La Federal Communications Commission a officiellement ajouté Kaspersky à sa liste noire. Cela signifie que non seulement l’antivirus ne peut plus être installé sur aucune machine liée à l’administration américaine, mais qu’il est affublé de l’étiquette « risque inacceptable pour la sécurité nationale ».

C’est la première fois qu’une entreprise russe est inscrite sur cette liste, sur laquelle on avait plutôt tendance à voir arriver des entreprises chinoises, notamment Huawei et ZTE. D’ailleurs, la FCC vient d’y ajouter China Telecom et China Mobile.

Jessica Rosenworcel, à la tête de la Commission, s’est félicitée de cette décision. Elle se dit « ravie » que les agences de sécurité nationale aient suivi son avis sur ces trois entreprises : « Leur ajout […] aidera à sécuriser nos réseaux des menaces posées par les entités chinoises et dessus soutenues par des États et cherchant à s’engager dans l’espionnage ».

Comme pour l’Allemagne, Kaspersky a répondu qu’il s’agissait d’une décision « politique ». L’entreprise réitère ses appels à la modération et « reste prête à coopérer avec les agences gouvernementales américaines pour répondre aux inquiétudes de la FCC et autres agences de régulation ».

Dans le contexte actuel, il est probable cependant que les espoirs de Kaspersky restent lettre morte.

Pour rappel, l’ANSSI s’est elle aussi exprimée sur Kaspersky, avec un avis bien plus modéré : « aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis ». D’autant plus si rien n’est prévu pour le remplacer : « sans solution de substitution, cette déconnexion ne saurait être préconisée ».

Samedi au Journal officiel, un décret est venu préciser les obligations d'information précontractuelle auxquelles les professionnels sont tenus à l'égard des consommateurs sur Internet. Le texte, qui s’inscrit dans le cadre du droit européen, revoit le spectre de l’article R-221-2 du Code de la consommation pour aiguiser cette information. 

Contrairement à sa version antérieure, la nouvelle version prévoit par exemple que le professionnel devra préciser « toute compatibilité et interopérabilité pertinentes des biens comportant des éléments, des contenus et des services numériques dont [il] a ou devrait raisonnablement avoir connaissance ».

Il devra aussi préciser les coordonnées du médiateur de la consommation compétent ou encore les modalités de paiement, de livraison et d'exécution prévues dans le contrat.

Les États-Unis et la Commission européenne sont parvenus à un accord de principe pour trouver le remplaçant au Privacy Shield, afin d’encadrer, pour les faciliter, les transferts de données à caractère personnel vers les États-Unis.

En juillet 2020, le Privacy Shield avait été annulé par la Cour de justice de l’Union européenne. La décision d’adéquation subissait le même sort que le Safe Harbor, son ancêtre, enterré en octobre 2015.

À chaque fois les capacités des services du renseignement américains et l’absence de droit au recours avaient été épinglées par la justice européenne, pour qui les États-Unis ne pouvaient raisonnablement pas être considérés comme offrant les mêmes garanties que celles en vigueur en Europe, contrairement à ce qu’assurait la Commission européenne.

Impossible donc de justifier des transferts de données en utilisant ce moyen de transport prévu désormais par le RGPD.

• Le RGPD expliqué ligne par ligne

En vertu du nouveau cadre transatlantique de confidentialité des données, les États-Unis promettent de nouvelles garanties pour s’assurer que les activités de surveillance seront bien nécessaires et proportionnées, tout en mettant en place un mécanisme de recours indépendant doté d'un pouvoir contraignant.

Ces engagements doivent désormais être traduits dans un nouvel acte juridique.

• La présentation du cadre par la Maison-Blanche
• La présentation du cadre par la Commission européenne

« Les États-Unis n’envisagent pas de modifier leurs lois sur la surveillance », commente noyb, l’association fondée par Maximilien Schrems, celui qui avait fait tomber le Safe Harbor puis le Privacy Shield.

Si, pour l’heure, seules des déclarations de principe existent, noyb promet de trainer ce troisième texte devant la CJUE, selon le contenu du futur accord attendu dans quelques mois.