Le "bug" de la protection de la vie privée est dans la législation américaine

Que deviennent nos données personnelles voire sensibles lorsqu'elles arrivent dans un Cloud ?
Il faut dire immédiatement que nous sommes protégés par des lois sur la confidentialité potentiellement inefficaces si le cloud est américain. L'actualité récente a d'ailleurs récemment entrepris de le prouver.
Des événements assez marquants ont soulevé la clameur de l'opinion publique sur la question de la confidentialité des informations, le tout à la veille de l'entrée en vigueur de la nouvelle LPD ou Loi pour la protection des données et la transparence dans la Confédération suisse.

Au LAC de Lugano, une "Journée LPD" 2022 pleine de bonnes nouvelles

Une enquête allemande a découvert la boîte de Pandore

Dans l'épisode du 6 mai de l'émission "Patti Chiari" du RSI, le problème de la protection des données personnelles liées à leur utilisation par un constructeur américain bien connu de voitures électriques a été soulevé.
Plusieurs épisodes sont mis en lumière, mais on parle surtout de trois affaires très significatives dans lesquelles le procureur de la République de Berlin, Andreas Winkelmann, a demandé les données relatives à deux accidents de la route et une affaire d'excès de vitesse au constructeur des véhicules impliqués : Tesla.
De manière surprenante, il n'a pas seulement obtenu les données qui, obligatoires et utiles par la loi, correspondent à la dynamique du véhicule relatives aux cinq secondes précédant l'impact : le procureur a également reçu les données relatives à l'ouverture de la porte du véhicule une bonne quarantaine- huit secondes après le choc et même la vidéo, enregistrée par la caméra arrière du véhicule, relative à l'intervention des secouristes suite à l'accident.
La Radiotélévision suisse ne mentionne pas s'il y a eu ou non autorisation d'un juge pour les demandes d'accès aux données par le ministère public.

Data room sécurisées et autodétermination numérique : deux « must »

Le problème de fond : les États-Unis ne sont pas… l'UE

Revenons quand même un peu en arrière. Pourquoi parle-t-on tant de Tesla et très peu de Renault, BMW, Mercedes et autres constructeurs automobiles ? Il y a un problème, et un seul : c'est l'emplacement du siège de l'entreprise. Alors que Renault, BMW, Mercedes sont des entreprises européennes, voire de l'Union européenne, Tesla est une entreprise américaine.

Cette étrange perception du numérique en l'absence de savoir-faire

Le Cloud Act américain est beaucoup moins « rigoureux »

Ce que nous disons est-il un problème pour notre vie privée ?
Certainement oui, car les entreprises américaines, sous peine de cessation totale de leurs activités, doivent se soumettre à une loi américaine, le Cloud Act, où "Cloud" ne désigne pas le service Internet normal que chacun d'entre nous utilise probablement, mais est en réalité un acronyme signifiant « Clarifying Lawful Overseas Use of Data ».
Celle-ci établit que même les données stockées « à l'étranger », donc hors des États-Unis, doivent toujours être accessibles par le gouvernement américain, les forces de police et autres organismes officiels, qu'ils soient américains ou étrangers, qui peuvent en faire la demande.
Cela signifie que si une entité autorisée demande au constructeur du véhicule ou à tout autre prestataire de services d'accéder aux données d'un utilisateur, qu'il s'agisse d'un particulier ou d'une entreprise, le prestataire peut contester la légalité de cette demande devant le tribunal compétent aux États-Unis.
Cependant, le Cloud Act, approuvé au niveau fédéral le 23 mars 2018, remplaçant le Stored Communications Act (SCA) de 1986, autorise les juges américains à faire procéder à la livraison de données par ces prestataires même sans motif légal précis.

Responsabilité numérique : Swiss la première marque au monde

Les conséquences potentielles ? On ne peut pas s'y opposer

Cela ouvre la porte à l'accès aux données sans que les organismes demandeurs disposent des autorisations spécifiques.
La seule condition pour la livraison des données est que la demande émane d'un organisme basé dans un État qui remplit les exigences standard de respect des droits de l'homme et de la vie privée.
Puisqu'il n'y a pas de réglementation spécifique à cet égard, à ce stade, le fournisseur est obligé de fournir les données demandées sans pouvoir, en fait, s'opposer de quelque manière que ce soit.
Nous ne savons donc pas quelles données et combien de données les constructeurs de véhicules transmettent au siège, mais nous pouvons être sûrs d'une chose : si le constructeur est américain, nous ne sommes en aucun cas protégés de l'accès aux informations nous concernant, même sans notre consentement explicite. .
Le parquet de Berlin travaille évidemment dans l'intérêt de la collectivité, mais sans l'autorisation d'un juge allemand, s'il avait demandé les données directement à Tesla, qui est obligé de les fournir, il aurait probablement commis une infraction dans son propre pays .
La question est encore plus subtile : avec le Cloud Act, ne pouvant de fait recevoir un refus du tribunal, tout Procureur pourrait demander, sur la base d'enquêtes préventives non liées à un événement survenu, mais uniquement fondées sur un soupçon , les données de quiconque en toutes circonstances.
Cela permettrait de trouver les preuves nécessaires pour demander a posteriori l'autorisation légale d'un nouvel accès aux données (puisque les premiers ont été embauchés illégalement, selon la législation européenne).

Tout sur la vie privée à l'heure du partage de masse

Beaucoup de nos appareils sont fabriqués aux États-Unis

Donc éviter d'acheter des voitures américaines ?
Pas vraiment : notre vie numérique voyage souvent sur des appareils qui s'interfacent avec des logiciels produits aux États-Unis et qui tentent par tous les moyens, via des pop-up ou des demandes d'autorisation, d'accéder à nos données pendant que nous réalisons nos actions quotidiennes.
Et l'UX (ou User eXperience), si vous décidiez d'ignorer ces tentatives de connexion, deviendrait très peu pratique : vous seriez inondé d'emails et de notifications rouges.
Je conseille toujours à toutes les entreprises et particuliers de s'interfacer le moins possible avec ce type d'entreprise, pour avoir une plus grande maîtrise de leur vie numérique et de leurs données personnelles.
Avec la nouvelle loi LPD (Loi sur la protection des données personnelles et la transparence), qui entrera en vigueur en Suisse le 2023er septembre XNUMX, il sera plus facile pour un citoyen de la Confédération suisse d'aborder le respect de ses données.
La nouvelle législation incite les systèmes de protection de la vie privée basés en Suisse et à l'étranger à collaborer les uns avec les autres, en respectant également le RGPD.
Ainsi chacun pourra obtenir le respect de ses données même en dehors de la Confédération en s'adressant simplement aux autorités suisses.

Facebook, les données de millions de profils divulguées publiquement en ligne

Sommes-nous en sécurité ? Lugano ira à la recherche de réponses…

Essayons de récapituler : nos données sur le Cloud seront-elles en sécurité avec la nouvelle loi LPD ? Suffira-t-il que les serveurs d'une entreprise américaine soient physiquement en Suisse pour être protégés ?
Pas vraiment : le Cloud Act permet dans tous les cas d'accéder à nos données.
Il reste encore beaucoup à faire, notamment pour informer les citoyens de leurs droits. Je vais essayer d'organiser le premier "Journée LPD" le 14 juin au LAC de Lugano.

La Guardia di Finanza lance des contrôles généraux sur la confidentialité en ligne