Une récente enquête de Numerama se penche sur un cas d’usage de l’application des lois européennes et américaines sur les données : celle de l’appli allemande de suivi de règles Clue, qui enregistre des informations de santé personnelles relatives, notamment, à un avortement. Cet acte ayant été rendu illégal dans certains Etats américains, les utilisatrices américaines de l’app sont-elles sûres d’être protégées d’une éventuelle enquête des autorités US ?
La révocation, par la Cour Suprême des Etats-Unis, de l’arrêt Roe vs Wade, en juin 2022, permet désormais à tous les Etats américains d’interdire l’avortement sur leur sol (une dizaine l’ont déjà fait), et même de poursuivre une femme ayant avorté illégalement (le Texas par exemple possède depuis 2018 une loi allant dans ce sens, qui encourage en plus la délation en cas d’avortement illégal).
Clue affirme (un peu vite) que ses données sensibles, notamment sur l’avortement, sont protégés des lois américaines
Ce cataclysme pour les droits civils a également d’inattendues conséquences sur le plan de la protection des données de santé : c’est le sujet d’une récente enquête de Numerama sur Clue, une application allemande de suivi de règles.
L’application, qui a de nombreuses utilisatrices américaines, a affirmé sur Instagram : « Vos données de santé, particulièrement celles que vous gardez dans Clue à propos de votre grossesse, d’une fausse couche, ou d’un avortement, sont conservées de manière privée et sûre ».
Or, selon Aurore Gayte, la journaliste ayant mené l’enquête, rien n’est moins sûr. Ce cas d’espèce illustre bien l’opposition existante entre le RGPD européen (qui garantie une protection maximale des données personnelles et de la vie privée) et du Cloud Act américain, qui autorise les autorités américaines à exiger de toute entreprise US qu’elle fournisse les données qu’elle traite, y compris en dehors des Etats-Unis.
RGPD vs Cloud Act, nouvel épisode
Or, les fournisseurs cloud tombent sous le coup de cette loi. Dès lors, si Clue héberge ses données sur des serveurs situés en Europe, mais appartenant à des firmes américaines (AWS, Microsoft Azure, Google Cloud…), rien n’empêche les autorités américaines de mettre la main dessus.
Et comme Clue n’a jamais indiqué que ses serveurs étaient hébergés par des fournisseurs européens, alors que l’appli a beaucoup communiqué sur le sujet, il semble plus que probable que les données des utilisatrices américaines ne soient pas réellement protégées. D’autant plus que le transfert des données personnelles n’est, a priori, pas protégé par le chiffrement de bout en bout…
Conclusion : si la volonté de transparence de Clue est à saluer (et si l’appli va peut-être finir par migrer vers un acteur cloud européen), pour l’heure les américaines, en particulier celles vivant dans un Etat criminalisant l’avortement, devraient abandonner l’usage de toute appli de ce type…