Avec plus de 15 ans d’expérience en tant qu’avocate, son rôle de cofondatrice d’un conseil consultatif sur la protection des données et sa participation active aux procédures devant la Cour de justice de l’Union européenne – aux côtés de Max Schrems et Thomas Lohninger – Katharina Raabe-Stuppnig est l’une des voix les plus influentes du droit européen de la protection des données. Dans son cabinet d’avocats de la Wickenburggasse à Vienne, elle nous parle de son parcours professionnel, des défis du RGPD et de la complexité croissante causée par les nouvelles lois numériques de l’UE.
Du droit des médias à la protection des données : expert en Autriche
Katharina Raabe-Stuppnig a commencé sa carrière dans le droit des médias. Elle a conseillé des maisons d’édition et des entreprises de télécommunications sur le droit de la concurrence, la publicité et la responsabilité des médias. Le passage à la protection des données s’est fait presque automatiquement : « De nombreux clients m’ont approché et m’ont dit : vous connaissez nos processus et notre équilibre des intérêts – pouvez-vous également nous soutenir dans le domaine de la protection des données ? »
Avec l’entrée en vigueur du RGPD, la protection des données est devenue plus centrale dans la réalité de l’entreprise. Des amendes de plusieurs millions ont augmenté la pression. Les entreprises ont besoin de concepts clairs et s’appuient sur les partenariats existants. En conséquence, le droit de la protection des données est passé d’un sujet marginal à l’axe central de son travail.
« Mon souhait serait de renforcer l’économie européenne – à travers des alternatives européennes. La stratégie numérique et le Data Act sont un pas dans la bonne direction. La seule question est : est-ce que cela viendra à temps ?
Mag. Kathrina Raabe-Stuppnig
La protection des données en tant que catalyseur
Depuis l’introduction du RGPD en 2018, le besoin d’assistance juridique a énormément augmenté – et reste élevé. Cela s’explique notamment par le fait que le règlement ne fait aucune distinction entre les grandes entreprises et les petites entreprises. Tous doivent répondre aux mêmes normes.
« Aujourd’hui, un système de gestion de la protection des données fonctionnel est un véritable catalyseur », explique Raabe-Stuppnig. « Il donne aux entreprises une vue d’ensemble des systèmes, des processus et des risques – et constitue la base de l’optimisation et de l’augmentation de l’efficacité. »
Dans le même temps, l’environnement devient de plus en plus complexe : de nouvelles législations telles que NIS-2, la loi sur la cyber-résilience, la loi sur l’IA ou la loi sur les données imposent des exigences supplémentaires aux entreprises, dans tous les secteurs. Ceux qui ont déjà créé une base stable pour la protection des données ont un net avantage.
Stratégies de transformation numérique
Les questions qui se posent aujourd’hui aux entreprises se tournent vers le cabinet d’avocats sont multiples :
- Comment NIS-2 m’affecte-t-il si je suis un fournisseur d’infrastructures critiques ?
- De quelles politiques ai-je besoin pour la loi sur l’IA ?
- Comment puis-je gérer les nouveaux droits d’accès aux données conformément à la loi sur les données – sans compromettre le niveau de protection des données que j’ai mis en place jusqu’à présent ?
Outre les évaluations juridiques, les questions stratégiques jouent un rôle de plus en plus important : où se situent les responsabilités dans l’entreprise ? Comment conciliez-vous la conformité, la cybersécurité et l’innovation ? Raabe-Stuppnig et son équipe soutiennent les entreprises non seulement dans la mise en œuvre, mais aussi dans le positionnement dans le nouveau cadre juridique.
UE vs États-Unis : des attitudes de base différentes
L’utilisation de logiciels provenant de pays tiers, par exemple par des hyperscalers américains, est une question particulièrement sensible. Bien qu’il existe également des lois sur la protection des données aux États-Unis, la protection s’applique principalement aux citoyens américains. Pour les citoyens de l’UE, ces réglementations sont beaucoup plus faibles.
« Le problème réside dans la pondération : les intérêts de sécurité de la NSA priment souvent sur la protection des données des non-Américains. La CJUE a déjà constaté cette disproportion à deux reprises – et a ainsi annulé des principes centraux tels que le Safe Harbor et le Privacy Shield.
Changement de conscience en Europe depuis 2018
Depuis l’entrée en vigueur du RGPD, la prise de conscience en Europe a sensiblement changé. Les entreprises sont aujourd’hui beaucoup plus sensibles lorsqu’il s’agit de traiter des données personnelles. L’attention médiatique autour des décisions en matière de protection des données et des affaires très médiatisées a joué un rôle central à cet égard.
« Nous avons créé une référence en matière de protection des données en Europe », résume Raabe-Stuppnig. « Et il est gratifiant de voir combien d’entreprises s’efforcent activement non seulement de respecter cette norme, mais aussi de l’utiliser comme un avantage concurrentiel. »
Qu’est-ce qui rend le transfert de données vers les États-Unis si sensible – et quelle est la situation juridique dans l’UE aujourd’hui ?
Le débat sur la protection des données entre l’UE et les États-Unis est complexe – et surtout très dynamique d’un point de vue juridique. Contrairement à des pays comme la Suisse, pour lesquels une décision d’adéquation de la Commission européenne a été rendue, la situation avec les États-Unis était et est beaucoup plus compliquée. Une telle décision précise que les données à caractère personnel peuvent être transférées vers un pays tiers parce qu’il existe un niveau de protection des données comparable à celui de l’UE. Dans des pays comme la Chine ou la Russie – et pendant longtemps aussi aux États-Unis – une telle décision a fait défaut.
Le traitement des données aux États-Unis – un exercice d’équilibre juridique
Par exemple, dès que les entreprises travaillent avec des prestataires de services de traitement de données aux États-Unis, celles-ci doivent prendre des mesures de protection supplémentaires pour maintenir le niveau de protection des données requis par le RGPD. Cela signifie plus d’efforts, plus d’obligation de vérification et plus de risques.
Un exemple pratique : même si vous choisissez un emplacement de serveur au sein de l’UE pour les fournisseurs de cloud américains, le problème persiste, par exemple si la filiale européenne est subordonnée à une société mère américaine. En cas d’urgence, les autorités américaines telles que la NSA pourraient exiger l’accès aux données, y compris par le biais d’une chaîne de commandement interne. L’emplacement d’un serveur dans l’UE réduit le risque, mais ne l’élimine pas complètement.
De la sphère de sécurité au cadre de confidentialité des données : un examen
L’histoire des accords de protection des données entre l’UE et les États-Unis se lit comme une succession de revers juridiques :
- Safe Harbor a été le premier accord à imposer volontairement certaines normes de protection des données aux entreprises américaines. Il a été annulé en 2015 par l’arrêt Schrems I.
- Le Privacy Shield a été le successeur – une version révisée de Safe Harbor. Mais cet accord a également été déclaré invalide par la Cour de justice de l’Union européenne en 2020 dans l’arrêt Schrems II.
- En réponse, le cadre de protection des données est entré en vigueur, sur la base duquel la Commission européenne a de nouveau adopté une décision d’adéquation pour les États-Unis.
Cependant, la nouvelle décision repose une fois de plus sur des bases fragiles
En effet, le cadre de confidentialité des données est basé sur un décret du président américain – c’est-à-dire un ordre qui peut théoriquement être révoqué à tout moment. Les critiques doutent donc de la stabilité à long terme de ce cadre. Une action en justice contre la décision d’adéquation a déjà été déposée devant la Cour de justice de l’Union européenne – l’issue est ouverte.
En outre, l’autorité de surveillance américaine compétente, PCLOB , n’est actuellement pas en mesure d’agir car trois de ses cinq dirigeants ont été licenciés par l’ex-président Trump. Le résultat : une grande incertitude quant à la stabilité réelle du mécanisme de protection des données aux États-Unis.
Quelle est l’importance du cadre de protection des données pour les entreprises de l’UE ?
Si vous planifiez à long terme et que vous souhaitez vous concentrer sur la sécurité des données, vous ne devez pas vous fier aveuglément au cadre de confidentialité des données. La situation juridique peut changer rapidement, comme par le passé. Les évaluations d’impact sur les transferts de données (TIA) nécessitent beaucoup d’efforts, et les violations peuvent entraîner de lourdes sanctions : jusqu’à 4 % du chiffre d’affaires annuel mondial.
Les services cloud américains sont (toujours) utilisables, mais non sans risque
À l’heure actuelle, les services cloud des fournisseurs américains peuvent être utilisés dans le respect des réglementations en matière de protection des données, à condition que des mesures de protection appropriées telles que des clauses contractuelles types et des mesures de sécurité techniques soient mises en œuvre. Mais il reste un risque résiduel. Il est particulièrement problématique qu’il n’existe toujours pas de cryptage de bout en bout adapté à une utilisation quotidienne pour tous les types d’utilisation – par exemple, dans le traitement continu des données (« données en cours d’utilisation »).
L’utilisation des services américains doit donc toujours être évaluée individuellement : Quelle est la sensibilité des données traitées ? Quelles sont les mesures de sécurité prises ? Et dans quelle mesure l’entreprise est-elle réellement en mesure d’amortir les risques ?
Entre le noir et blanc et le réalisme : comment les entreprises doivent gérer la protection des données et les fournisseurs de cloud
La question de savoir si les entreprises ne devraient utiliser que des logiciels et des services cloud d’origine européenne – un « tout ou rien » – semble être une position claire à première vue. Mais c’est exactement ce contre quoi Katharina Raabe-Stuppnig, experte en protection des données, met en garde. Un tel principe est non seulement impraticable, mais aussi difficile à justifier auprès des autorités. Au contraire, toute décision d’utiliser des logiciels ou des services cloud doit être prise au cas par cas, en fonction de la sensibilité des données traitées et des mesures de protection qui peuvent être prises concrètement.
Ne vous laissez pas bercer par un faux sentiment de sécurité, même avec Privacy Framework
Autre sujet qui occupe actuellement de nombreuses entreprises : que se passera-t-il si la Cour de justice de l’Union européenne (CJUE) annule le nouveau cadre de confidentialité des données entre l’UE et les États-Unis – comme l’ont fait auparavant le « Safe Harbor » et le « Privacy Shield » ? La réponse à cette question est claire : une insécurité juridique massive se poserait à nouveau. C’est précisément la raison pour laquelle Kargl conseille déjà aux entreprises de ne pas s’appuyer exclusivement sur le cadre, mais de convenir en plus de clauses contractuelles types (CCT). Celles-ci devraient toujours inclure une analyse d’impact des transferts (TIA), c’est-à-dire une analyse des risques pour le transfert de données vers des pays tiers.
Mais l’avocat est également clair : si le cadre de protection des données devait effectivement tomber et que la proportionnalité du transfert de données vers les États-Unis était donc fondamentalement remise en question, les TIA atteindraient également leurs limites. L’espoir repose alors sur des mesures techniques et organisationnelles supplémentaires , avant tout sur le cryptage.
Cryptage : l’aspiration et la réalité divergent
Les autorités de protection des données et la CJUE exigent une solution claire de la part des fournisseurs de cloud américains : les données ne doivent être stockées que sous forme cryptée et la clé doit être gérée en dehors du fournisseur – idéalement en Europe et sous le contrôle de l’entreprise responsable des données ou d’un fiduciaire européen. L’objectif de cette solution dite de « gestion externe des clés » est de faire en sorte que, même en cas d’accès par des autorités américaines telles que la NSA, seules les données cryptées, c’est-à-dire inutilisables, puissent être transmises.
Dans la pratique, cependant, selon Katharina Raabe-Stuppnig, ce type de cryptage ne peut réellement être mis en œuvre que pour les données de sauvegarde. Dès que les données sont traitées activement dans la vie quotidienne , l’accès à du matériel non crypté est nécessaire. C’est précisément là que réside le problème : la technologie qui permet un traitement complet des données dans un état crypté n’existe actuellement que dans une mesure très limitée – par exemple, pour des calculs simples ou des estimations dans des scénarios spécifiques. L’état de la technique n’est pas encore suffisant pour l’utilisation généralisée requise dans les affaires.
Le rôle de l’Europe : les opportunités offertes par la législation sur les données
Malgré ces défis, l’avocat est optimiste pour l’avenir : la loi européenne sur les données pose un cap important. Les fournisseurs de cloud doivent être tenus de mettre en œuvre des stratégies multicloud, c’est-à-dire de prendre en charge le changement sans problème entre les fournisseurs, sans coûts de changement élevés. Il s’agit d’un effort actif pour renforcer la souveraineté européenne dans l’espace numérique et pour créer davantage d’alternatives aux hyperscalers américains à long terme.
La question reste de savoir si l’Europe sera encore en mesure de le faire à temps pour pouvoir agir de manière plus indépendante et plus sûre dans l’espace numérique. Néanmoins, Mme Raabe-Stuppnig est convaincue que la volonté politique est là – et qu’avec un financement et une réglementation ciblés, des alternatives européennes viables pourraient bientôt émerger.
Une dérogation générale aux solutions d’un pays tiers n’est ni praticable ni légalement requise. Les entreprises doivent soigneusement évaluer la sensibilité de leurs données, les partenaires appropriés et les mesures de protection qu’elles peuvent mettre en œuvre concrètement. Ceux qui s’appuient déjà sur les CCT, les TIA et le cryptage sont non seulement du bon côté juridique, mais renforcent également leur position européenne dans la concurrence numérique.
