Intervention de Juliette Alibert

C'est ce que j'essayais d'expliquer tout à l'heure. Effectivement, les données sont pseudonymisées. Cependant, plusieurs études – nous pourrons vous communiquer les références – démontrent que, dès lors qu'on croise les données, même si celles-ci ne sont pas directement ré-identifiantes, il est en réalité très facile de ré-identifier des personnes, lorsqu'on dispose d'informations telles que la localisation, l'âge, le sexe, etc.

Sur l'aspect chiffrement, je tiens à rappeler que nous nous sommes appuyés sur un avis de la CNIL, datant du 20 avril 2020. La CNIL a avancé, dès le début, qu'il y avait plusieurs risques de sécurité importants, notamment sur ces clés de chiffrement détenues par Microsoft. Il nous a été confirmé ce matin – et cela l'avait été lors de l'audience devant le juge du référé – que Microsoft détient bien ces clés. Un système de « customer lockbox » permet en théorie un système d'accès sécurisé. Cependant, peut-on remettre les clés à un prisonnier dont on ne veut pas qu'il sorte de sa cellule, et lui dire de ne pas y toucher ? Techniquement, il n'y a aucune modalité qui empêche l'accès aux données par Microsoft. Par ailleurs, dès lors que ces données sont utilisées à des fins de recherche, d'intelligence artificielle – et, encore une fois, nous le rappelons, nous ne sommes pas contre la recherche –, cela signifie qu'elles sont à un moment déchiffrées. Pour permettre à ces data scientists de faire leur travail, il faut bien qu'elles soient déchiffrées. Elles leur sont délivrées de façon déchiffrée. La problématique reste donc pleine et entière.

Enfin, concernant l'interdiction des transferts de données vers les États-Unis, nous étions heureux de savoir que, dans l'instruction de notre recours devant le Conseil d'État, le ministre avait effectivement décidé d'empêcher les transferts. C'est une première garantie. Cependant, cela ne modifie pas en substance les risques des citoyens, quant à l'accès à leurs données personnelles sensibles, qui sont les données de leur sphère la plus intime, et vis-à-vis desquelles ils peuvent être victimes de discrimination (par exemple s'ils ont le VIH). Ces risques sont toujours présents, comme l'ont souligné le juge de l'Union européenne, la CNIL ainsi que d'autres acteurs. En tout état de cause, les pratiques du droit américain et ses effets extraterritoriaux ne sont pas conformes, dans le sens qu'ils ne remplissent pas les critères minimums de la protection telle qu'elle est aujourd'hui exigée par le RGPD. Elle ne l'est pas en raison des deux actes que je présentais tout à l'heure : l' Executive Order, ce fameux décret présidentiel, et la section 702 du FISA. Ces deux fondements juridiques permettent aux services de renseignement d'avoir accès, de façon massive, discrétionnaire et indiscriminée, aux données, sans que les citoyens ne puissent s'y opposer d'aucune manière. Aujourd'hui, en tant que citoyen, nous sommes dans un système que nous avons a minima choisi : nous avons choisi nos représentants légaux, nos députés, etc. Nous avons accepté d'avoir tout cet ensemble et d'être régis par le RGPD. Cela fait partie du contrat social. Le problème réside dans le fait que des États tiers puissent, en méconnaissance de nos droits et du droit à la protection de nos données, accéder à ces données sensibles. Cela nous semble absolument insuffisant en termes de garantie. Ces pratiques s'inscrivent aujourd'hui en violation du RGPD et, plus largement, du droit à la protection des données, tel qu'il est garanti au niveau européen.