Le journal de BORIS VICTOR

mai 6

LIRE DANS L'APP

Les données personnelles, c’est un gigantesque marché qui se chiffre en milliers de milliards d’euros. En France, quand il fait les gros titres, c’est quand ces données sont piratées et que le pays se révèle être une immense passoire.

Cette lecture, quoique déjà inquiétante, est pourtant très loin du compte. Pour cela, il faut déjà bien comprendre ce que recouvrent les données personnelles. Selon le RGPD (le règlement général sur la protection des données, applicable dans toute l’Union européenne), une donnée personnelle est toute information qui permet d’identifier, directement ou indirectement, une personne physique. Classiquement, nom, prénom, adresse e-mail, numéro de sécurité sociale, empreinte digitale, photo du visage. Mais aussi adresse IP, données de localisation, historique de navigation, préférences d’achat (les cookies), données de santé, opinions politiques, etc.

Ces données sont un immense marché. Que la France ne le mesure pas, ou pas suffisamment est une chose. La culture du numérique a clairement ses limites dans l’Hexagone, et encore plus dans les hautes sphères de l’Etat. Il n’y a qu’à voir le très faible écho, politique comme médiatique, donné à la commission d’enquête parlementaire sur les dépendances structurelles et vulnérabilités systémiques du numérique alors que le sujet est d’importance majeure.

Que Bruxelles brade ce marché aux Américains comme il y a tout lieu de le penser factuellement, et comme on le verra plus loin, en est une autre. Car les données personnelles sont devenues éminemment stratégiques. Grâce à elles, les grandes plateformes, les Gafam, construisent des profils extrêmement précis de milliards de d’individus, permettant une publicité ciblée, sans parler de manipulation comportementale (vos achats) voire même de prédiction (vos votes).

L'Eclaireur est une lettre confidentielle par abonnement. Pour soutenir notre travail, choisissez le vôtre, libre ou payant.

Ces données n’ont pas qu’une valeur marchande. Elles ont aussi un pouvoir politique. Voir le scandale Cambridge Analytica ou comment les données personnelles de millions d’utilisateurs Facebook ont servi à influencer les intentions de vote en faveur d'hommes politiques qui avaient eu recours aux services de cette société britannique fondée par Steve Bannon, l’artisan de la victoire de Donald Trump en 2016. Ces données alimentent aussi les modèles d’IA. Elles se révèlent être également un outil pour surveiller les citoyens - plus que de les censurer, n’en déplaise à certains. Un outil pour les Etats et un outil pour les entreprises qui peuvent les exploiter à des fins commerciales mais aussi les transmettre aux autorités, spécialement aux Etats-Unis.

L’enjeu est donc énorme. Et il se pose nous concernant entre deux blocs : l’Union européenne et les Etats-Unis. C’est un fait, nous utilisons massivement des services américains : cloud (qui héberge une grande partie des données), réseaux sociaux, outils collaboratifs, logiciels d’entreprise… Plus des trois quarts des pays européens ont recours à des services de cloud américains pour des fonctions essentielles à leur sécurité nationale, alerte un rapport, pointant les risques que fait peser cette dépendance numérique.

De la sorte que l’UE est totalement inféodée à l’oncle Sam quand bien même un premier pas, très symbolique, a été fait avec l’attribution de l’hébergement des données de santé en France à un acteur tricolore, au dépens de Microsoft.

[ Flash ] Les données de santé des Français sont enfin protégées...

Apr 24

Entre l’UE et les USA, c’est même un véritable tunnel dans lequel circulent quantité de données. Au propre comme au figuré : 80 % des cables sous-marins ont été posés ou rachetés par les Gafam.

Le problème est que, quand les données personnelles des Européens, et des autres, sont protégées sur le continent - par le RGPD, l’un des cadres les plus stricts au monde qui considère les données personnelles comme un droit fondamental - elles le sont bien moins quand elles franchissent l’Atlantique.

Aux Etats-Unis, il n’y a pas de loi fédérale générale équivalente au RGPD. Si le 4e amendement de la Constitution protège en partie les Américains contre leur gouvernement, il ne protège quasiment pas les Européens. Rajoutez à cela la loi FISA et son article 702 qui permet aux agences de renseignement US d’avoir massivement accès aux données des étrangers, ce sans autorisation judiciaire équivalente au droit européen. Et ce quel que soit le pays où les données sont stockées du moment qu’existe un point d’accès américain.

Quoique de ce côté-ci, ça tangue aussi un peu.

[ Flash ] La surveillance de masse aux USA a du plomb dans l'aile

Pascal Clérotte

Apr 17

C’est cette asymétrie dans la protection et l’exploitation des données qui avait conduit la Cour de justice de l’Union européenne (CJUE), saisie par Max Schrems, un avocat autrichien spécialisé dans la protection des données, à invalider les deux premiers cadres transatlantiques signés entre l’UE et les Etats-Unis. Accords qui visent à permettre les transferts des données personnelles des Européens, et les protéger selon les standards du droit européen.

Un troisième accord a bien été signé en 2023, mais pour ses détracteurs, Max Schrems en tête, le compte n’y est pas : le Data Privacy Framework (DPF) est considéré comme une resucée à peine améliorée du cadre précédent, le Privacy Shield. Dit simplement : le niveau de protection est encore insuffisant.

C’est d’ailleurs dans ce sens qu’en France, un citoyen - député à la ville et président de la commission d’enquête parlementaire dont nous parlions plus haut - Philippe Latombe avait saisi le tribunal de l’Union européenne.

[ Données personnelles ] Un député demande à Ursula von der Leyen de revoir l'accord avec les Etats-Unis

April 24, 2024

Si son recours a été rejeté en première instance, Philippe Latombe a formé un pourvoi. De la sorte qu’une troisième fois, la CJUE sera amenée à se pencher sur cette nouvelle version de l’accord cadre… Et il n’est pas dit que Max Shrems et son association, NOYB (None of Your Business) n’intente pas à son tour un recours.

Pour Max Shrems, la question se pose d’autant plus que depuis 2023, le contexte a changé. “Alors que l'instabilité du système juridique américain devient indéniable et que les États-Unis montrent des signes manifestes d'hostilité à l'égard de l'UE, il est temps de reconsidérer la destination de nos données - et de voir combien de temps le "château de cartes" juridique construit par l'UE tiendra bon”, souligne-t-il.

C’est que le DPF signé en 2023 par Ursula von der Leyen, sans prendre en compte les critiques du parlement européen et sans véritable débat sur le sujet, est assis sur des bases fragiles. Il ne repose ainsi pas sur une loi votée par le Congrès mais sur un executive order, un décret présidentiel signé par Biden en 2022, qui peut être modifié ou purement et simplement annulé.

De la surveillance de masse au kill switch

Les lois américaines permettent un accès très large aux données des Européens une fois qu’elles sont transférées aux États-Unis. Il n’y a là rien de nouveau, tout ceci a été révelé par Edward Snowden. Il s’agit ni plus ni moins qu’une surveillance de masse, puisqu’il n’y a pas d’autorisation judiciaire préalable individuelle. Surveillance de masse, légale et tolérée aux Etats-Unis et surtout pour les non-Américains mais interdite sur le continent européen ¹, que tente d’opérer par moults moyens détournés la Commission européenne. Voir le projet de règlement ChatControl ou plus récemment la proposition d’application de la vérification par l’âge dont la filiation pose plus que question - nous y reviendrons.

Mais la question ne se pose pas seulement en termes de protection de la vie privée. Elle se pose aussi en termes de vulnérabilité d’infrastructures critiques. Le risque est patent. C’est ce qu’on appelle le kill switch, littéralement des coupures d’accès ou interruptions forcées. La dépendance aux hyperscalers américains donne aux États-Unis un levier géopolitique puissant. Ce sont eux qui ont le doigt sur l’interrupteur. Et l’histoire a montré que les USA avaient une longue pratique, qui se perpétue, de l’embargo numérique, comme l’a souligné Max Shrems lors de son audition par la commission.

“Cuba, la Syrie et l’Iran sont sous embargo. Actuellement, Microsoft, Google et AWS ne sont pas autorisés à fournir des services dans ces endroits.”

Il y avait pourtant un début de solution, qui ne résolvait certes pas tout mais aurait permis de limiter le risque de surveillance américaine (ou autre, la Chine a aussi des lois extraterritoriales par exemple), de kill switch et de dépendance stratégique. L’EUCS (EU Cloud Services Scheme), la certification cloud européenne que la France défend depuis des années, inspirée de son SecNumCloud et qui entend garantir le plus haut niveau de protection pour les données les plus sensibles, a été expurgée par Bruxelles de ses exigences de “souveraineté”.

Le niveau High+ (le plus exigeant), avec une vraie protection contre les accès américains, a été supprimé. À la place, les fournisseurs peuvent se contenter d’une simple attestation selon laquelle ils respectent certaines règles. La certification européenne n’impose pas d’obligation stricte de siège européen, de contrôle majoritaire européen, ou d’immunité juridique forte contre les lois extraterritoriales américaines.

Sorti en France par la porte, Microsoft/Azure - qui a perdu le marché de l’hébergement des données de santé - a ainsi faisant la possibilité de revenir par la fenêtre. En renonçant aux critères de souveraineté forts dans l’EUCS, Bruxelles permet à des solutions hybrides qui utilisent la technologie américaine tout en étant opérées par des entreprises européennes de continuer à dominer via d’opportuns partenariats. Rappelons que Microsoft/Azure s’est allié avec Orange et Capgemini pour former Bleu -notez l’ultime pied de nez jusque dans l’intitulé de la co-entreprise. Et que Google s’est associé à Thalès dans l’offre S3NS.

Le talon d’Achille irlandais

En vertu du mécanisme du guichet unique prévu par le RGPD, une société traitant des données n’a pour interlocutrice qu’une seule autorité de protection des données : celle de l’État membre dans lequel est situé son établissement principal.

Ainsi, enquêtes et sanctions relatives aux données personnelles doivent être décidées par l’autorité du pays dans lequel elles ont leur siège. L’Irlande pour Google, Apple (YouTube), Meta (Facebook, Instagram, WhatsApp), X/Twitter et Microsoft ; le Luxembourg pour Amazon. La DPC, l’équivalent irlandais de la Commission nationale Informatique et Liberté (Cnil), qui gère environ 20 % des dossiers faisant l’objet d’une plainte en Europe, dispose ainsi d’un pouvoir de contrôle démesuré.

Quand une plainte est déposée contre Apple devant la Cnil française, celle-ci la traduit puis l'envoie à la DPC. Dit autrement un citoyen français qui se plaint d'une violation de ses données par Facebook, ou d’une suspension de son compte par X, dépend en réalité d'un régulateur irlandais qu'il ne peut pas vraiment interpeller. Ou bien cela lui coûtera très très cher et sera très long comme le souligne Max Shrems.

“Les coûts sont prohibitifs pour les citoyens ou les petites structures qui veulent contester. Cela peut coûter des centaines de milliers d’euros.”

L'Irlande a un vrai pouvoir de régulation, sauf qu’elle traine passablement des pieds. C'est le seul régulateur européen à avoir conclu très souvent des accords amiables, soulignait dans une note en 2023 l’institut des droits fondamentaux numériques.

“La DPC irlandaise reconnaît ouvertement qu’elle ne statue pas sur les plaintes relatives au RGPD. Au moins 99,93 % des personnes concernées ne voient aucune décision prise, malgré un budget de 19,1 millions d’euros”, faisait état NOYB en 2021.

En 2021, sur pression du Parlement européen qui avait voté en faveur d'une résolution appelant la Commission européenne à ouvrir une procédure de sanction contre la DPC irlandaise pour violation du RGPD - laquelle ne sera pas ouverte - la DPC se met à la page. Depuis, elle a augmenté ses effectifs, changé sa gouvernance, multiplié les sanctions, devenues aussi plus lourdes. Le montant des amendes prononcées se chiffre aujourd’hui à plus de 4 milliards d’euros. Mais le taux de recouvrement est faible. A ce jour, 20 millions d’euros seulement ont été encaissés. C’est moins de 0,5 % du montant réclamé.

La Cour de justice de l’Union européenne considère que la surveillance de masse généralisée et indifférenciée est incompatible avec les droits fondamentaux européens (articles 7 et 8 de la Charte, respect de la vie privée et protection des données personnelles).

Vous êtes abonné gratuit à L'Eclaireur. Pour accéder à l’ensemble de nos contenus, merci de souscrire à la formule d’abonnement payant de votre choix.

Liker

Commenter

Restack

Your Personal Data Is Much More Than You Think

A geopolitical weapon of mass submission the European commission is covertly handing over to the United States.

mai 6

LIRE DANS L'APP

Un data center de Microsoft — @ Microsoft

Personal data is a multi-trillion-euro market. In France, it only makes the news when a major hack reminds the country — again — that it is little more than a digital sieve.

Even that damning image understates the problem. Before measuring the stakes, one must understand what is actually at stake. Under GDPR — the General Data Protection Regulation, binding across the European Union — personal data is any information capable of identifying a natural person, directly or indirectly. The obvious entries: names, addresses, email addresses, social security numbers, fingerprints, facial photographs. But the list doesn’t stop there. It extends to IP addresses, location data, browsing histories, purchasing preferences harvested via cookies, health records, and political opinions.

The definition is sweeping. The exposure, broader still.

This Substack is reader-supported. To support our work, consider becoming a free or paid subscriber.

These data points form an immense market — one that France has conspicuously failed to measure, let alone confront. The country’s digital literacy has pathetic limits, nowhere more visible than at the top of the state. The parliamentary inquiry into “structural digital dependencies and systemic vulnerabilities” — a document of critical importance — was met with near-total political and media indifference. That tells you everything.

That the European Commission is effectively handing gold on steroids to the Americans is a separate scandal — and one the facts bear out. Personal data has become a strategic asset of the first order. The major platforms use it to construct extraordinarily detailed profiles of billions of individuals: who they are, what they buy, how they can be nudged, and how they will vote. Hyper-targeted advertising. Behavioral manipulation. Political prediction. The infrastructure of influence, quietly assembled.

The commercial dimension is only part of the story. Data is a form power — and Cambridge Analytica made that undeniable. The personal data of millions of Facebook users was weaponized to shape voting intentions on behalf of politicians who hired the British firm co-founded by Steve Bannon, the strategist behind Donald Trump’s 2016 victory. Beyond electoral interference, this data feeds artificial intelligence models and enables surveillance — of citizens by states, of consumers by corporations, and of both by American authorities who can compel disclosure under domestic law, regardless of where in the world the data sits.

Now, Palantir that!

L'Eclaireur In English

Palantir's Dark Side of the Force

Pascal Clérotte

Apr 29

Let’s kill a misconception right away. Palantir is not a mass surveillance company — however loudly and repeatedly that claim gets made. Palantir is a software publisher. Its business is consolidating vast, heterogeneous datasets and making them analytically actionable for decision-makers. It is not artificial intelligence, even if AI features sit inside its toolkit. Conflating the two only muddies the debate — and a muddy debate serves Palantir just fine.

For Europe, the stakes play out across a single fault line: dependence on American infrastructure. Cloud computing, social networks, collaborative tools, enterprise software — the backbone of European digital life is overwhelmingly American-owned. More than three-quarters of European countries rely on U.S. cloud services for functions essential to national security, according to a report flagging the acute risks of that dependency. The EU has become, in effect, a digital vassal of Washington. France’s decision to award health data hosting to a French provider rather than Microsoft was a first step — largely symbolic, but at least it was a step.

The data flows between the EU and the U.S. are not merely metaphorical. Eighty percent of submarine cables have been laid or acquired by the GAFAM. The physical architecture of the internet is, itself, an American asset.

This matters because the legal architecture is equally asymmetric. Within Europe, the GDPR remains one of the world’s most rigorous privacy frameworks — treating personal data as a fundamental right. That protection largely disappears the moment data crosses the Atlantic. The United States has no federal equivalent. The Fourth Amendment offers Americans some shield against their own government; it offers Europeans almost none. FISA and Section 702 grant U.S. intelligence agencies sweeping access to foreign nationals’ data, without judicial oversight remotely comparable to European standards — and regardless of where the data is physically stored, provided any American point of access exists.

Even that asymmetry, troubling as it is, may be understating the problem.

[ Flash ] Mass Surveillance in the U.S. Takes a Hit

Pascal Clérotte

Apr 17

This legal vacuum is not new — and it has already been tested. Twice, the Court of Justice of the European Union struck down transatlantic data transfer agreements between the EU and the United States, following complaints brought by Austrian privacy activist Max Schrems. Both agreements were sold as guarantees that Europeans’ personal data would be protected to European standards once it crossed the Atlantic. The CJEU disagreed, both times.

A third attempt was signed in 2023: the Data Privacy Framework. Critics, Schrems foremost among them, are unconvinced. The DPF, they argue, is little more than a cosmetically improved Privacy Shield — the same inadequate protections, repackaged. In France, MP Philippe Latombe — who also chairs the parliamentary inquiry on digital dependency — brought the agreement before the EU’s General Court. His case was dismissed at first instance. He has appealed. The CJEU will examine this framework for a third time. NOYB, Schrems’ organization, may file its own challenge in parallel.

For Schrems, the urgency has sharpened considerably since 2023. With American legal instability now impossible to ignore and Washington showing open hostility toward the EU, he warns that the time has come to reassess where European data goes — and how long the EU’s legal construction can hold before it collapses.

The warning is not abstract. The DPF was signed by Ursula von der Leyen without meaningful parliamentary input or public debate. More damning still: it rests not on an act of Congress but on an Executive Order signed by President Biden in 2022. It can be modified — or revoked — at any moment, by any president, for any reason.

That is the legal guarantee Europe is currently relying on.

From mass surveillance to the kill switch

U.S. law grants sweeping access to European data the moment it touches American soil. This is not a revelation — Snowden settled that question a decade ago. What it amounts to is mass surveillance: legal and unremarkable in the United States, particularly when the targets are foreign nationals, and flatly prohibited on European territory. The European Commission, apparently undeterred, pursues the same ends through other means — ChatControl, age-verification mandates — proposals whose surveillance implications deserve far more scrutiny than they receive.

But privacy is only part of the exposure. The deeper vulnerability is infrastructural. Europe’s dependence on American hyperscalers has handed Washington a geopolitical weapon: the kill switch. They control the infrastructure. They control the switch. As Schrems has noted, the United States has a long, uninterrupted history of digital embargoes. Cuba, Syria, and Iran cannot access Microsoft, Google, or AWS. The mechanism exists. The willingness to use it has been demonstrated repeatedly.

There was, briefly, the outline of a response. The EUCS — the EU Cloud Services Scheme — would not have solved everything. But it would have meaningfully reduced exposure to American surveillance, extraterritorial legal reach, and strategic dependency. Backed strongly by France and modeled on its own SecNumCloud standard, the EUCS aimed to set a genuine sovereignty benchmark for the EU’s most sensitive data. Brussels gutted it.

The most demanding tier — High+ — which offered real protection against U.S. access, was quietly dropped. Providers can now self-certify compliance. There is no longer any requirement for European headquarters, majority European ownership, or robust immunity against American extraterritorial law. The certification that was supposed to protect European data now protects little more than the appearance of doing so.

Microsoft, having lost the French health data contract, did not go away. It found the back door Brussels left open. The result is a new generation of hybrid arrangements — American technology, European branding, structural dependency intact. Microsoft has partnered with Orange and Capgemini to produce “Bleu.” Google has joined with Thales to offer S3NS. The sovereignty is cosmetic. The irony of the name “Bleu,” at least, is unambiguous.

The Irish Achilles’ Heel

The GDPR’s “one-stop-shop” mechanism was designed for efficiency. In practice, it created a bottleneck — and a vulnerability. Under the rule, a company processing personal data answers to a single data protection authority: the one where its European headquarters sits. The consequences are predictable. Google, Apple, Meta, X, and Microsoft all fall under Irish jurisdiction. Amazon answers to Luxembourg. Ireland’s Data Protection Commission handles roughly 20% of all European complaints. It wields authority entirely disproportionate to its accountability.

The practical implications are quietly absurd. A French citizen filing a GDPR complaint against Facebook is routed to a regulator in Dublin they cannot easily reach, in a process that can cost hundreds of thousands of euros and drag on for years. As Schrems puts it, the costs are simply prohibitive for individuals and small organizations. The architecture of European data protection formally guarantees rights that are, for most people, functionally inaccessible.

Ireland does possess real regulatory power. For years, it declined to use it. The DPC became the only European authority to routinely settle complaints through negotiated agreements rather than formal decisions. In 2021, NOYB documented the scale of the dysfunction: by the DPC’s own admission, it was not issuing decisions on GDPR complaints. At least 99.93% of complainants received none — this from an authority with a €19.1 million annual budget.

Under sustained pressure from the European Parliament, the DPC has since hired more staff, overhauled its governance, and started issuing fines — larger ones, more frequently, now totaling over €4 billion on paper. On paper. Actual collections stand at roughly €20 million. Less than half a percent of the amounts imposed has been recovered. The enforcement architecture of the world’s most ambitious privacy regulation is, at its operational core, a deterrent that doesn’t deter.

Vous êtes abonné gratuit à L'Eclaireur. Pour accéder à l’ensemble de nos contenus, merci de souscrire à la formule d’abonnement payant de votre choix.