En janvier 2023, le Forum économique mondial a publié une étude intitulée ”Data Free Flow with Trust: Overcoming Barriers to Cross-Border Data Flows”. L’organisme international démontre par ce biais son attachement plus que jamais actuel à la doctrine Data Free Flow With Trust (DFFT), et "exhorte les dirigeants mondiaux des secteurs public et privé à prendre des « mesures collectives pour travailler à une compréhension commune" des flux de données.

Cette publication représente l’occasion parfaite de revenir en ce début d’année sur la situation globale des transferts transfrontaliers de données. Entre une fragmentation persistante des réglementations d’un côté, et la récente multiplication des initiatives d’harmonisation de l’autre, 2023 pourrait bien marquer l’avènement d’un cadre unifié venant remplacer les incertitudes et les barrières constituées par l’environnement juridique et politique actuel.

Le paradoxe de la circulation des données : entre nécessité économique et fragmentation politique

La publication du Forum économique mondial débute par une double constatation qui constitue l’essence même du paradoxe de la circulation des données.

D’une part, il est incontestable que la circulation des données est aujourd’hui essentielle dans nos sociétés digitales globalisées. Les transferts de données sont fondamentaux pour nos économies, pour l’innovation, et plus généralement pour le progrès social. C’est ainsi qu’en 2020, le volume total mensuel de données échangées à l’échelle mondiale atteignait les 230 milliards de gigabytes ; une quantité qui devrait plus que tripler d’ici 2026.

D’autre part, les enjeux politiques, géostratégiques et économiques critiques associés aux transferts de données poussent naturellement de nombreux gouvernements à implémenter des réglementations restrictives ou des obligations de localisation limitant les flux de données dans une optique de protection de la vie privée, de sécurité nationale, de préservation des droits de propriété intellectuelle ou encore de mise en avant d’acteurs économiques locaux. Ces restrictions, même si elles peuvent se révéler tout à fait légitimes, ont petit à petit abouti à une fragmentation réglementaire globale dommageable pour les entreprises comme pour l’innovation :  “In the context of global regulatory fragmentation and rising data localization, research efforts have shown that companies are facing a range of barriers.” Data Free Flow with Trust: Overcoming Barriers to Cross-Border Data Flows – p. 6.

Nous avons vu se multiplier ces dernières années divers exemples du renforcement de cette fragmentation globale des réglementations entourant les transferts de données ainsi que de ses effets néfastes.

L’illustration la plus évidente d’un tel mouvement se trouve probablement dans la double remise en cause du libre transfert des données entre l’Europe et les États-Unis. En effet, le 7 octobre 2015, la Cour de justice de l’Union européenne (CJUE) invalide la décision d’adéquation qui, basée sur le bouclier “Safe Harbor”, permettait jusqu’ici la circulation transatlantique des données. Au cœur de cette invalidation : un encadrement jugé insuffisant par la juridiction européenne de l’accès des autorités américaines aux données personnelles dans le cadre d’opérations de surveillance, de sécurité nationale ou d’application de la loi. Les conséquences économiques néfastes entraînées par cette remise en cause des flux de données entre les deux continents poussèrent les États-Unis à produire un nouveau cadre de protection des données, le “Privacy Shield”, sur la base duquel une nouvelle décision d’adéquation fut prononcée par la Commission européenne. Le Privacy Shield ne revenant cependant pas sur la racine du problème soulevé par la CJUE en 2015 (l’encadrement de l’accès aux données par l’administration américaine), la décision d’adéquation associée fut elle-même invalidée quelques années plus tard, le 16 juillet 2020 (pour plus de détails, voir notre article sur le sujet).

“A recent OECD report shows that a growing number of countries are adopting data localization rules – explicit requirements that data be stored and/or processed within their territory. Data localization measures are also becoming more restrictive: in 2021, two-thirds of such measures involved both storage requirements and flow prohibitions.” Data Free Flow with Trust: Overcoming Barriers to Cross-Border Data Flows – p. 5.

Le paradoxe de la circulation des données est évident ici : malgré l’importance économique des échanges de données entre l’Europe et les États-Unis, les positions géostratégiques divergentes des deux puissances ont abouti à une situation d’insécurité juridique forte pour les acteurs économiques ainsi qu’à des obstacles durables entravant l’innovation.

De manière plus générale, de nombreuses réglementations nationales visant à encadrer les traitements de données à caractère personnel ont vu le jour ces dernières années dans le sillon du RGPD. Beaucoup de ces textes introduisent des règles strictes liées aux transferts dans une optique économique ou géostratégique. Par exemple, le Data Protection Bill indien stipulait, dans sa version originelle,  que les “données personnelles critiques” devront impérativement être localisées et traitées en Inde, sans qu’aucune exception ne soit possible ; les “données personnelles sensibles”, quant à elles, devront également être stockées en Inde et ne pourront être copiées dans un État tiers que si certaines conditions d’adéquation de la réglementation étrangère sont remplies. De manière très similaire, la “Personal Information Protection Law” (PIPL) chinoise introduit de strictes conditions relatives aux transferts ainsi que des obligations de localisation poussées.

Il est ainsi aujourd’hui assez clair que l’environnement juridique et politique global des transferts de données reste définitivement fragmenté, une situation paradoxale au vu des bénéfices économiques et sociaux considérables que pourraient entraîner une libre circulation des données.

Vers un renversement de tendance et la construction progressive d’un cadre unifié ?

Il est cependant tout à fait possible que 2023 marque le début d’une nouvelle ère pour les transferts transfrontaliers de données.

Comme l’indique le texte du Forum économique mondial, nous assistons ces derniers mois à une multiplication exponentielle d’accords bilatéraux ou multilatéraux visant à simplifier les transferts entre pays par l’harmonisation des cadres juridiques et l’abolition des exigences de localisation. Des cadres plus généraux visant à produire un mouvement global de coopération sur la question ont également vu le jour. Le Data Free Flow with Trust est l’un d’entre eux, et probablement l’un des plus impactant. En effet, le DFFT fut introduit par l’ancien premier ministre japonais Shinzo Abe au sommet annuel du G20 en 2019, et tend à promouvoir une vision de libre circulation des données basée sur une confiance mutuelle portée à l’échelle globale.

“In fact, members of the G7 countries have recognized that ‘DFFT underpins innovation, prosperity and democratic values”. This vision has also been carried forward to the latest G20 in Bali, where the G20 Bali Leaders’ Declaration clearly mentioned, ‘We remain committed to further enable data free flow with trust and promote cross-border data flows.’ Data Free Flow with Trust: Overcoming Barriers to Cross-Border Data Flows – p. 4.

Au-delà d’une simple multiplication quantitative des accords et déclarations relatives à la libre circulation des données, le renversement de tendance que nous observons ces derniers mois tient principalement à leur contenu. En effet, les négociations bilatérales ou multilatérales aboutissent à de véritables compromis pouvant débloquer la situation. Les discussions en cours entre l’Europe et les États-Unis visant à rétablir une décision d’adéquation entre les deux continents sont en bonne voie d’aboutir à un accord durable. Contrairement au Privacy Shield, les États-Unis ont en effet accepté de revoir les règles entourant l’accès aux données personnelles par l’administration américaine (voir notre article sur le décret présidentiel signé par Joe Biden sur la question).

Dans le sillage de ces discussions, l’OCDE a publié le 14 décembre 2022  le premier accord intergouvernemental établissant des règles communes relatives aux conditions d’accès aux données personnelles à des fins de sécurité nationale et d’application de la loi (voir également notre article sur la question). Cet accord pose les fondations d’une harmonisation globale des réglementations nationales en la matière ; un référentiel unique qui pourra permettre, dans l’esprit du DFFT, une ouverture des flux de données sur la base d’une confiance mutuelle dans le respect de standards partagés.

Suivant ce mouvement global d’harmonisation, certains pays ont également commencé à revoir leurs réglementations nationales afin d’assouplir les règles relatives aux transferts ; ainsi, la révision de 2022 du Digital Personal Data Protection Bill indien s’écarte explicitement de ses exigences marquées de localisation présentes dans ses précédentes versions.

Pour conclure

Le paysage global des transferts de données se situe aujourd’hui à la croisée des chemins. Les dernières années ont incontestablement été marquées par la construction progressive d’une fragmentation politique et juridique sur la question de la circulation des données. La prise de conscience progressive du paradoxe que représente une telle situation alors même que les flux de données représentent le carburant de notre économie digitale globalisée et de notre force d’innovation a mené à la multiplication des initiatives d’harmonisation. Une collaboration internationale qui affiche aujourd’hui une volonté de trouver des compromis et des référentiels communs afin de rompre un statu quo peu satisfaisant. Un mouvement qui pourrait bien faire de 2023 l’année de la libre circulation transfrontalière des données.


Source link