L’évolution des
technologies et l’avènement du big data, en créant une véritable révolution,
ont matérialisé la crainte d’un « Big
Brother ». En réaction et d’ici
quelques semaines, entrera en vigueur le règlement général pour la protection
des données (RGPD) tant discuté, qui se veut le gardien européen du respect de
la vie privée et des libertés individuelles. Au-delà des bouleversements que
cela implique pour les entreprises qui doivent adapter leurs pratiques, cette
législation nouvelle est également à examiner sous l’angle de la société et du
droit américains, puisque sa conciliation avec le géant des technologies de
l’information et la communication ne va pas forcément de soi, comme l’ont
souligné plusieurs professionnels présents lors d’un colloque organisé par les
Salons France-Amériques, le 19 mars dernier.
Une étude
publiée par The Economist Intelligence Unit (EIU) avec ForgeRock
révélait en mars dernier que les consommateurs, inquiets de la collecte et
de la transmission de leurs données personnelles, réclament plus de
transparence et d’encadrement, mais aussi des engagements de la part des
autorités publiques et des industriels pour protéger leur vie privée. 73 %
des sondés français s’inquiètent ainsi de voir ces intrusions dans leur vie
privée affecter leurs libertés individuelles ; et alors qu’ils sont
68 % à considérer le droit d’effacer leurs données comme prioritaire,
92 % déclarent vouloir un contrôle sur les informations transmises dans
les collectes automatiques des données.
« Au fur et à mesure que les entreprises adaptent leurs infrastructures
et leurs pratiques pour se conformer à l’Open Banking, à la directive
PSD2 ou au RGPD,
elles doivent garder à l’esprit que les régulateurs ont fait du consentement la
clé de voûte de chacune de ces lois. », commentait Nick Caley, vice-président de ForgeRock.
Le
consentement, clef de voûte du RGPD ? Le règlement général sur la
protection des données, qui entrera en vigueur le 25 mai prochain, impose
en effet de nouvelles contraintes aux entreprises concernant le traitement des
données à caractère personnel. Jusqu’à aujourd’hui, en France, les données
étaient protégées par la loi informatique, fichiers et libertés de 1978, la
Convention n° 108 pour la
protection des données personnelles du Conseil de l’Europe, ainsi que la
directive 95/46/CE. Destiné à remplacer l’actuelle directive de 1995, le
règlement constituera désormais un seul ensemble de règles relatives à la
protection des données, directement applicable dans tous les États membres de
l’Union européenne. Un cadre renforcé et harmonisé qui fait suite au constat
par la Commission européenne d’une nécessaire actualisation de la législation
en vigueur, afin de tenir compte des évolutions technologiques induites par le
big data et autres objets connectés, ainsi que des problématiques qui accompagnent
ces évolutions.
Pour les
individus, ce changement se fera sous le signe d’un droit à l’effacement
renforcé, d’un profilage clairement notifié, ou encore du droit à la
portabilité. Le RGPD redéfinit également le caractère personnel des données en élargissant
leur champ : données de localisation, cookies, numéro
d’identification et éléments d’identité physique, psychique, génétique et
économique viennent ainsi s’ajouter à l’adresse mail, au numéro de téléphone, à
la fonction ou à l’intitulé de poste, et à l’adresse postale du lieu de
travail.
Du côté des entreprises, le chamboulement est important. Pour
s’adapter, ces il s’agit notamment pour ces dernières de cartographier leurs
données personnelles et leurs traitements, de se doter d’un Data Protection
Officer (responsable de la surveillance, de la documentation et de
l’enregistrement des données), de nouveaux logiciels et de nouvelles
procédures ; ou encore de former leurs équipes. Au titre de leurs
nouvelles obligations, les entreprises seront également tenues de notifier dès
que possible l’Autorité nationale de protection en cas de violations graves de
données afin que les utilisateurs puissent prendre des mesures appropriées.
Tenir un registre des traitements
L’une des
modifications majeures qu’implique le règlement concerne les formalités à
accomplir auprès de la Commission nationale de l’informatique et des libertés
(CNIL). En effet, conformément à la loi informatique et libertés actuellement
en vigueur, les entreprises procédant à des traitements de données doivent
effectuer des déclarations à la CNIL et obtenir de celle-ci des autorisations.
Mais le RGPD vient supprimer cette déclaration et renforcer la responsabilité
de chaque société, qui doit tenir un registre des traitements, complet et à jour,
afin de devenir responsable et garante du respect de la vie privée. Lors d’un
colloque organisé le 19 mars dernier par les Salons France-Amériques
invitant plusieurs professionnels à se pencher sur le RGPD, Olivier Iteanu,
avocat aux barreaux de Paris et d’Israël, a d’ailleurs analysé : « l’une
des difficultés du règlement est qu’il traite de la même façon les grandes et
les petites entreprises – or sur 3,5 millions d’entreprises, 90 % ont
moins de 10 salariés – à une obligation près : tenir le registre des
traitements, puisque les entreprises du secteur privé de moins de
250 employés n’ont pas cette obligation-là ». Toutefois, ces
dernières ne sont pas totalement dédouanées, puisque le RGPD prévoit également
que les entreprises de moins de 250 salariés traitant des données
sensibles ou qui effectuent des traitements sur une catégorie particulière de
personnes de manière occasionnelle ou non doivent également tenir un registre
des traitements.
Que
deviennent alors les formalités préalables ? Gwendal Le Grand, directeur
des technologies et de l’innovation à la CNIL, a apporté son éclairage sur le
sujet : « la plupart des formalités disparaissent au profit de la
logique de l’analyse d’impact », a-t-il affirmé. L’analyse d’impact
(DPIA) est l’outil qui permettra aux entreprises non seulement de construire
des traitements de données respectueux de la vie privée, mais aussi à démontrer
leur conformité au RGPD, obligatoire pour les traitements susceptibles
d’engendrer des risques élevés. « Tous les traitements nouveaux, après
mai 2018, doivent faire l’objet d’une analyse d’impact sur la protection
des données. Quant aux traitements déjà en place, il y a une forme de
présomption de conformité à la loi, dès lors que les formalités étaient
régulières après de la CNIL. Si vous aviez obtenu une autorisation, cette
dernière reste valide. Si votre traitement vient d’être mis en place, vous êtes
tranquille. Si le traitement est ancien, au-delà de trois ans, il y a de
fortes chances que le contexte d’évaluation des risques ait changé : il
est alors urgent de prioriser l’analyse d’impact ».
Quid du contrôle de la
CNIL ?
Gwendal Le
Grand a cependant affirmé que le pouvoir de contrôle de la CNIL resterait
inchangé. « On pourra toujours faire des contrôles sur place, en ligne,
sur audition, sur pièce. De même, les modalités qui permettent le déclenchement
d’un contrôle ne changeront pas », a-t-il expliqué. Une partie des
contrôles résulte du programme annuel décidé chaque année par la
Commission. En outre, cette dernière reçoit un grand nombre de plaintes,
environ 8 000?par an, dont
certaines donnent lieu à des contrôles. « Il y a aussi les histoires
qui sortent dans la presse : il n’est pas étonnant que le lendemain matin,
des contrôleurs de la CNIL viennent frapper à la porte de l’entreprise pour
vérifier ce qu’il en est réellement. Cela non plus ne va pas changer »,
a précisé Gwendal Le Grand.
Selon l’avocat Olivier Iteanu, la nouvelle réglementation a été
faite pour aider les vertueux et sanctionner plus durement ceux qui ne s’y
conforment pas. « Jusqu’à présent, la réglementation existait, mais
l’un des grands changements est le pouvoir de sanction administrative donné à
la CNIL : jusqu’à 4 % du chiffre d’affaires total de l’exercice
précédent de l’entreprise ». L’avocat a par ailleurs rappelé que la
CNIL n’était pas un juge, mais une autorité administrative indépendante (AAI),
donc plutôt un juge de la conformité, qui doit d’abord se livrer à un contrôle
préalable, et, après avoir constaté les manquements à la loi, doit mettre en
demeure la personne de se conformer. C’est seulement si la personne ne se
conforme pas que la sanction intervient. « Il y a donc une phase de
négociations systématique entre les personnes poursuivies et l’AAI »,
a-t-il précisé. Ce qui explique le faible nombre de décisions de sanction de la
CNIL ces trois dernières années : une douzaine en moyenne chaque
année. D’ailleurs, lors de la dernière grande condamnation de la CNIL à
l’encontre de Facebook, en avril 2017, qui avait sanctionné la
communication des données des membres de WhatsApp lors du rachat l’application,
Facebook avait écopé du maximum de la peine prévue :
150 000 euros. « Imaginez que les avocats ont coûté plus cher
que la sanction ! », a ironisé Olivier Iteanu.
Gwendal Le Grand a également indiqué que deux types d’obligations
allaient désormais être distingués. D’un côté, les obligations qui ne sont pas
nouvelles (en application des grands principes de la loi, en place depuis
1978) : « sur ces points, la CNIL n’a aucune raison d’être indulgente,
car ce sont des choses qui étaient déjà en vigueur, qui devaient déjà être
mises en place dans les entreprises. On va continuer à les contrôler, à les
sanctionner », a-t-il affirmé. Tout en ajoutant : « Là où
on va être davantage dans une démarche d’accompagnement, c’est pour toutes les
obligations nouvelles du règlement, par exemple le droit à la portabilité, etc. »
Gwendal Le Grand s’est par ailleurs voulu rassurant. Bien que mesurant l’effort
à entreprendre par les entreprises, ce dernier l’a assuré : « Le
règlement est un cap à franchir, pas un couperet. La CNIL restera un régulateur
sur deux jambes, qui crée de l’accompagnement et de la sanction. L’objectif est
d’accroître le niveau de sécurité, le niveau de maturité des entreprises, pour
permettre que l’ensemble des données personnelles des personnes sur le
territoire de l’UE soit correctement protégé. In fine, cela crée de la
confiance et permet aux entreprises de se développer. »
« Aux
USA, il n’y a pas de loi transverse qui protège les citoyens vis-à-vis des
entreprises »
Si le RGPD
circonscrira l’Europe tout en prévoyant un principe d’extraterritorialité,
qu’en est-il de la protection des données dans les autres pays, et notamment
aux États-Unis ? On a effectivement en tête l’onde de choc constituée en
2013 par les
révélations d’Edward Snowden concernant les programmes de surveillance de masse
d’Internet, des téléphones portables et autres moyens de communication,
notamment par la NSA (National Security Agency) américaine.
Rappelons
qu’en juin 2015, le Congrès américain a adopté le USA Freedom Act,
un texte de compromis qui limite la manière dont la NSA peut enregistrer les
métadonnées téléphoniques sur le sol américain. Cette dernière s’appuyait
jusque-là sur une disposition du Patriot Act, la loi de référence de la
lutte antiterroriste américaine, pour collecter l’intégralité de ces
métadonnées. Les services secrets doivent désormais faire des demandes ciblées
et justifiées pour obtenir l’accès à ces données, y compris en temps réel.
Pour présenter
la protection des données personnelles aux États-Unis, Winston Maxwell, avocat
aux barreaux de Paris et de New York, a fait état, lors du colloque organisé
par les Salons France-Amériques, de « deux grands paniers » :
ce qui touche à la protection du citoyen vis-à-vis du gouvernement d’un côté,
et vis-à-vis des entreprises privées de l’autre. « Dans le premier
panier, on a une base constitutionnelle, comme l’article 8 de la Convention européenne des
droits de l’homme : chacun a droit à la protection de son domicile, cela
vient de la Constitution américaine », a expliqué Winston Maxwell. Ce concept de domicile a
évolué avec le temps et la jurisprudence de la Cour suprême pour s’étendre à
beaucoup de situations où les données sont en cause, notamment ce qui relève
des communications privées, a indiqué l’avocat. En plus de ce socle, plusieurs
lois fédérales viennent s’ajouter à la protection des données vis-à-vis du
gouvernement, notamment le Privacy Act de 1974, « une sorte de
directive 1995 qui
s’applique aux agences du gouvernement, qui doivent avoir un règlement sur le
traitement des données personnelles et un chief privacy officer. Ces agences ont des
obligations assez strictes et comparables à ce qui se passe en Europe »,
a-t-il-estimé. Winston Maxwell a encore évoqué les lois sur les mandats de la
police pour les perquisitions, avec le Stored Communications Act. « Les
dispositions sont assez semblables au Code de procédure pénale : pour
effectuer une perquisition, une écoute, il faut demander un mandat au juge ».
S’il y a un aspect qui est d’ailleurs très médiatisé dans la presse américaine,
c’est bien l’espionnage, les écoutes et les perquisitions en matière de
sécurité nationale. La législation américaine prévoit dans de tels cas des
procédures distinctes, moins protectrices des droits individuels. La NSA peut
procéder à des écoutes avec des protections moindres que s’il s’agissait d’une
simple enquête policière. « C’est la même différence qu’entre le CPP et
le Code de la sécurité intérieure en France : les procédures sont
différentes, dues à la nature des enjeux », a illustré l’avocat.
Concernant
la protection des données
vis-à-vis des entreprises : « c’est très différent de ce qui se
passe en Europe, car il n’y a pas de loi transverse qui protège les citoyens
vis-à-vis des entreprises », a évoqué Winston Maxwell. À la place,
il existe une série de lois spécifiques, par secteur, qui imposent des
obligations contraignantes et visent ainsi la protection des données de santé,
bancaires ou encore de télécommunication. Mais lorsqu’on ne tombe pas dans l’un
de ces secteurs identifiés, que reste-t-il comme protection ? Les
autorités américaines se sont appuyées sur l’article 5 du FTC (Federal Trade
Commission) Act qui condamne toute pratique déloyale ou trompeuse dans le
commerce. La FTC, agence indépendante du gouvernement agissant dans le domaine
du droit de la consommation, remplit donc le rôle du gendarme de la protection
des données à caractère personnel dans les cas qui ne tombent pas dans ces
secteurs, avec un article 5 du FTC Act dont le champ, relativement large, permet de
sanctionner les entreprises. « On peut critiquer cette approche qui est
à la fois pas assez précise et en même temps très souple. Mais la FTC est
malgré tout une arme redoutable, notamment en ce qui concerne les procédures
d’engagement et d’accords transactionnels ». Car à l’égard des GAFA
tels Google et Facebook, la FTC a le pouvoir de les obliger à améliorer les
pratiques de ces gros groupes et les faire auditer tous les ans sous peine
d’amende. « Quand la FTC vous a dans le viseur, ses pouvoirs de
sanction sont considérables », a résumé Winston Maxwell.
La question
du lieu de stockage des données
Parler de
données sous-tend également la question de la localisation du stockage de ces dernières,
qui ne sont pas aussi volatiles qu’on pourrait bien le croire. Le professeur de
droit international à l’Université Grenoble Alpes Théodore Christakis a ainsi
évoqué l’amicus produit devant Cour suprême américaine, qui expose que
lorsque vous accédez à vos emails de différents fournisseurs, « vous
allez au data center qui se trouve dans un pays précis : vos emails
se trouvent à l’intérieur de ce data center, ce n’est pas comme si vos
données se trouvaient partout dans le monde », a-t-il explicité. Si
Microsoft essaie par exemple de stocker les données au plus près de
l’utilisateur, c’est que cela est, d’un point de vue technique, plus rapide.
Par ailleurs, « Après les révélations d’Edward Snowden, la
multinationale a fait le choix de dépenser des centaines de millions d’euros
pour construire des data centers partout en Europe et d’envoyer un
message comme quoi ce qui se fait en Europe reste en Europe : les données
produites en Europe y seront stockées et protégées par la législation en question »,
a fait valoir le professeur de droit.
Mais le
27 février, l’Union européenne a volontairement fait fuiter par l’agence
Reuters qu’elle préparait une loi obligeant les entreprises à communiquer, dans
le cadre d’une enquête, les données personnelles de leurs clients, même si
elles sont stockées sur des serveurs situés en dehors de ses territoires – ce,
alors même que la Cour suprême s’apprêtait à entendre les plaidoiries d’un
procès opposant Microsoft à la justice américaine, qui voulait l’obliger, dans
le cadre d’une enquête, à communiquer des emails stockés sur ses serveurs
irlandais. « Du point de vue des Droits de l’homme, on porte un coup
fatal à la protection des données. Car n’importe quel pays dans le monde va
pouvoir invoquer des considérations de sécurité nationale pour adopter des
mandats à l’encontre de personnes accusées de blasphème, par exemple »,
s’est inquiété Théodore Christakis, face à cette volonté d’extra-territorialité
de la part de l’UE afin de renforcer sa position face aux États-Unis.
D’autant que
Donald Trump a ratifié, le 23 mars dernier, le CLOUD Act (pour Claryfing
Lawful Overseas Use of Data), voté par le Congrès et inséré au sein dans la loi
de finances américaine, en réaction à l’affaire Microsoft. Ce dernier vise à
faciliter l’accès par les autorités américaines aux données stockées à
l’étranger par des entreprises américaines lors d’une procédure judiciaire.
Même si le cadre est limité, cela ne risque-t-il pas de créer des conflits
vis-à-vis du RGPD ? Ce CLOUD Act comporte ceci dit, à cet égard, quelques
garde-fous. Ainsi, les entreprises traitant les données demandées par les
autorités américaines pourront s’opposer à leur transmission en invoquant
devant la justice américaine le droit en vigueur dans le pays où les données
sont stockées. Elles pourront donc refuser de transmettre des données situées
en France sur la base du RGPD, dès lors qu’elles trouveront la demande
disproportionnée ou contraire aux obligations du règlement.
Le CLOUD Act prévoit par ailleurs qu’une requête peut être déposée par le fournisseur si
celui-ci estime que « le client ou l’abonné n’est pas un ressortissant
américain et ne réside pas aux États-Unis » et que « la
divulgation créerait pour le fournisseur un risque de violation des lois d’un
gouvernement étranger ». « Seulement, rien ne garantit que le
juge américain va donner raison aux fournisseurs », a averti le
professeur Christakis.
« The Battle for digital
supremacy » : l’Europe
exclue
Le cas des
États-Unis intéresse pour la principale raison qu’il s’agit de l’un des géants
– voire du plus grand géant – de l’ère digitale : la question des données
personnelles ne peut guère échapper à ce prisme. L’avocat Olivier Iteanu a
tenu à cet égard à présenter la Une du 17 mars du magazine The
Economist, intitulée « The battle for digital supremacy ».
On y voit deux personnages, mi-humains mi-robots, l’un portant un drapeau
chinois, l’autre un drapeau américain. Tous deux affichant un air vindicatif,
signe d’une bataille qui s’annonce. « Ce dessin est un résumé très
parlant du drame que vit une troisième personne qui manque ici : l’Europe,
a-t-il jugé. Un drame, car nos sociétés européennes sont en train de
s’organiser autour et sur des raisons humaines. Or, nous sommes absents des
centres de décision prises au titre du réseau numérique, et nos jeunes quittent
l’Europe pour les États-Unis, allant là où les décisions sont prises ».
Olivier Iteanu l’a également constaté : nous avons en Europe une
réglementation et un marché de 500 millions de consommateurs, marché que
la Chine comme les États-Unis convoitent et cherchent à transformer en leurs
propres clients. « Mais en tant que consommateurs, nous avons des
valeurs, qui s’expriment dans nos lois. Et il existe des différences essentielles
sur des concepts fondamentaux », a signalé l’avocat, faisant notamment
allusion au free speech américain, qui diffère de notre liberté
d’expression, ou encore à à la culture des armes à feu, là encore qui n’a rien
à voir avec la nôtre.
Un « dernier
rempart » contre le tout connecté et la patrimonialité des données
« En
matière de données personnelles et de protection de la vie privée, c’est
exactement la même problématique : nous n’avons pas les mêmes valeurs que
la Chine, et pas tout à fait les mêmes que les États-Unis. Et c’est justement
ces valeurs qui sont au cœur de l’enjeu du RGPD », a martelé Olivier
Iteanu.
Ainsi, en
Europe, et avec le règlement, le droit des données à caractère personnel est un
attribut de la personnalité de chacun, a-t-il affirmé. « Le
consentement est un très bon exemple : on le retrouve à tous les étages de
la loi informatique et libertés dès 1978. Ce consentement est nécessaire dans
la grande majorité au traitement des données ». Un consentement
renforcé avec le RGPD, puisque l’article 7 de ce dernier montre, selon
l’avocat, une différence fondamentale avec les États-Unis. Il dispose ainsi que
« la personne concernée a le droit de retirer son consentement à tout
moment. Le retrait du consentement ne compromet pas la licéité du traitement
fondé sur le consentement effectué avant ce retrait. La personne concernée en
est informée avant de donner son consentement. Il est aussi simple de retirer
que de donner son consentement. »
Cette
philosophie d’un contrôle que l’on veut donner à chaque citoyen sur ses données
se retrouve également dans de nombreux pans du RGPD : droit d’opposition,
droit à l’oubli, droit au déréférencement, droit à la portabilité des données…
Or, Gaspard
Kœnig, philosophe et président du think-tank Génération Libre, a notamment été
vivement critiqué pour avoir développé une idée de patrimonialisation des
données. « Aujourd’hui, nos données personnelles sont dans la nature, res
nullius appropriées et revendues par les grands acteurs du numérique »,
a-t-il notamment écrit, plaidant « pour la propriété privée et la
rémunération ». « Proudhon considérait la propriété comme "la
plus grande force révolutionnaire qui existe", en ce qu’elle confère à
l’individu la souveraineté sur son domaine propre. Il n’y pas de maîtrise sans
possession. Ce droit fondamental doit aujourd’hui s’étendre aux données,
prélude d’une véritable propriété de soi sur soi », peut-on lire en
introduction du rapport « Mes data sont à moi » de
janvier 2018, coécrit par plusieurs professionnels de divers secteurs.
L’idée serait donc de dire que si Facebook se fait des millions d’euros avec
nos données, alors autant autoriser leur patrimonialisation. Ainsi, le réseau
social serait forcé de partager ses gains, et chacun y gagnerait. Une position
que ne partage pas Olivier Iteanu : « Une fois que j’ai transféré
mes données, qu’est-ce qui me garantit que Facebook va respecter notre
contrat ? Je pense qu’il faut rester sur nos concepts, sur nos valeurs, et
que les autres respectent notre état de droit », a-t-il insisté.
« Une combinaison de traces et d’informations peut permettre
votre traçabilité parfaite.
À la seconde, au quotidien, 24h/24, même lorsque vous dormez, on peut vous
surveiller, vous tracer. La loi est le dernier rempart, puisqu’aujourd’hui,
tout est possible, tout est connecté », a par ailleurs estimé Olivier
Iteanu, pour qui le RGPD revêt sur ce point un aspect « fondamental ».
« Même si ce dernier vient avec dix ans de retard, il a le mérite
d’arriver ! ». L’avocat s’est
ainsi félicité d’une « volonté retrouvée » de l’Europe
de protéger les données personnelles des individus, émettant le souhait que
« les choses continuent d’évoluer dans cette direction ».
De la nécessité de maîtriser la
technologie pour parer aux failles
« Il
peut être illusoire de vouloir faire progresser notre droit si on n’a pas la
maîtrise des technologies derrière » a cependant averti Jean-Claude
Laroche, directeur des systèmes d’information d’Enedis, faisant notamment
allusion à Meltdown et Spectre, deux failles découvertes en début d’année
dans les microprocesseurs, qui permettent d’accéder à des informations
normalement inaccessibles. « Il y a eu peu de communication depuis sur
le sujet, car il n’y a pas de solution technique. Aujourd’hui, les codes
informatiques pour régler cette vulnérabilité ne sont pas au point »,
a-t-il par ailleurs alerté.
Le directeur
des systèmes d’information d’Enedis a également estimé que nous manquions
cruellement en Europe de micro-processeurs et de puces, « ce qui pèsera
de plus en plus lourd, au vu des cyber-attaques qui se multiplieront ».
À cet égard, Jean-Claude Laroche a expliqué que lorsque l’on développe un data
center, on est assujetti à la directive 2014/25 qui oblige d’organiser une
consultation large des acteurs susceptibles de venir nous équiper en
infrastructures. « Or, aujourd’hui, des acteurs chinois sont prêts à
nous faire des prix quasiment nuls pour nous équiper en installations de
stockage et de traitement. Mais ce qu’il faut savoir, c’est que ces
installations ont la particularité d’être télémaintenues par des échanges de
données entre les installations et la Chine. Et quand nous n’avons pas la
maîtrise du processus industriel, quel que soit le lieu où est notre data
center, on ne sait pas où vont nos données », a indiqué Jean-Claude
Laroche. Ce dernier a également rappelé que c’est par le biais d’opérations de
télémaintenance qu’ont été attaquées des entreprises italiennes avec Not Petya,
au travers de la corruption du fournisseur du logiciel de gestion et de comptabilité
télémaintenu. « Le droit est une chose, mais comment offrir une
véritable protection ? Aujourd’hui je ne connais pas de technologie
européenne de sonde, de détection / protection, ou de pare-feux pour les data
centers ». Une technologie « protectrice » à la traîne –
si l’on en croit l’expert – qui n’aura d’autre choix que de courir après la
législation pour le rattraper.
Bérengère Margaritelli