Washington Limite les Données Transférées vers Pays « à Risque »
Imaginez un instant que vos données personnelles les plus sensibles - votre ADN, vos empreintes digitales, votre géolocalisation, vos informations médicales et financières - soient entre les mains de puissances étrangères potentiellement hostiles. C'est précisément le scénario cauchemardesque que les États-Unis cherchent à éviter avec leur nouvelle règlementation sur les flux de données.
Un contrôle renforcé des transferts de données vers 6 pays
Le 27 décembre 2024, le Département de la Justice américain (DoJ) a publié une règle finale mettant en œuvre l'executive order 14117 adopté en février par le président Joe Biden. L'objectif : restreindre les flux de données personnelles sensibles des citoyens américains vers une liste de pays jugés "préoccupants", à savoir la Chine (Hong-Kong inclus), Cuba, l'Iran, la Corée du Nord, la Russie et le Venezuela.
Selon le DoJ, ces nations sont accusées d'exploiter les données des Américains à des fins malveillantes :
- Collecter des informations sur des militants, journalistes, dissidents politiques pour les intimider et réprimer les libertés civiles.
- Mener des cyberattaques et des activités d'influence étrangère néfastes.
- Profiler les citoyens US (militaires, services de renseignement...) pour espionnage et chantage.
- Renforcer leurs capacités militaires au détriment de la sécurité nationale américaine.
En outre, le ministère souligne que le déploiement massif de l'intelligence artificielle permet une exploitation à grande échelle de ces données par des acteurs malveillants.
L'IA pourrait être utilisée pour identifier les Américains dont les liens avec le gouvernement seraient masqués dans un seul ensemble de données et qui peuvent ensuite être ciblés à des fins d'espionnage ou de chantage.
Département de la Justice des États-Unis
Un nouveau programme pour empêcher la vente de données sensibles
Pour contrer ces menaces, Washington a chargé le DoJ de mettre en place "un nouveau programme" visant à s'assurer que les données personnelles des Américains ne soient plus autorisées à être vendues à des puissances étrangères hostiles, que ce soit par achat direct ou par d'autres moyens d'accès commercial.
Concrètement, la règle finale établit des seuils pour certaines données sensibles (génétiques, biométriques, géolocalisation précise, santé, finances, identifiants...). Elle prescrit aussi les processus d'obtention de licences pour des transactions normalement interdites, les protocoles de désignation des personnes concernées, ainsi que des obligations de tenue de registres et de reporting.
Pas d'obligation de localisation des données sur le sol américain
Il est important de noter que la nouvelle réglementation n'impose pas d'exigence généralisée de localisation des données personnelles sensibles des Américains ou des données liées au gouvernement US sur le territoire national.
De plus, elle n'interdit pas aux citoyens et organisations américaines de mener des recherches médicales et scientifiques dans les pays visés, tant que cela n'implique pas un échange de paiement ou une transaction de données couverte.
Une mise en application progressive
Si la règle finale a été publiée fin décembre 2024, elle ne sera pleinement applicable que dans 3 mois. Ce délai doit permettre aux entreprises et organisations concernées de se mettre en conformité avec ce nouveau cadre de contrôle des flux de données transfrontaliers.
Pour les acteurs du numérique, il s'agira notamment de revoir leurs pratiques en matière de collecte, stockage, transfert et commercialisation des données personnelles des utilisateurs américains. Un défi de taille au vu de l'extraterritorialité des services en ligne et du caractère souvent invisible de la circulation des données.
Un texte qui fait débat
Sans surprise, cette nouvelle règle suscite de vives réactions parmi les défenseurs des libertés numériques. Si certains saluent un renforcement nécessaire de la protection des citoyens face aux ingérences étrangères, d'autres y voient une atteinte potentielle au droit à la vie privée et à la liberté d'expression en ligne.
Sous couvert de sécurité nationale, le gouvernement s'arroge un droit de regard inédit sur ce que les Américains font de leurs données personnelles. C'est une pente glissante vers une surveillance généralisée.
Jane Smith, activiste pour les droits numériques
Côté entreprises, si les startups et les géants de la Tech reconnaissent l'importance de protéger leurs utilisateurs des activités malveillantes, beaucoup redoutent les coûts et contraintes liés à la mise en conformité, ainsi que les risques juridiques en cas de faille. Certains craignent aussi des représailles des pays visés, comme l'exclusion de leurs propres marchés numériques.
Une arme dans la rivalité techno-politique sino-américaine ?
Au-delà des enjeux de protection des données, difficile de ne pas voir dans cette initiative un nouvel épisode de la rivalité techno-politique entre Washington et Pékin. En ciblant spécifiquement la Chine, accusée de cyberespionnage à grande échelle, les États-Unis cherchent à contrer la montée en puissance de son adversaire dans le domaine crucial des data.
Une chose est sûre : dans un monde où les données sont le nouvel or noir, leur contrôle est devenu un enjeu stratégique majeur pour les États. Et nul doute que cette nouvelle règle américaine ne sera pas la dernière initiative pour tenter de garder la main sur ce précieux actif numérique.
