Le droit de la protection des données en transition : entretien avec l’experte Katharina Raabe-Stuppnig

Protection des données en Europe - sproof

Agnieszka Grzybek

Dernière modification : 27 août 2025
Droit, économie et fiscalité
Thumbnail Blog post Katharina Raabe-Stuppnig sproof
Katharina Raabe-Stuppnig, avocate

Avec plus de 15 ans d’expérience en tant qu’avocate, son rôle de co-fondatrice d’un conseil consultatif sur la protection des données et sa participation active à des procédures devant la Cour européenne de justice – avec Max Schrems et Thomas Lohninger -, Katharina Raabe-Stuppnig est l’une des voix les plus marquantes du droit européen de la protection des données. Dans son cabinet de la Wickenburggasse à Vienne, elle nous parle de son parcours professionnel, des défis posés par le RGPD et de la complexité croissante des nouvelles lois européennes sur le numérique.

Du droit des médias à la protection des données : expert en Autriche

Katharina Raabe-Stuppnig a commencé sa carrière dans le droit des médias. Elle a conseillé des maisons d’édition et des entreprises de télécommunications sur des questions de droit de la concurrence, de publicité et de responsabilité des médias. Le lien avec la protection des données s’est fait presque automatiquement : “De nombreux clients sont venus me voir en me disant : “Vous connaissez nos processus et nos intérêts – pouvez-vous aussi nous aider à protéger les données ?”

Lorsque le RGPD est entré en vigueur, la protection des données est devenue plus centrale dans la réalité des entreprises. Des amendes de plusieurs millions d’euros ont accru la pression. Les entreprises avaient besoin de concepts clairs – et s’appuyaient pour cela sur des partenariats existants. C’est ainsi que le droit de la protection des données est passé d’un sujet marginal à un thème central de son activité.

« Mon souhait serait de renforcer l’économie européenne – à travers des alternatives européennes. 
La stratégie numérique et le Data Act sont un pas dans la bonne direction. La seule question est : est-ce que cela viendra à temps ?

Mag. Kathrina Raabe-Stuppnig

La protection des données en tant que catalyseur

Depuis l’introduction du RGPD en 2018, le besoin d’accompagnement juridique a énormément augmenté – et reste élevé. Cela s’explique notamment par le fait que le règlement ne fait pas de distinction entre les grands groupes et les petites entreprises. Tous doivent répondre aux mêmes normes.

“Un système de gestion de la protection des données qui fonctionne est aujourd’hui un véritable facilitateur”, explique Raabe-Stuppnig. “Il donne aux entreprises une vue d’ensemble des systèmes, des processus et des risques – et constitue la base de l’optimisation et de l’amélioration de l’efficacité”.

Parallèlement, l’environnement devient de plus en plus complexe : de nouvelles législations comme NIS-2, le Cyber Resilience Act, l’AI Act ou le Data Act imposent des exigences supplémentaires aux entreprises – dans tous les secteurs. Ceux qui ont déjà mis en place une base solide de protection des données sont clairement avantagés.

Stratégies de transformation numérique

Les questions qui se posent aujourd’hui aux entreprises se tournent vers le cabinet d’avocats sont multiples :

  • Comment NIS-2 m’affecte-t-il si je suis un fournisseur d’infrastructures critiques ?
  • De quelles politiques ai-je besoin pour la loi sur l’IA ?
  • Comment puis-je gérer les nouveaux droits d’accès aux données conformément à la loi sur les données – sans compromettre le niveau de protection des données que j’ai mis en place jusqu’à présent ?

Outre les évaluations juridiques, les questions stratégiques jouent un rôle de plus en plus important : où faut-il placer les responsabilités dans l’entreprise ? Comment concilier conformité, cybersécurité et capacité d’innovation ? Raabe-Stuppnig et son équipe accompagnent les entreprises non seulement dans la mise en œuvre, mais aussi dans leur positionnement au sein du nouveau cadre juridique.

UE vs États-Unis : des attitudes de base différentes

L’utilisation de logiciels de pays tiers – par exemple par des hyperscaleurs américains – est un sujet particulièrement sensible. Bien qu’il existe également des lois sur la protection des données aux États-Unis, la protection s’applique principalement aux citoyens américains, a déclaré Mme Raabe-Stuppnig. Pour les citoyens de l’UE, ces règles sont nettement plus faibles.

« Le problème réside dans la pondération : les intérêts de sécurité de la NSA priment souvent sur la protection des données des non-Américains. La CJUE a déjà constaté cette disproportion à deux reprises – et a ainsi annulé des principes centraux tels que le Safe Harbor et le Privacy Shield.

Changement de conscience en Europe depuis 2018

Depuis l’entrée en vigueur du RGPD, les mentalités ont sensiblement évolué en Europe. Les entreprises sont aujourd’hui beaucoup plus sensibles à la gestion des données personnelles. L’attention des médias autour des jugements sur la protection des données et des cas célèbres a joué un rôle central dans ce processus.

“Nous avons créé un standard d’or en Europe en matière de protection des données”, résume Raabe-Stuppnig. “Et il est gratifiant de voir combien d’entreprises s’efforcent activement non seulement de se conformer à cette norme, mais aussi de l’utiliser comme un avantage concurrentiel”.

Qu’est-ce qui rend le transfert de données vers les États-Unis si sensible – et quelle est la situation juridique dans l’UE aujourd’hui ?

Le débat sur la protection des données entre l’UE et les États-Unis est complexe – et surtout très dynamique sur le plan juridique. Contrairement à des pays comme la Suisse, pour lesquels il existe une décision dite d’adéquation de la Commission européenne, la situation était et reste beaucoup plus compliquée pour les États-Unis. Une telle décision stipule que les données personnelles peuvent être transférées vers un pays tiers parce qu’il y a un niveau de protection des données comparable à celui de l’UE. Dans des pays comme la Chine ou la Russie – et pendant longtemps aux États-Unis – une telle décision faisait défaut.

Le traitement des données aux États-Unis – un exercice d’équilibre juridique

Par exemple, dès que les entreprises travaillent avec des prestataires de services pour le traitement des données aux États-Unis, elles doivent mettre en place des mesures de protection supplémentaires afin de maintenir le niveau de protection des données requis par le RGPD. Cela signifie plus de travail, plus d’obligations de contrôle – et plus de risques.

Un exemple pratique : même si l’on choisit un emplacement de serveur au sein de l’UE auprès de fournisseurs de cloud américains, le problème persiste – par exemple si la filiale européenne dépend d’une société mère américaine. En cas d’urgence, les autorités américaines telles que la NSA pourraient exiger l’accès aux données, y compris via une chaîne d’instructions interne. Le fait que les serveurs soient situés dans l’UE réduit le risque, mais ne l’élimine pas complètement.

De la sphère de sécurité au cadre de confidentialité des données : un examen

L’histoire des accords de protection des données entre l’UE et les États-Unis se lit comme une succession de revers juridiques :

  • Safe Harbor a été le premier accord à imposer volontairement certaines normes de protection des données aux entreprises américaines. Il a été annulé en 2015 par l’arrêt Schrems I.
  • Le Privacy Shield a été le successeur – une version révisée de Safe Harbor. Mais cet accord a également été déclaré invalide par la Cour de justice de l’Union européenne en 2020 dans l’arrêt Schrems II.
  • En réponse, le cadre de protection des données est entré en vigueur, sur la base duquel la Commission européenne a de nouveau adopté une décision d’adéquation pour les États-Unis.

Cependant, la nouvelle décision repose une fois de plus sur des bases fragiles

En effet, le cadre de confidentialité des données est basé sur un décret du président américain – c’est-à-dire un ordre qui peut théoriquement être révoqué à tout moment. Les critiques doutent donc de la stabilité à long terme de ce cadre. Une action en justice contre la décision d’adéquation a déjà été déposée devant la Cour de justice de l’Union européenne – l’issue est ouverte.

En outre, l’autorité de surveillance américaine compétente, PCLOB , n’est actuellement pas en mesure d’agir car trois de ses cinq dirigeants ont été licenciés par l’ex-président Trump. Le résultat : une grande incertitude quant à la stabilité réelle du mécanisme de protection des données aux États-Unis.

Quelle est l’importance du cadre de protection des données pour les entreprises de l’UE ?

Si vous planifiez à long terme et que vous souhaitez vous concentrer sur la sécurité des données, vous ne devez pas vous fier aveuglément au cadre de confidentialité des données. La situation juridique peut changer rapidement, comme par le passé. Les évaluations d’impact sur les transferts de données (TIA) nécessitent beaucoup d’efforts, et les violations peuvent entraîner de lourdes sanctions : jusqu’à 4 % du chiffre d’affaires annuel mondial.

Les services cloud américains sont (toujours) utilisables, mais non sans risque

À l’heure actuelle, les services cloud des fournisseurs américains peuvent être utilisés dans le respect des réglementations en matière de protection des données, à condition que des mesures de protection appropriées telles que des clauses contractuelles types et des mesures de sécurité techniques soient mises en œuvre. Mais il reste un risque résiduel. Il est particulièrement problématique qu’il n’existe toujours pas de cryptage de bout en bout adapté à une utilisation quotidienne pour tous les types d’utilisation – par exemple, dans le traitement continu des données (« données en cours d’utilisation »).

L’utilisation des services américains doit donc toujours être évaluée individuellement : Quelle est la sensibilité des données traitées ? Quelles sont les mesures de sécurité prises ? Et dans quelle mesure l’entreprise est-elle réellement en mesure d’amortir les risques ?

Entre le noir et blanc et le réalisme : comment les entreprises doivent gérer la protection des données et les fournisseurs de cloud

La question de savoir si les entreprises ne devraient utiliser que des logiciels et des services de cloud computing d’origine européenne – un “tout ou rien” – semble à première vue être une position claire. C’est pourtant ce que met en garde l’experte en protection des données Katharina Raabe-Stuppnig. Un tel principe est non seulement éloigné de la pratique, mais aussi difficilement défendable auprès des autorités. Au contraire, chaque décision d’utiliser des logiciels ou des services de cloud computing doit être prise au cas par cas, en fonction de la sensibilité des données traitées et des mesures de protection qui peuvent être prises concrètement.

Ne vous laissez pas bercer par un faux sentiment de sécurité, même avec Privacy Framework

Autre sujet qui occupe actuellement de nombreuses entreprises : que se passera-t-il si la Cour de justice de l’Union européenne (CJUE) annule le nouveau cadre de confidentialité des données entre l’UE et les États-Unis – comme l’ont fait auparavant le « Safe Harbor » et le « Privacy Shield » ? La réponse à cette question est claire : une insécurité juridique massive se poserait à nouveau. C’est précisément la raison pour laquelle Kargl conseille déjà aux entreprises de ne pas s’appuyer exclusivement sur le cadre, mais de convenir en plus de clauses contractuelles types (CCT). Celles-ci devraient toujours inclure une analyse d’impact des transferts (TIA), c’est-à-dire une analyse des risques pour le transfert de données vers des pays tiers.

Mais l’avocat est également clair : si le cadre de protection des données devait effectivement tomber et que la proportionnalité du transfert de données vers les États-Unis était donc fondamentalement remise en question, les TIA atteindraient également leurs limites. L’espoir repose alors sur des mesures techniques et organisationnelles supplémentaires , avant tout sur le cryptage.

Cryptage : l’aspiration et la réalité divergent

Les autorités de protection des données et la CJUE exigent une solution claire de la part des fournisseurs de cloud américains : les données ne doivent être stockées que sous forme cryptée et la clé doit être gérée en dehors du fournisseur – idéalement en Europe et sous le contrôle de l’entreprise responsable des données ou d’un fiduciaire européen. L’objectif de cette solution dite de « gestion externe des clés » est de faire en sorte que, même en cas d’accès par des autorités américaines telles que la NSA, seules les données cryptées, c’est-à-dire inutilisables, puissent être transmises.

Dans la pratique, cependant, selon Katharina Raabe-Stuppnig, ce type de cryptage ne peut réellement être mis en œuvre que pour les données de sauvegarde. Dès que les données sont traitées activement dans la vie quotidienne , l’accès à du matériel non crypté est nécessaire. C’est précisément là que réside le problème : la technologie qui permet un traitement complet des données dans un état crypté n’existe actuellement que dans une mesure très limitée – par exemple, pour des calculs simples ou des estimations dans des scénarios spécifiques. L’état de la technique n’est pas encore suffisant pour l’utilisation généralisée requise dans les affaires.

Le rôle de l’Europe : les opportunités offertes par la législation sur les données

Malgré ces défis, l’avocat est optimiste pour l’avenir : la loi européenne sur les données pose un cap important. Les fournisseurs de cloud doivent être tenus de mettre en œuvre des stratégies multicloud, c’est-à-dire de prendre en charge le changement sans problème entre les fournisseurs, sans coûts de changement élevés. Il s’agit d’un effort actif pour renforcer la souveraineté européenne dans l’espace numérique et pour créer davantage d’alternatives aux hyperscalers américains à long terme.

La question reste de savoir si l’Europe sera encore en mesure de le faire à temps pour pouvoir agir de manière plus indépendante et plus sûre dans l’espace numérique. Néanmoins, Mme Raabe-Stuppnig est convaincue que la volonté politique est là – et qu’avec un financement et une réglementation ciblés, des alternatives européennes viables pourraient bientôt émerger.

Une dérogation générale aux solutions d’un pays tiers n’est ni praticable ni légalement requise. Les entreprises doivent soigneusement évaluer la sensibilité de leurs données, les partenaires appropriés et les mesures de protection qu’elles peuvent mettre en œuvre concrètement. Ceux qui s’appuient déjà sur les CCT, les TIA et le cryptage sont non seulement du bon côté juridique, mais renforcent également leur position européenne dans la concurrence numérique.

Calculateur de retour sur investissement

Calculez l’impact environnemental et économique de la signature électronique dans votre entreprise. Gratuit et sans engagement.

CALCULEZ LE RETOUR SUR INVESTISSEMENT MAINTENANT

Plus d’articles de blog

  • A Test (noindex)

    Lorem Ipsum eID Hub

    Georg Fuhrmann

  • Pourquoi les processus d’identité échouent dans le B2B – et

    sproof ident pour la vérification d'identité

    Dr. Clemens Brunner

  • Que sont les “Electronic Attestations of Attributes” (EAAs) ?

    Digital Ident : les trois types d'EAA en bref

    Dr. Clemens Brunner

    Le blog de sproof : Que sont les EAA ?
  • Ce site est enregistré sur wpml.org en tant que site de développement. Passez à un site de production en utilisant la clé remove this banner.