Ordre exécutif 14117 : Protection des données sensibles des Américains contre les pays à risque (Test)

Le décret exécutif 14117, signé le 28 février 2024, étend l’état d’urgence nationale déclaré dans le décret exécutif 13873 afin de répondre à la « menace inhabituelle et extraordinaire » que représente l’accès, par des pays jugés préoccupants, aux données personnelles sensibles des Américains. Le décret précise que « l’accès aux données personnelles sensibles en masse des Américains ou aux données liées au gouvernement des États-Unis augmente la capacité des pays concernés à mener un large éventail d’activités malveillantes », notamment en utilisant l’intelligence artificielle pour « analyser et manipuler des données personnelles sensibles en masse dans le but de mener des opérations d’espionnage, d’influence, cinétiques ou cybernétiques ». Ce décret traduit une prise de conscience croissante : les données sensibles sont devenues une ressource stratégique pour les nations adverses, qui peuvent les exploiter pour identifier des vulnérabilités, mener des opérations d’espionnage et perfectionner des systèmes d’IA susceptibles de compromettre davantage la sécurité nationale américaine.

Le règlement d’application du Department of Justice, codifié au 28 CFR Part 202, crée un cadre interdisant ou restreignant certaines transactions de données avec des pays jugés préoccupants, tout en soutenant « des flux de données ouverts, mondiaux, interopérables, fiables et sécurisés à l’international ». Plutôt que d’imposer des exigences générales de localisation des données, la réglementation adopte une approche ciblée pour concilier sécurité et intérêts économiques. Comme indiqué au § 202.101, la règle « interdit ou restreint aux personnes américaines de s’engager dans certaines transactions impliquant des données liées au gouvernement ou des données personnelles sensibles en masse avec certains pays préoccupants ou personnes couvertes ». Cette approche vise à répondre aux risques pour la sécurité nationale tout en limitant les perturbations pour les activités commerciales, scientifiques et commerciales légitimes.

Catégories de données protégées et seuils

La réglementation identifie six catégories de données personnelles sensibles nécessitant une protection au titre du § 202.249 : identifiants personnels couverts, données de géolocalisation précises, identifiants biométriques, données humaines « omiques », données de santé personnelles et données financières personnelles. Chaque catégorie dispose de seuils « en masse » définis au § 202.205, qui déterminent à partir de quel volume la collecte de données déclenche une surveillance réglementaire. Par exemple, le seuil pour les données génomiques humaines est fixé à 100 personnes américaines, tandis que celui pour les données financières personnelles est de 10 000 personnes américaines. Ces seuils visent à cibler les collectes de données suffisamment importantes pour présenter des risques majeurs pour la sécurité nationale si elles sont accessibles à des pays préoccupants. Il est important de noter que le § 202.206 précise que les données personnelles sensibles américaines en masse incluent les collectes « sous tout format, que les données soient anonymisées, pseudonymisées, dé-identifiées ou chiffrées », reconnaissant que les technologies avancées peuvent souvent contourner les mesures de dé-identification.

Pays préoccupants et personnes couvertes

La section 202.601 identifie six « pays préoccupants » ayant adopté des comportements contraires à la sécurité nationale américaine et présentant un risque significatif d’exploitation des données sensibles : la République populaire de Chine (y compris Hong Kong et Macao), la Russie, l’Iran, la Corée du Nord, Cuba et le Venezuela. La réglementation définit les « personnes couvertes » au § 202.211 comme des entités ou individus soumis à la propriété, à la juridiction ou au contrôle de ces pays. Cela inclut les entités étrangères détenues à 50 % ou plus par un pays préoccupant, organisées selon les lois d’un pays préoccupant, ou ayant leur siège principal dans un pays préoccupant. Sont également concernés les individus résidant principalement dans ces pays ou travaillant pour leurs gouvernements ou pour des entités couvertes. La règle précise que la définition de personne couverte ne repose pas sur la nationalité, la race ou l’ethnie, mais sur le risque d’être exploité par un pays préoccupant.

Transactions interdites et restreintes

Le cadre réglementaire des sous-parties C et D établit deux catégories de transactions réglementées. La section 202.301 interdit les transactions de « courtage de données » avec des pays préoccupants ou des personnes couvertes, définies au § 202.214 comme « la vente de données, la concession de licence d’accès à des données ou des transactions commerciales similaires impliquant le transfert de données ». La section 202.303 interdit les transactions impliquant des données humaines « omiques » ou des biospécimens avec des pays préoccupants. La section 202.302 exige que les personnes américaines qui effectuent du courtage de données avec des personnes étrangères non couvertes restreignent contractuellement les transferts ultérieurs vers des pays préoccupants. Ces interdictions ciblent les transactions à risque maximal susceptibles de permettre un accès direct à des données personnelles sensibles américaines.

La section 202.401 autorise certaines « transactions restreintes » normalement interdites si la personne américaine respecte les exigences de sécurité élaborées par la CISA et incorporées par référence au § 202.248. Ces transactions restreintes incluent les accords fournisseurs (§ 202.258), les contrats de travail (§ 202.217) et les accords d’investissement (§ 202.228) avec des pays préoccupants ou des personnes couvertes qui donneraient accès à des données liées au gouvernement ou à des données personnelles sensibles en masse. Les exigences de sécurité incluent des contrôles organisationnels (processus d’évaluation des risques), des contrôles au niveau des systèmes (gestion des accès) et des contrôles au niveau des données (chiffrement, minimisation et masquage). Cette approche permet de maintenir des transactions économiquement utiles tout en mettant en place des garde-fous appropriés contre les accès non autorisés aux données.

Dérogations pour garantir la légitimité des activités

La sous-partie E prévoit plusieurs dérogations importantes pour garantir la poursuite des activités légitimes. La section 202.502 exempte les transactions impliquant des « informations ou supports informationnels » afin de protéger le contenu expressif. La section 202.504 exempte les activités officielles du gouvernement américain, y compris la recherche financée par des fonds fédéraux. La section 202.505 exempte les transactions de services financiers, y compris le commerce électronique. La section 202.506 exempte les opérations administratives internes des entreprises. La section 202.510 exempte les transactions de données nécessaires à l’homologation de médicaments et dispositifs médicaux, tandis que le § 202.511 exempte les investigations cliniques. Ces dérogations soigneusement calibrées reflètent la volonté de la règle de cibler les risques pour la sécurité nationale tout en limitant les perturbations pour les activités légitimes.

Exigences de conformité et conservation des documents

Pour les entités réglementées, les sous-parties J et K établissent des exigences de conformité. La section 202.1001 impose aux personnes américaines effectuant des transactions restreintes de réaliser une due diligence fondée sur les risques concernant les parties à la transaction. La section 202.1002 impose des audits indépendants annuels pour vérifier la conformité avec les exigences de sécurité. La section 202.1101 impose la conservation de documents détaillés pendant au moins 10 ans, y compris la documentation des programmes de conformité, des mesures de sécurité et des efforts de due diligence. La section 202.1104 impose aux personnes américaines de signaler les transactions interdites rejetées dans un délai de 14 jours. Ces exigences créent une responsabilité tout en générant des informations pour soutenir les efforts de contrôle.

Application, licences et calendrier de mise en œuvre

Le Department of Justice dispose d’un large pouvoir d’application dans le cadre de cette règle, avec des sanctions civiles et pénales potentielles prévues par l’International Emergency Economic Powers Act. La section 202.701 autorise le Département à désigner d’autres personnes couvertes selon leur lien avec des pays préoccupants. La sous-partie H prévoit des processus pour délivrer des licences générales et spécifiques autorisant des transactions normalement interdites. Le règlement entre en vigueur le 8 avril 2025, certaines exigences de conformité étant différées jusqu’au 6 octobre 2025 afin de laisser aux organisations le temps de mettre en place des programmes de conformité tout en répondant aux risques urgents pour la sécurité nationale.

Approche de conformité fondée sur les risques

La règle met l’accent sur une approche de conformité fondée sur les risques et adaptée à la situation de chaque organisation. Comme indiqué dans le préambule de la règle, « le Département s’attend à ce que les personnes américaines développent des programmes de conformité adaptés à leur propre profil de risque », qui variera selon « la taille et la maturité, les produits et services, les clients et contreparties, et les zones géographiques ». Cette approche inclut la réalisation d’inventaires de données, la mise en place de procédures de filtrage, l’évaluation des transactions, l’élaboration de règles et la tenue de la documentation. La règle permet aux organisations de s’appuyer sur les cadres existants en matière de protection des données personnelles, de cybersécurité et de contrôle des exportations, plutôt que de créer des systèmes entièrement nouveaux.

Incidents récents soulignant l’urgence

La règle répond à des menaces de plus en plus urgentes, documentées dans des enquêtes récentes. Le préambule cite une enquête de WIRED de novembre 2024 ayant utilisé des données publicitaires et de localisation disponibles dans le commerce pour suivre des militaires américains sur des sites sensibles, y compris des sites de stockage d’armes nucléaires. Cette enquête a montré comment ces données pouvaient servir à « identifier des personnes ayant accès à des zones sensibles, déterminer les moments où les armes nucléaires américaines sont le moins surveillées ou exploiter des informations compromettantes à des fins de chantage ». Un autre exemple cité montre comment des données disponibles dans le commerce permettent de suivre les déplacements de responsables américains et de leurs équipes de sécurité via des applications de fitness. Ces exemples concrets illustrent les risques réels pour la sécurité nationale auxquels la règle entend répondre.

Comparaison avec d’autres régimes de protection des données

Contrairement à d’autres approches nationales, la règle américaine n’interdit pas globalement les transferts de données à l’international et n’impose pas d’exigences de localisation des données. Comme l’indique le § 202.101(b), la règle « n’établit pas d’exigences générales de localisation des données ». Cette approche ciblée diffère du régime chinois, qui restreint largement les exportations de données et impose un contrôle gouvernemental sur de nombreux transferts internationaux. Elle diffère également du RGPD européen, qui se concentre principalement sur la vie privée individuelle plutôt que sur la sécurité nationale. L’accent mis sur des transactions spécifiques à haut risque reflète la volonté des États-Unis de maintenir des flux de données mondiaux tout en répondant à des enjeux de sécurité ciblés.