American data spies will never care where the servers are (analyse du privacy shield 2.0 par le créateur de ruby on rails et ses avocats)

2 comments

1. Traduction par DeepL, si l’anglais vous pose problème.

   **Les espions américains des données ne se soucieront jamais de savoir où se trouvent les serveurs**

   Au cours des deux années qui ont suivi l’invalidation du concept de bouclier de protection de la vie privée par la Cour de justice des Communautés européennes, les entreprises européennes ont fait des pieds et des mains pour prétendre se conformer à l’arrêt de la Cour, sans pour autant changer quoi que ce soit à la manière dont elles utilisent les services internet américains. Le consensus erroné semble avoir été que si seulement elles pouvaient obtenir d’un fournisseur américain qu’il place leurs données sur des serveurs situés dans l’UE, elles seraient prêtes. Ou, s’ils étaient vraiment fantaisistes, de placer ces serveurs sous la propriété d’une filiale européenne (détenue à 100 %). Mais aucun de ces tours de passe-passe n’a permis de résoudre le problème fondamental sur lequel la Cour de justice des Communautés européennes a statué. Ce n’était qu’un simulacre.

   Si la Cour a annulé l’accord Privacy Shield, c’est parce que les services de renseignement américains, comme la NSA, ont obtenu la couverture juridique nécessaire pour obliger les entreprises américaines à fournir des données sur des étrangers sans même un mandat. Il s’agit du régime de surveillance de masse que Snowden a révélé au monde en 2013, et qui se poursuit largement à ce jour (malgré des modifications mineures sur la capacité du programme à espionner les Américains). Ce régime est soutenu par des mécanismes tels que le tribunal kangourou de la FISA, qui opère en vertu de la tristement célèbre section 702.

   Ces mécanismes de surveillance de masse ne se soucient pas le moins du monde de l’emplacement physique des données. Ce qui les intéresse, c’est de savoir qui contrôle les données et si ces entités peuvent être contraintes de se conformer à la loi américaine, qui sanctionne ce jeu d’espionnage.

   Si vous êtes une entreprise européenne dont le courrier électronique est hébergé par Microsoft, la cour FISA ne se souciera pas le moins du monde de savoir si les données physiques du courrier électronique se trouvent à Redmond ou à Rotterdam. Tout ce qui l’intéresse, c’est de savoir si elle peut obliger Microsoft à la laisser fouiner, et elle le peut, parce que Microsoft est une société américaine, et c’est vraiment la fin de l’histoire ! Aucun artifice concernant l’emplacement des serveurs, les structures juridiques ou tout autre jeu de passe-passe ne pourra empêcher les services de renseignement américains d’accéder à vos données, s’ils le souhaitent.

   Il est donc impossible pour une entreprise américaine d’offrir une quelconque garantie de confidentialité aux entreprises européennes qui contournent des mécanismes tels que la section 702 de la FISA. C’est la raison pour laquelle la Cour de justice des Communautés européennes a rendu son arrêt !

   Je comprends parfaitement pourquoi les entreprises européennes et leurs fournisseurs américains ont cherché à trouver un moyen de faire semblant de se conformer à l’arrêt sans s’y conformer réellement. En effet, se conformer entièrement à la décision revient à interdire purement et simplement aux entreprises européennes d’utiliser les services internet américains pour stocker ou traiter leurs données. Cela érigerait un grand mur de protection de la vie privée entre l’Europe et l’Amérique, qui empêcherait de vastes quantités de commerce, afin de protéger les Européens des services de renseignement américains.

   Et, à la manière européenne typique, l’arrêt, et les interprétations populaires de l’arrêt, étaient timides quant à ces implications évidentes. Il a simplement transféré la charge de parvenir à la conclusion logique – une interdiction de la plupart des services Internet américains – sur les entreprises individuelles. Cela a permis aux avocats de toute l’Europe de concocter des analyses et des stratégies d’atténuation sur mesure pour des questions qui auraient dû être claires et universelles. C’était la bureaucratie européenne à son pire.

   Mais aussi les principes européens à leur meilleur ! La Cour de justice européenne devait savoir que son verdict serait un séisme pour le commerce, mais elle a choisi de le rendre quand même, dans le respect de principes supérieurs. Les entreprises et les hommes politiques européens se retrouvent ainsi dans la situation délicate de devoir régler les détails.

   Nous avons examiné toutes ces questions en détail lorsque le verdict Schrems II est arrivé en 2020. Toute une équipe d’avocats aux États-Unis a cherché à savoir si nous, 37signals, en tant qu’entreprise américaine, pouvions construire une constellation de filiales, de serveurs en Europe, ou autre, pour empêcher quelque chose comme la section 702 de la FISA de nous obliger à remettre des données sur des citoyens européens au cas où les autorités viendraient frapper sans mandat. La réponse a été claire : non.

   Aujourd’hui, les fonctions exécutives des États-Unis et de l’Europe ont élaboré un Privacy Shield 2.0 appelé Trans-Atlantic Data Privacy Framework (EU-U.S. DPF). Il comprend une longue liste de vagues engagements en faveur des principes européens de protection de la vie privée, tout en offrant aux Américains tellement de réserves qu’ils peuvent continuer à faire ce qu’ils veulent et ce qu’ils ont toujours fait.

   En d’autres termes, il s’agit d’un nouvel élément d’indirection maladroit qui a très peu de chances d’être accepté par la Cour de justice européenne. Mais comme les rouages de la justice tournent si lentement avec cette cour, elle offrira probablement une couverture suffisante pour les années à venir, de sorte que les Européens pourront continuer à utiliser les services américains. Pendant que les services de renseignement américains poursuivent leur régime de surveillance de masse avec la même justification de lutte contre le terrorisme que par le passé.

   Nous avons donc maintenant une autre tentative de faire semblant de se conformer à l’arrêt Schrems II initial. Une tentative qui invalide les millions d’heures facturées par les avocats qui tentent de trouver une solution sur mesure pour échapper à la responsabilité incertaine depuis 2020. Brillant. L’illustration parfaite de notre ère des emplois de pacotille.

   En attendant, les vrais gagnants sont les entreprises qui n’ont jamais pris la peine de s’engager dans la mascarade pour se mettre en conformité, les avocats qui ont joué leurs rôles coûteux dans la mascarade qui a été réalisée, et les espions de données américains qui n’ont jamais sauté un octet.

   Le plus beau dans tout cela, c’est que nous aurons probablement l’occasion de répéter cette danse en 2029, ou lorsque la Cour de justice européenne statuera à nouveau. Achetez vos billets dès maintenant pour Schrems III : Return of the Austrian.

   Conclusion : Les entreprises américaines ne pourront jamais résister aux exigences des services de renseignement américains. Peu importe que leurs serveurs soient situés en Virginie, à Paris ou sur la lune. L’Europe devrait soit accepter cette réalité, soit élever un véritable mur de protection de la vie privée malgré les coûts. Mais jusqu’à ce que l’Europe se décide, les entreprises européennes seraient bien avisées d’ignorer toute cette mascarade. Comme la plupart d’entre elles l’ont fait de toute façon.

   À propos de David Heinemeier Hansson
   Créateur de Ruby on Rails, copropriétaire et directeur technique de 37signals (Basecamp et HEY), auteur de best-sellers (REWORK, It Doesn’t Have to Be Crazy at Work, REMOTE), pilote de course ayant remporté la victoire au Mans, défenseur de la législation antitrust, investisseur dans des start-ups danoises, invité fréquent de podcasts et père de famille.

   Traduit avec http://www.DeepL.com/Translator (version gratuite)

2. Où ils demanderont à l’un de leur vassaux européens de pouvoir utiliser leurs infrastructures, comme ce fut le cas il n’y a pas si longtemps avec le Danemark.