NOUS NE SOMMES PLUS CAPABLES DE CONTRÔLER LA PROTECTION DE NOS DONNÉES

La commission nationale de l’informatique et des libertés, plus connue par son acronyme CNIL, est une autorité administrative indépendante (AAI).

Créée par la loi 78-17 du 6 janvier 1978, elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.

Elle est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte pas atteinte : ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Elle a un rôle d’alerte, de conseil et d’information vers tous les publics, mais dispose également d’un pouvoir de contrôle et de sanction.

Alerte !

C’est dans ce cadre, qu’elle a, le 19 courant, alerté sur : « les risques d’une certification européenne permettant l’accès des autorités étrangères aux données sensibles ».

De quoi s’agit-il ? À l’échelle européenne, la France fait figure de pionnière en matière de protection des données et de la protection de celles-ci dans le cloud, grâce à la vigilance de la CNIL.

Depuis mai 2018, le règlement général sur la protection des données (RGPD) fixe un ensemble de règles relatives à la protection des données. Ces règles s’appliquent à l’ensemble des entreprises opérant dans l’Union européenne.

La France a mis en place la qualification « SecNumCloud », délivrée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

De son côté, l’Union européenne cherche à accélérer sur le sujet de « la souveraineté numérique » avec le projet de certification cloud EUCS. Ce projet devrait se substituer aux certifications nationales (SecNumCloud en France, C5 en Allemagne, ENS en Espagne).

Cette harmonisation semble vouloir se faire « par le bas » en matière de protection des données. La CNIL déplore :

• « Dans son état actuel, le projet de certification européenne pour les services de cloud (EUCS) ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre tout accès par une puissance étrangère, contrairement à la qualification SecNumCloud en France. La CNIL appelle à rehausser le niveau de protection des données personnelles de cette certification en réintroduisant de telles garanties ».

Espionnage 

Les enjeux économico-politiques sont énormes, quand on sait que les principaux acteurs sont extraeuropéens.

C’est certainement le fait du hasard, si le 20 avril dernier, le Sénat américain a prolongé pour deux années la « loi d’espionnage FISA » 😉.

Ce texte autorise les services de renseignement américains à collecter les communications de non-citoyens américains à l’étranger… c’est à dire : les données personnelles vous concernant, me concernant, concernant nos entreprises 😡 !!!

Pendant ce temps-là…

Fonctionnement de l’Europe, oblige … le projet cloud EUCS ne fait pas l’objet d’un consensus à l’échelle des différents États membres de l’union :

• La France, l’Italie et l’Espagne se positionnent en faveur d’une protection stricte des données européennes et donc contre le principe d’extraterritorialité des données.
• Douze autres pays européens, dont l’Allemagne, s’opposent à une version du texte qui « contiendrait de trop fortes exigences de souveraineté ».

Pensez-vous sérieusement que la chienlit résultant du « coup politique » de la dissolution de notre cher « Jupiter-Mars », va nous permettre de peser sur ce projet de texte européen ?

Il va nous vassaliser encore davantage, vis-à-vis de nos « Z’amis Z’américains ». Vous avez dit ingérence ? Cessez, je vous prie, ces allusions déplacées. Les ricains sont « nos alliés », un point, c’est tout !

Comprenez bien que ce n’est pas notre « petite loi locale » du 29 mai 2024 visant à sécuriser et à réguler l’espace numérique… qui va faire rempart à l’application du texte européen « cloud EUCS ». Il est ici, temps de rappeler, la prééminence du droit européen sur le droit national!

L’intelligence artificielle 

Restons dans les « merveilleux apports » de l’Europe, telle qu’elle est actuellement. Connaissez-vous le comité européen de la protection des données (CEPD) ? Il a pour mission de garantir l’application cohérente :

• Du règlement général sur la protection des données (RGPD).
• De la directive sur la protection des données pour les traitements à des fins de prévention et de détection des infractions pénales, dite « directive Police-Justice ».

Lors de sa dernière réunion, le CEPD a souhaité avoir une position commune sur son rôle dans la mise en œuvre du règlement européen sur l’Intelligence artificielle (RIA) du 13 juin 2024, qui entrera en application à partir du 1er août 2024.

Une fois encore, notre chère CNIL « monte au créneau » et nous alerte le 18 de ce mois « olympico-parigo », de l’an de grâce 2024. Cette fois-ci, c’est au sujet du RIA, ou l’autorité européenne essaie de « passer en force », pour avoir la maitrise de la protection de nos données… au profit de qui ?

Tous fout le camp

Ce ne sont pas n’importe lesquelles. Il s’agit : « des systèmes d’intelligence artificielle à haut risque utilisés dans les domaines suivants :

• L’identification biométrique, la catégorisation biométrique et la reconnaissance des émotions utilisées à des fins répressives, de gestion des frontières, et de justice et démocratie ;
• La répression ;
• La migration, les demandes d’asile et la gestion des contrôles aux frontières ;
• L’administration de la justice et processus démocratique ».

Avec « l’amie Ursula », reconduite comme présidente de la Commission européenne, certainement grâce à sa performante gestion de l’épisode « Corona-entourloupus », pour le plus grand bien des citoyens européens… nous pouvons dormir tranquilles 😴. Nos données seront en de bonnes mains… hélas, pas les nôtres 😥.

 « Seuls les plus petits secrets ont besoin d’être protégés.
Les plus gros sont gardés par l’incrédulité publique »
(Herbert Marshall McLuhan)

Chers lecteurs, prenez soin de vos données personnelles, autant que faire se peut.

Je vous aime et vous salue.