Je ne vous apprendrai naturellement rien en vous disant que les relations UE/USA en matière de protection des données à caractère personnel sont houleuses. Et les frêles esquifs qui en font le jeu sont plus les organisations européennes que les GAFA(M), NATU, BADX, etc.
A l’évidence, la solution ne réside pas dans un instrument juridique, puisque Safe Harbor, Privacy Shield et Data Privacy Framework ont été annulés ou sont (vraisemblablement) en passe de l’être. Comme me le pointait Laurent, il y a… des lustres, maintenant, le différend est pratiquement inexpugnable. Et ce, justement, du fait d’une une approche différente de la protection des données, comme le rappelait le 1er paragraphe du Safe Harbor:
« Même si les États-Unis et l’Union européenne ont comme objectif commun de protéger davantage la vie privée de leurs citoyens, les États-Unis préconisent dans ce domaine une approche différente de celle de l’Union européenne. »
S’appropriant les propos de Tite-Live, la CNIL et le Comité Européen à la Protection des Données (CEPD) ont osé. Ils ont, pour remédier au moins à une partie du problème, délaissé le théâtre opérationnel du droit pour autre système normatif : la famille ISO27k.
Cette série de normes, dédiée à la sécurité de l’information, s’est ainsi enrichie d’une extension à la 27001 qui, sous couvert de revenir sur des techniques de sécurité, propose un système de management de la protection des données, reflet du RGPD ou en tout cas de son interprétation par ces deux organes.
Si la CNIL veut faire du bénévolat, me direz-vous, grand bien lui fasse.
Certes.
Pour autant, l’engagement de la Commission paraît stratégique, à la lecture de ses encouragements à adopter ce cadre juridique.
En passant à un échelon international, « dépolitisé » et en arguant de contribuer à la sécurité d’informations individuelles personnelles, l’autorité de protection des données française semble viser une approche « bottom/up » pour faire prévaloir sa vision des choses au niveau mondial. Ce faisant, elle s’échappe de la problématique juridico-diplomatique UE/USA et confie aux RSSI et RSMSI le soin de pourfendre les contrevenants au RGPD.
Cette stratégie est classique. Elle a permis à l’Union Européenne de pénétrer le domaine de la santé, pourtant domaine réservé des Etats membres. Elle a permis à des entreprises chinoises de se créer une (brève) hégémonie sur les VCD, dans les années 90. Elle a été baptisée « Emprunter l’épée d’un tiers », il ya 25 siècles.