Passer

Cloud Act, nouvelles mesures à l’encontre des entreprises et des données personnelles européennes

Le Cloud Act est désormais signé et le voilà déjà au centre des critiques des défenseurs de la protection de la vie privée et des données personnelles.

Avec l’application du Règlement européen sur la Protection des données (RGPD) du 25 mai 2018, le Cloud Act semble être en totale opposition avec les nouvelles exigences européennes.

Le Cloud Act qu’est ce que c’est ?

Le Cloud Act, ou Clarifying Lawful Overseas Use of Data Act, constitue le nouveau cadre légal américain relatif à la saisie de données par le gouvernement ou les forces de police américaines.

Voté parmi les quelques deux mille pages de la loi de finance, le Cloud Act permet aux forces de l’ordre qu’elles soient fédérales ou locales de contraindre les fournisseurs de services situés aux Etats-Unis à leur transmettre des données à caractère personnel ; et cela même si celles-ci sont stockées sur des serveurs de pays tiers aux Etats-Unis.  

Il s’inscrit ainsi dans la continuité du Patriot Act qui pose une obligation de collaboration aux entreprises et aux personnes de nationalités américaines de fournir des informations pour lutter contre la cybercriminalité.

Cette contrainte ne peut cependant s’effectuer que dans le cadre d’une procédure judiciaire. Le texte permet que ces saisies de données européennes soient effectuées sans en informer la personne concernée et sans avoir à passer par une quelconque instance juridique du pays concerné.

Le Cloud Act simplifie la procédure de saisie. En effet, celle-ci était déjà envisageable avant l’entrée en vigueur du Cloud Act, sa mise en oeuvre étant plus restreinte : la saisie n’était possible que si elle était préalablement validée par des commissions spécialisées en la matière.

La nouveauté introduite par le Cloud Act permet au Président américain de négocier et conclure directement des accords bilatéraux d’échange d’informations avec d’autres gouvernements, sans avoir besoin de l’approbation du Congrès.

Cloud Act, nouvelles mesures à l’encontre des entreprises et des données personnelles européennes

Et en pratique ?

La sécurité est le premier argument en faveur de cette loi. Elle vante la lutte contre le crime et l’entraide au niveau international pour expliquer pourquoi la saisie de données par les forces de l’ordre doit être facilitée.

Des gardes fous ont tout de même été prévus par le texte, permettant aux fournisseurs de services américains de s’opposer à de telles requêtes. Cependant le champ d’application est limité à la réalisation de deux conditions cumulatives. Tout d’abord, la personne dont les données sont en cause ne doit pas être un citoyen ou un résident américain. La seconde condition prévoit que la divulgation des données doit faire courir un risque au fournisseur d’aller à l’encontre des lois locales.

En somme, cette loi impacte particulièrement la vie privée des individus concernés, mais également les entreprises qui ne sont aucunement protégées par ces gardes fous.

Le Cloud Act contre le reste du monde

Le Cloud Act s’oppose au règlement européen sur la protection données à caractère personnel (RGPD) qui conditionne strictement le transfert extraterritorial de données personnelles européennes. Plus spécifiquement, son article 48 interdit les transferts exclusivement fondés sur la demande unilatérale d’un gouvernement étranger, sauf accord international liant les pays concernés.

De même, les Etats-Unis ont conclu l’accord du Privacy Shield avec l’Europe, en vigueur depuis le 1er août 2016. Les entreprises américaines préalablement auto-certifiées sont considérées comme offrant un niveau de protection adéquat aux données personnelles transférées par une entité européenne.

Malgré les mesures prises pour protéger les données personnelles, ces réglementations ne garantissent pas la protection de la vie privée des personnes qui sont concernées par une saisie dans le cadre du Cloud Act. De même, si ces réglementations ont pour objectif de protéger au mieux les personnes physiques, les entreprises quant à elles ne le sont absolument pas.

À ce stade, imaginer les interactions entre ces réglementations est complexe. Si Microsoft n’a pas obtenu gain de cause contre l’état américain, il faudra attendre les prochains affrontements juridiques pour déterminer si une cohabitation entre ces règles est possible ou non, et quels sont les positionnements et stratégies que devront prendre les entreprises dans ce marasme légal et réglementaire ?

 


Découvrez notre playground Trust & Cybersecurity