Le Cloud Act américain : une menace pour les données des entreprises et des utilisateurs français, à l’encontre du RGPD ?

Le Cloud Act américain : une menace pour les données des entreprises et des utilisateurs français, à l’encontre du RGPD ?

Le Cloud Act américain : une menace pour les données des entreprises et des utilisateurs français, à l’encontre du RGPD ? 1200 565 Partitio
La question de la protection des données personnelles est devenue une préoccupation centrale des acteurs politiques, économiques mondiaux, mais également des utilisateurs, directement concernés. La sécurité des données des entreprises aussi bien que des citoyens s’inscrit désormais dans une bataille mondiale, accentuée par l’hégémonie des plateformes américaines (les GAFAM, Google, Amazon, Facebook, Apple, Microsoft).

Le Cloud Act, une loi sécuritaire inédite

Adoptée discrètement par la nouvelle administration Trump, le Cloud Act, suscite l’inquiétude des européens au sujet d’une éventuelle mainmise américaine sur la protection des données et de la vie privée de ses citoyens. Le Cloud Act permet en effet aux autorités américaines de demander à leurs entreprises technologiques, type GAFAM, de leur fournir des informations personnelles sur leurs utilisateurs, et ce, même en dehors du territoire américain. L’Europe est clairement concernée, puisque les GAFAM y sont omniprésentes. Avec cette évolution de la loi sécurité américaine en termes de données, c’est également la question de la compatibilité entre le Cloud Act et le RGPD qui est posée.

Quel impact à l’échelle des entreprises françaises ?

Le Cloud Act s’applique, par conséquent, aux entreprises françaises qui confient leurs données aux entreprises américaines, ainsi qu’à leurs filiales implantées en Europe. Ces données concernent l’entreprise, son activité, ainsi que ses utilisateurs. Or, une entreprise est censée garantir la protection des données personnelles à ses utilisateurs, d’autant plus depuis mai 2018 et l’application du RGPD. Quelle que soit leur taille ou leur secteur d’activité, les entreprises françaises, auront donc tout intérêt à prendre conscience des lois qui concernent leurs données, par essence immatérielles et sans frontières. Dès lors, se poser les bonnes questions aide à faire des choix éclairés. Quelle est la nationalité de son opérateur de Cloud ? Où est situé le serveur ou les serveurs qui héberge(nt) ses données et celles de ses clients ? Ces données sont-elles sécurisées et protégées ?

Le Cloud Act, une loi sécuritaire qui s’applique sans limite géographique

La loi sur le Budget 2018 américain signée par Donald Trump inclut un volet, le Cloud Act (pour “Clarifying Lawful Overseas Use of Data Act”), passé quasiment incognito lors de son adoption, mais dont l’impact est retentissant sur les données des organisations et des utilisateurs à l’échelle mondiale. Cette loi soulève de grandes interrogations sur la préservation de la vie privée, car elle donne tout simplement un cadre légal à la saisie par des agences gouvernementales ou des forces de polices américaines, d’emails, de documents et de communications électroniques localisés dans des datacenters de sociétés américaines à l’étranger. Le Cloud Act constitue une extension du Patriot Act, adopté suite au 11 septembre 2001 qui donne l’accès par les autorités US aux données personnelles traitées par les logiciels et services en ligne, sur fond de lutte antiterroriste. Dans un cadre légal, c’est-à-dire suite à une injonction d’ordre judiciaire, les autorités américaines seraient ainsi capables d’accéder aux données stockées sur les Clouds de n’importe quel hébergeur, visant bien entendu en priorité les fameux GAFAM.

Un champ d’application sans limite géographique

Le champ d’application du Patriot Act se limitait, jusque-là, aux données stockées dans des datacenters (centres de données) situés géographiquement sur le territoire américain. Un datacenter situé n’importe où en France n’était donc pas concerné. Or, le Cloud Act rend désormais possible l’accès aux données stockées par un fournisseur de service américain, quelque soit son hébergement géographique. En résumé, les sociétés technologiques américaines ainsi que leurs filiales à l’étranger, peuvent fournir à la demande des autorités américaines, des informations confidentielles sur leurs utilisateurs dans le cadre d’enquêtes juridiques, même si ces données sont stockées dans n’importe quel pays tiers. Cette évolution de la loi américaine fait suite à l’affaire United States v. Microsoft Corp. En 2013, le FBI avait en effet demandé à la société Microsoft de lui communiquer les données appartenant à un client suspecté dans une affaire sur un trafic de stupéfiants. Microsoft avait refusé de fournir ces données au motif que ces dernières étaient stockées en Irlande, et non aux États-Unis. La bataille juridique portée devant la Cours Suprême a depuis pris fin avec le Cloud Act, qui a contraint Microsoft à fournir les données en question à partir du moment où l’entreprise américaine les héberge.

Les inquiétudes soulevées par le Cloud Act

Tout d’abord, le champ d’application du Cloud Act est très large, puisqu’il concerne les fournisseurs de service américains qui sont omniprésents en dehors des États-Unis à travers leurs services en ligne (Facebook, Instagram, Whatsapp, Messenger, Gmail, etc.), ainsi qu’à travers leurs filiales à l’étranger. Ensuite, le gouvernement américain peut requérir un accès à toutes les données de n’importe quel citoyen, quelle que soit sa nationalité, à partir du moment où les données de ce dernier sont stockées chez des fournisseurs de service américains, quelle que soit la localisation géographique du data center. De plus, le citoyen concerné n’est pas nécessairement prévenu de cette demande, et n’a donc pas de recours. Pour contrebalancer ce qui pourrait être perçu comme une disposition extraterritoriale de la loi américaine, le Cloud Act rend possible la signature d’accords bilatéraux entre le gouvernement américain et des gouvernements étrangers dans le cadre d’une entraide internationale. Ces derniers pourraient ainsi demander directement à un fournisseur de services américain de lui communiquer les données qu’il détient, même basé aux États-Unis, et sans recourir au juge. Toutefois, l’ensemble des contours de la loi suscite des levées de boucliers de la part de plusieurs associations de défense des droits de l’homme et des consommateurs qui ont dénoncé une atteinte aux libertés civiles.

Les opportunités pour les fournisseurs de service européens

La bonne nouvelle est à considérer du point de vue des fournisseurs de service et hébergeurs européens, qui ne sont donc pas concernés par le Cloud Act, grâce à leur nationalité. Dès lors, dans un souci de protection de leurs données corporate et des données personnelles de leurs clients, les entreprises françaises auront tout intérêt à faire appel à un fournisseur français ou européen, et à opter pour un hébergement en Cloud Privé.

Cloud Act vs RGPD

“Le Congrès américain a adopté le Cloud Act dans une procédure accélérée, ce qui réduit les chances de dégager une solution compatible entre les systèmes américain et européen”, a déclaré Vera Jourova, commissaire européenne à la Justice.

Le Cloud Act est-il compatible avec le RGPD ?

Les scandales de fuites massives de données personnelles se sont répétées ces dernières années, et ont mis en cause les failles de sécurité et la responsabilité des fameux géants du web américains. Ces scandales ont révélé au grand jour les risques liées à la fuite des données des utilisateurs à travers le monde, notamment depuis l’affaire, qui a accusé Facebook et la société de profilage politique Cambrige Analytica, d’avoir capté les données de 50 millions d’internautes, sans leur consentement en 2018. Le RGPD, entré en application le 25 mai 2018, s’inscrit dans une posture de défense de l’Union Européenne pour offrir de nouveaux droits aux internautes et citoyens européens, quant au contrôle accru sur la collecte et le traitement de leurs données (droit à l’oubli, droit de limitation de traitement…). Le RGPD vise également à responsabiliser les acteurs économiques qui traitent les données pour garantir une utilisation respectueuse de la vie privée des citoyens européens. Par conséquent, le RGPD a aussi pour vocation de consolider les droits des citoyens européens face aux géants tech américains. D’un côté, le Cloud Act autorise la justice américaine à saisir des données stockées hors de son territoire national, du moment que le fournisseur est de nationalité américaine. De l’autre, l’article 48 du RGPD interdit clairement le transferts de données personnelles hors de l’Union Européenne. En effet, le Cloud Act met à mal le RGPD, notamment sur son article 48, qui stipule que les requêtes de transmission de données par un pays tiers doivent se faire dans le cadre d’un accord international. De plus, si le RGPD assure que les transferts doivent être encadrées, fondées et accompagnées de garanties afin que les personnes concernées puissent recourir à des voies d’opposition pour faire respecter leurs droits. Le Cloud Act, lui, s’impose de façon unilatérale, et se dispense de notifier le citoyen concerné.

Qu’en est-il des entreprises américaines implantées en Europe et qui ont adopté le RGPD ?

Imaginons le cas suivant : l’administration américaine demande à Google de transférer des données personnelles situées en Europe à ses services de renseignement. Google est en droit de s’y opposer en attendant qu’un juge européen se prononce. Voilà pour la théorie. Or, dans la pratique, en fonction des circonstances (suspicion d’attaque terroriste imminente par exemple), Google peut de facto prendre la décision de transférer les données. Le risque pour son image est grand si l’entreprise est désignée responsable, suite à une attaque, de ne pas avoir transmis des données en temps et en heure. En conclusion, les données des citoyens français détenues par les fournisseurs de services américains, et stockées sur des serveurs en France ou en Europe peuvent effectivement faire l’objet d’une demande de transfert de la part des autorités américaines, sans que le droit de s’y opposer ne soit garanti. Par conséquent, nous ne pouvons que recommander aux entreprises françaises d’héberger leurs données chez des fournisseurs européens.