"Personne ne veut mettre son entreprise et ses clients en danger, n’est-ce pas ?"
N'importe qui peut devenir un excellent directeur des ventes et du marketing grâce aux nombreux outils et paramètres à sa disposition. Mais de nombreuses entreprises font l'expérience de solutions marketing qui posent des problèmes juridiques et de conformité, mettant en danger à la fois leur entreprise et leurs clients.
Imaginez comment vous pourriez développer votre entreprise sans risques juridiques et commerciaux, et comment cela pourrait même constituer un avantage concurrentiel dans un nouveau monde où les appels d'offres tiennent désormais compte de ces risques.
Souveraineté numérique, risques juridiques et commerciaux : de quoi s’agit-il ?
En bref, les Etats-Unis ont mis en place un large corpus de lois extraterritoriales pour lutter contre la corruption au niveau international et pour poursuivre les entreprises qui ne respectent pas les embargos mis en place dans le cadre de leur politique étrangère.
Le principal texte concernant la corruption est le Foreign Corruption Protection Act (FCPA) de 1977. Les embargos sont contrôlés par l'Office of Foreign Assets Control (OFAC), une agence du département du Trésor.
Ils s'appliquent à des pays ou des individus ou à des types d'équipements, sur la base de lois ou de règlements ad hoc tels que l'International Traffic in Arms Regulation (ITAR) et l'Export Administration Regulation (EAR).
"Le simple fait d'utiliser le dollar, un logiciel américain ou d'employer un citoyen américain vous oblige à faire respecter la loi américaine."
En 1998, le juge américain a étendu la définition du lien d'un acteur étranger avec les Etats-Unis (le nexus) comme base légale des poursuites. Si l'utilisation du dollar est le nexus le plus fréquent, les autres critères incluent désormais l'emploi d'un citoyen américain ou sa présence à une réunion ainsi que le transit d'un e-mail depuis un serveur basé aux Etats-Unis. La simple utilisation d'un logiciel américain pourrait être reconnue comme un nexus.
En 2016, l'Union européenne et la Confédération suisse ont négocié le Privacy Shield afin de disposer d'un accord juridique réglementant le transfert de données des entreprises et citoyens européens vers les États-Unis.
La Cour de justice de l'Union européenne (CJUE) a invalidé le Privacy Shield en juillet 2020 en raison de la non-conformité avérée des États-Unis d'Amérique. Une décision lourde de conséquences pour les entreprises et institutions européennes utilisant des logiciels Made in USA.
Tout transfert est désormais potentiellement illégal. Un coup de tonnerre pour les plateformes américaines et les vendeurs de logiciels américains !
La CJUE a conclu que "la loi américaine est contraire aux droits fondamentaux européens (...) et ne garantit pas le droit à un recours effectif d'accès à un tribunal impartial".
Les données des utilisateurs des plateformes américaines sont transférées aux États-Unis pour y être stockées, traitées et analysées par eux-mêmes, et les agences américaines telles que la NSA y ont accès de facto et légalement. La localisation du stockage (dans un pays européen par exemple) ne résout rien puisque la loi américaine permet l'extraterritorialité de toutes les données dès lors que le service est exploité par une société de nationalité américaine.
"De quoi faire trembler les services juridiques lorsque les équipes de vente et de marketing font des choix SaaS américains !"
Les entreprises américaines, et même leurs succursales hébergées sur nos territoires, étant soumises au Patriot Act avant de devoir répondre au RGPD européen, l'enjeu pour nos entreprises est la surveillance constante des données clients, des contrats, des devis. Sans compter que cela les met en danger juridique car elles peuvent être interpellées autant par les autorités américaines pour faire pression (rappelez-vous l'affaire Alstom) que par les clients européens qui ne souhaitent pas être eux-mêmes exposés. De quoi faire trembler les services juridiques lorsque les équipes commerciales et marketing font des choix SaaS américains !
Quelles sont les obligations des entreprises face à ces risques ?
Les tribunaux européens ont statué que la protection des données aux États-Unis est limitée, les données provenant de l'UE sont considérées comme peu sûres lorsqu'elles sont transférées aux États-Unis. Les entreprises européennes doivent donc être en mesure de garantir en permanence que les autorités nationales de sécurité et d'investigation du pays recevant les données stockées n'ont pas accès aux données personnelles.
Avec le CLOUD Act, même les données stockées dans l'UE sont accessibles au gouvernement américain
En clair, lorsqu'elles utilisent des logiciels américains susceptibles de transférer des données à leurs organisations gouvernementales, les entreprises doivent justifier de la traçabilité de toutes leurs données et de celles de leurs clients sans qu'aucune donnée personnelle ne soit accessible. C’est mission impossible.
La situation est particulièrement difficile pour les petites et moyennes entreprises (PME), car elles n'ont normalement pas le savoir-faire et les moyens d'assurer cette traçabilité et d'analyser le niveau des risques juridiques et commerciaux qu'elles prennent pour elles-mêmes et leurs clients.
Dans la situation actuelle, les entreprises de l'UE pourraient également demander aux partenaires commerciaux et aux prestataires de services américains d'utiliser tous les moyens techniques disponibles pour optimiser la protection des données, par exemple l'utilisation du cryptage de bout en bout. Mais comment en être sûr ?
Quels choix pour les entreprises européennes ?
Le marché mondial du numérique est actuellement polarisé entre deux acteurs majeurs dont les contours d'une guerre économique se dessinent, les Etats-Unis et la Chine. L'annulation du mécanisme du Privacy Shield n'empêche pas effectivement le transfert de données vers le territoire américain, puisqu'il est possible d'utiliser les clauses contractuelles types, mais elle complique ce transfert et encourage indirectement le développement du marché intérieur européen pour favoriser l'émergence d'alternatives purement européennes.
"Profitez de la mise en conformité RGPD pour choisir un logiciel européen pour gérer les données de vos clients. "
Les entreprises doivent s'interroger sur les risques rencontrés dans leurs activités économiques. Ce qui est essentiellement évoqué est le pillage des données. Le RGPD montre également que, par conséquent, les Européens ont commencé à adopter leurs propres règles. Reste maintenant à convaincre nos chefs d'entreprises européens que l'utilisation de logiciels américains pour gérer les données représente des risques différents :
- Risque de pillage au profit d'entreprises de nos alliés dans le cadre d'appels d'offres.
- Risque de contrôle direct des activités et de pression indirecte.
- Risque juridique et financier de la répression américaine en ligne.
- Sanction par l'UE pour les entreprises européennes qui respectent les règles américaines.
- Une perte de confiance des utilisateurs dans l'utilisation d'un logiciel SaaS
Les décideurs, responsables commerciaux et marketing, directeurs des systèmes d'information, ont désormais un rôle déterminant dans le choix de leurs logiciels. Ils engagent désormais leurs entreprises en connaissance de cause. Ils doivent maintenant développer une culture de l'autonomisation, de la résilience, de la durabilité et de la protection du numérique à travers l'Europe. Pour garantir en permanence le meilleur standard de respect des données des entreprises et de leurs partenaires, les entreprises européennes doivent héberger toutes les données sur le territoire européen et s'efforcer de ne faire appel qu'à des sous-traitants logiciels européens ayant les mêmes valeurs.
