CLOUD Act versus RGPD : retour d’une nouvelle forme d’ingérence numérique américaine
Tech&droit - Données
28/05/2018
Alors qu'en Europe l'entrée en vigueur du réglement sur la protection des données (RGPD) le 25 mai dernier marque une volonté forte de cadrer l'utilisation des données, le Congrès américain a de son côté voté une loi, le Clarifying Lawful Overseas Use of Data Act (CLOUD act) qui va en sens inverse. Entrée en vigueur le 23 mars dernier, ce texte est destiné à faciliter l'obtention par l’administration américaine de données stockées ou transitant à l'étranger, via notamment les opérateurs et fournisseurs de services en ligne. Les explications sur les enjeux de ce texte, avec Servane Augier, directrice du développement Outscale, administrateur Hexatrust et Olivier Iteanu, Iteanu Avocats, VP Hexatrust.
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi votée par le Congrès américain 23 mars 2018 afin de faciliter l'obtention pour l’administration américaine de données stockées ou transitant à l'étranger, via notamment les opérateurs et fournisseurs de services en ligne.
Le CLOUD Act a été joint au projet de loi sur le budget fédéral (le Consolidated Appropriations Act, 2018) et adopté sans examen spécifique (c'est-à-dire directement intégré dans le texte de la loi de finances), avant d'être promulgué le 23 mars 2018.
Contexte d’adoption du Cloud Act
Ce texte répond à une demande des agences américaines, parfois confrontées à des problématiques d'extraterritorialité lorsqu’elles requièrent auprès d’opérateurs la divulgation de données. Et, en pratique, il vise à apporter un fondement juridique à une action du Département de la Justice dans un litige opposant l'un des géants du net aux autorités de son pays.
Cette affaire qui l’oppose depuis 2013 à Microsoft concerne l'exploitation des données d'une boîte email d'un utilisateur, stockées dans un serveur installé non pas aux États-Unis, mais en Irlande. Le ministère de la Justice américain estime qu'une société américaine doit répondre favorablement à la demande de l'administration et ce, quel que soit le lieu de stockage des données. L'affaire est remontée jusqu'à la Cour suprême, qui a sursis à statuer dans l’attente de l'adoption d'une nouvelle loi. Chose faite avec ce CLOUD Act.
Ce texte qui oblige désormais les entreprises américaines à fournir les données de leurs utilisateurs stockées à l’étranger a reçu un accueil favorable chez Microsoft, comme chez d’autres géants du web, qui se sont tous réjouis de l’avènement d’un tel paradigme législatif.
Notre position
Dans un contexte grandissant de protection des données personnelles et de la promotion d’un cloud de confiance européen, le CLOUD Act marque un retour en arrière et une forme d’ingérence numérique que nul ne peut désormais ignorer.
Le CLOUD Act entre ainsi en contradiction avec les dispositions du RGPD (Règl. UE n° 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données), notamment les articles 44 et suivants et spécialement l’article 48 sur les « Transferts ou divulgations non autorisés par le droit de l’Union » qui dispose que « Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international (…) ».
En effet, le CLOUD Act donne la possibilité à une puissance étrangère, en l’occurrence les États-Unis d’Amérique, d'accéder aux données dès lors qu’elles sont hébergées par des Cloud Providers américains, sans que les utilisateurs en soient informés, quand bien même ces données seraient stockées en France ou concerneraient un ressortissant européen, et ce sans passer par les tribunaux.
Cette situation est alarmante et dénoncée par de nombreuses organisations comme Electronic Frontier Foundation, American Civil Liberties Union, Amnesty International et Human Rights Watch. Elle entraîne des risques liés à l’espionnage industriel, la sécurité nationale, la propriété intellectuelle, la protection des données personnelles et doit donc être connue du grand public et des utilisateurs.
Dans ce cadre, le stockage comme brique essentielle de la maîtrise de la chaine de confiance de la donnée ne peut pas être aveuglément laissé à des acteurs soumis à des législations en contradiction avec les lois et valeurs européennes. La solution est simple, se tourner vers les nombreux acteurs offrant des alternatives souveraines, c’est-à-dire non seulement implantées en France, mais aussi et surtout de droit français.
Ces acteurs, cloud providers, éditeurs, conseils, intégrateurs, apportent un état de l'art dans leurs métiers et présentent un très haut niveau d'expertise certifiés par l'ISO 27001:2013 ou par des qualifications en cours auprès de l'ANSSI (SecNumCloud).
Source : Actualités du droit
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des contenus et services adaptés.
En savoir plus
-
Refuser
Accepterx
