La CNIL conteste toute naïveté face au cloud américain et la NSA

Ce jeudi, Numerama analysait un rapport publié par le Parlement Européen, qui s'intéresse aux raisons pour lesquelles l'Europe n'a pas empêché les programmes de surveillance de la NSA contre les citoyens européens, et en particulier le programme PRISM. En substance, il était reproché aux responsables européens d'avoir fait preuve de naïveté voire de complicité, en se reposant sur des mécanismes de clauses contractuelles imposées aux prestataires de cloud (clauses dites "BCR" pour "Binding Corporate Rules") sans prendre en compte la réalité des lois américaines qui obligent ces mêmes prestataires à communiquer secrètement à la NSA des données sur les non-Américains.

Dans son rapport, l'expert Caspar Bowden s'interrogeait sur le comportement la CNIL. Mais celle-ci conteste être ciblée par le rapport. "Contrairement à ce que laisse entendre votre article, la CNIL n’est pas la cible de celui-ci, puisqu’elle n’est citée qu’une seule fois, au titre de son investissement sur les BCR", nous fait remarquer la Commission.

Elle a raison. Mais c'est aussi la seule autorité nationale à être explicitement visée par Caspar Bowden, et ce à un passage fondamental de la démonstration du rapport.

"Les révélations concernant le programme PRISM illustrent de manière frappante le caractère insensé de ce stratagème juridique", critiquait le rapport au sujet des BCR, avant d'ajouter qu'il est "il est plutôt surprenant qu'aux diverses étapes de son développement, ce mécanisme ait bénéficié du  soutien (…) de la Commission nationale de l'informatique et des libertés (CNIL), en France, qui a dirigé le travail d'élaboration de ces règles".

Rejetant toute idée d'avoir fait preuve de naïveté, la CNIL a communiqué à Numerama les trois observations suivantes :

1. "Le dispositif BCR n’a jamais été conçu dans le but de s’opposer à des transferts massifs de données vers des autorités publiques d’Etats tiers. Il a uniquement pour objet d’encadrer le transfert de données entre entreprises du secteur privé. A ce titre, s’il intègre certaines exceptions aux obligations d’information au bénéfice d’autorités publiques, celles-ci ne peuvent être que ponctuelles et ciblées."
2. "Il en résulte que, comme indiqué à maintes reprises par la CNIL elle-même, les BCR n’ont ni pour objet, ni pour effet, de légaliser des pratiques d’aspirations massives de données par des autorités publiques" (notons sur ce point qu'à aucun moment le rapport Bowden ne dit que la collecte par la NSA des données hébergées sur le cloud est illicite. Il dit même précisément le contraire, ce qui justifie sa charge contre les autorités qui ont fermé les yeux et cru que des contrats pouvaient être supérieurs à la loi).
3. "La Présidente de la CNIL a été auditionnée le 7 octobre dernier au Parlement européen, et a indiqué que ni les Clauses contractuelles types, ni les BCR, ni le Safe Harbor ne sont les bons instruments pour faire obstacle à PRISM. C’est pour cette raison que nous avons fait d’autres propositions, qui relèvent du niveau de la réglementation européenne, à savoir la subordination de tout transfert de données européennes aux autorités publiques américaines à l’autorisation des régulateurs européens (reprise par le parlement à l’article 43 du projet de règlement européen) ou la conclusion d’un accord bilatéral Union européenne / Etats-Unis, et non de simples outils contractuels."

Dont acte. C'est ce dernier point que nous avions trouvé ambigu.

Votre VPN préféré n'est pas celui que vous croyez Comparateur VPN — Notre sélection des meilleurs VPN en 2024 Retrouvez notre comparateur pour choisir le meilleur VPN

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !