pas. C'est la commission nationale de contrôle des techniques de renseignement.

[Aeris] Et si vous leur posez la question est-ce que j'ai été surveillé, bah la seule chose qui peut vous répondre c'est on sait pas ou on peut pas vous répondre et vous aurez jamais la réponse. Pareil j'ai fait des demandes d'accès pour avoir mes dossiers de renseignement etc. On te répond bah non, un agent de la CNIL a été voir mais on peut pas vous répondre si si quelqu'un est concerné ou pas.

[Aeris] Donc on a à peu près les mêmes problèmes en France.

[Benjamin] Et donc encore une fois, le RGPD il a bon dos, on a beau être protégé, mais dans la pratique il y a des abus où on l'est pas et...

[Benjamin] et mettre en péril ou en tout cas...

[Benjamin] s'attaquer à l'internet mondial.

[Benjamin] pour ce prétexte là.

[Benjamin] ça te semble un petit peu fallacieux.

[Aeris] assez fallacieux mais en même temps c'est intéressant puisque ça soulève le problème de la souveraineté, c'est-à-dire que le problème de la vie privée pour moi est un vrai faux problème ou un faux vrai problème, fonction dans quel sens on le regarde. Et je pense qu'on pourrait avoir des postures un peu moins violentes sur le sujet.

[Aeris] mais en agissant comme beaucoup et de constater que les GAFAM typiquement les usages qu'ils font des données est lamentable et devrait être condamné et devrait être interdite beaucoup plus violemment. Les technologies souveraines en Europe devraient être construites et il y a vraiment un entre-deux à trouver, des évolutions à faire des deux côtés. Et aujourd'hui on est dans un...

[Aeris] blocage complet, c'est que...

[Benjamin] Ouais, un espèce de marasme.

[Aeris] On est dans un marasme et que ça avance ni dans un sujet ni dans l'autre.

[Benjamin] Alors on peut dire que finalement le RGPD c'est un peu le poil à gratter qui nous oblige à nous réveiller et d'ailleurs on peut se poser on peut se poser la question c'est si il n'y avait pas eu le RGPD et s'il n'y avait pas eu Max Schrems

[Benjamin] on serait toujours au Safe Harbor et puis ça serait OpenBar quoi.

[Benjamin] Et ça serait open bar, et puis en termes de souveraineté numérique, on se poserait à peine la question.

[Benjamin] Donc ça a quand même la vertu de nous obliger à nous mettre face à nos responsabilités et à nous poser les bonnes questions et à remettre un peu en cause ce qui...

[Benjamin] paraît plus confortable.

[Aeris] Oui bah aujourd'hui c'est vraiment ça, aujourd'hui le vrai problème c'est ça, c'est le confort en fait, et le business malheureusement c'est ça qui est le nerf de la guerre aujourd'hui. Mais le business ne veut pas se remettre en cause parce que les décisions à prendre qui sont pourtant évidentes ne veulent pas être prises pour des raisons marketing, économique...

[Aeris] voire même sociale, puisqu'on est d'accord que si jamais on devait se passer des États-Unis demain, ça risquerait de piquer un petit peu en termes d'emploi et autres en Europe. Donc faut pas se cacher, mais comme on disait avec Benjamin Sontag, malheureusement ça va pas être le seul problème qu'on va avoir à résoudre d'ici dix ans, et la plupart des décisions qu'on va avoir à prendre, contraintes et forcées pour le coup parce qu'on discute beaucoup moins avec l'écologie qu'avec le gouvernement américain, de toute façon ça va être des décisions qu'il faudra prendre à terme.

[Benjamin] Oui, oui, on a eu quelques exemples en particulier en Espagne de ce que c'est que l'écologie punitive...

[Benjamin] Quand on a rien foutu.

[Aeris] Voilà. Et aujourd'hui ça va être là le vrai sujet, plus que le RGPD, ça va être la prise de conscience à avoir, comment on se réorganise notre société, comment on monte nos business autour de ça.

[Aeris] comment on se prend en main en fait pour régler les problèmes et ça passe aussi par des profondes restructurations sociétales sur comment on vit avec un boulot ou pas de boulot

[Aeris] Et donc ça soulève plein d'autres questions derrière que Schrems, pour le coup, ne réglera pas tout seul devant la CGU.

[Benjamin] Et donc tout ça à la base c'est parce que un autrichien de 25 ans en avait marre de la pub Facebook.

[Aeris] Oui. Ça part de loin, hein. Ça donne aussi les implications du RGPD en général, hein. C'est un texte qui est...

[Aeris] extrêmement vastes, extrêmement touffues, en même temps très compactes, mais qui touchent à vraiment tous les domaines de la société.

[Benjamin] Oui, c'est un... ah tu peux le dire, tu le trouves beau.

[Aeris] Ah bah je le trouve vraiment beau et c'est vrai qu'on a des décisions qui sont prises même par la CJUE elle-même qui... On s'attendait pas à ça en fait, on s'attend pas à ce que le RGPD qui est un texte...

[Aeris] surtout en France, issue depuis 1978, règle des problèmes de publicité ciblée en ligne, de réseau social, de transidentité, de surveillance dans la voie publique. C'est vraiment un texte qui couvre un domaine extrêmement vaste.

[Aeris] et que si on l'applique en fait ça revient à dire ben soyez juste pas un connard, comportez-vous en humain...

[Aeris] correctement, qui se comporte correctement en société et tout ira bien, le RGPD devient naturel dans des cas comme ça.

[Benjamin] Eh bien merci Aeris, je pense qu'on a fait le tour.

[Aeris] Je pense aussi.

[Benjamin] Bon ben voilà, c'était l'histoire du petit Max Schrems qui en a marre de la publicité Facebook. Vous avez écouté le septième épisode de RdGP, le podcast sérieux qui vous emmène au cœur des enjeux des droits numériques, des libertés individuelles et de la vie privée. N'oubliez pas que vous pouvez écouter cet épisode sur les plateformes de podcast 2.0. Vous retrouverez toutes les applications de podcast 2.0 sur newpodcastapps.com. Ce podcast est hébergé par Castopod, plateforme open source libre et gratuite d'hébergement de

[Benjamin] Le podcast est disponible sur Mastodon. Vous pouvez interagir directement depuis Mastodon en repartageant l'épisode, en le likant ou en le commentant et n'hésitez surtout pas à nous envoyer toutes vos questions.

[Benjamin] Merci Aeris.

[Benjamin] Et à la semaine prochaine !

[Aeris] Bonne semaine à tous !