Promulgué en mars 2018, le Cloud Act est l’acronyme de Clarifying Lawful Overseas Use of Data Act. Cette nouvelle loi américaine clarifie l’usage légal des données hébergées à l’étranger.
L’affrontement entre Microsoft et le gouvernement américain
La proclamation du Cloud Act émane d’un litige entre Microsoft et les autorités américaines. Lors d’une enquête liée au trafic de drogue, le FBI a réclamé à Microsoft, l’accès aux données d’un compte utilisateur. La société Microsoft a refusé au motif que ces dernières étaient hébergées en Irlande et non sur le territoire américain. Le gouvernement a perdu devant la cour d’appel à raison du principe de territorialité. Ce principe inflige que ce soit le droit irlandais et donc européen qui soit appliqué. Le litige a été porté jusque devant la cour suprême qui n’a jamais pu trancher ce différend. En effet, le gouvernement américain a court-circuité le débat judiciaire en faisant adopté le Cloud Act. Celui-ci a ainsi permis d’appliquer l’exterritorialité du droit américain. Désormais, la règlementation concernant l’utilisation légale des données s’exerce aussi en dehors des frontières américaines.
Le Cloud Act : qu’est-ce que c’est ?
https://donnees-rgpd.fr/donnees-personnelles/cloud-act-anti-rgpd
Le Cloud Act – acronyme de Clarifying Lawful Overseas Use of Data Act – a ainsi été promulgué en mars 2018. Il autorise une fois pour toutes le gouvernement américain à collecter auprès de fournisseurs américains des données hébergées à l’étranger. Les données des datacenters peuvent faire l’objet d’enquête criminelle à partir du moment où celles-ci appartiennent à un fournisseur américain. L’hébergement géographique n’est donc plus une barrière pour les autorités américaines. Les entreprises technologiques américaines, type GAFAM, sont désormais dans l’obligation d’accorder au gouvernement américain l’accès à leurs données et ce même en dehors du territoire américain.
Seulement, aujourd’hui 90% des cloud utilisés par les entreprises en France sont américains. Cette nouvelle régulation ne concerne donc pas uniquement les entreprises américaines mais aussi de nombreuses entreprises européennes. Les autorités américaines sont en droit de collecter des données stockées par un hébergeur américain en France ou ailleurs. Ainsi, les entreprises françaises concernées doivent non seulement se conformer au RGPD mais aussi à cette nouvelle réglementation américaine.
Le Cloud Act menace-t-il la vie privée des utilisateurs ?
La proclamation du Cloud Act a suscité et continue de déclencher des critiques. Nombreux se questionnement quant à son impact sur l’économie européenne mais aussi sur la protection des données des utilisateurs.
Le Cloud Act concerne non seulement les informations personnelles des utilisateurs mais aussi les données d’entreprise qu’elles soient américaines ou non américaines.
http://francerh.fr/protection-des-donnees-des-salaries-quelles-obligations-pour-lemployeur
Les données peuvent être requises par les autorités américaines lorsque celles-ci sont ciblées et basées sur « des faits raisonnables et crédibles ». Cependant, les réquisitions faites par le gouvernement américain ne sont plus soumises à un contrôle judiciaire à priori. Cela ne garantit donc aucunement la validité de ces requêtes et la protection des données personnelles des utilisateurs.
D’autant plus que le Cloud Act est aussi en parfaite contradiction avec le RGPD. Les réquisitions du gouvernement américain se font effectivement sans notification à l’individu ou à l’entreprise concernée. De plus, il n’existe aucune procédure permettant à l’utilisateur de contester l’accès à ses données personnelles. Seule l’entreprise concernée est en droit de contester sous 14 jours la divulgation de données auprès d’un tribunal américain.
En outre, les entreprises concernées par le Cloud Act n’ont plus seulement le rôle d’hébergeur de données. Elles doivent aussi en avoir le contrôle pour être sollicités par les autorités américaines.
Le Cloud Act : Les accords bilatéraux
Le Cloud Act impose un cadre légal général aux pays tiers. À titre d’exception, les autorités américaines autorisent les gouvernements non américains à négocier avec elles des accords. Ces accords ont pour objectif de définir et préciser les conditions des réquisitions de données.
Du point de vue des GAFAM, les accords bilatéraux clarifient les procédures et garantissent la protection des données des utilisateurs. L’avantage du Cloud Act pour les entreprises technologiques américaines est de maintenir leur espace de stockage sur les territoires étrangers. Cette nouvelle réglementation empêchent les pays tiers d’exiger un stockage des données sur le sol national. Avant le Cloud Act, la Chine a par exemple exigé que les données soient stockées sur le sol national.
Cependant, le point de vue des organisations de défense des libertés individuelles diffère. Selon l’article de Guillaume Renouard, elles considèrent que « les garanties requises pour établir un accord bilatéral avec un autre État sont insuffisantes ou imprécises ». Il explique aussi que ces accords peuvent bénéficier les régimes autoritaires qui pourrait se servir du Cloud Act pour surveiller leur population.
Cloud Act VS RGPD
Le Cloud Act et le RGPD se sont avant tout deux régulations issues de deux puissances économiques dans un monde ultra-connecté.
https://blog.intercloud.com/en/gdpr-vs-cloud-act
Depuis l’émergence de la big data, de nombreuses dérives ont fait surface. Le nombre de données numériques a augmenté presque aussi vite que les fuites massives de données personnelles. C’est en partie l’affaire Cambridge Analytica qui a réveillé les esprits et révéler la nécessité d’instaurer un cadre légal quant à l’utilisation des données des utilisateurs. Cette affaire a mis en évidence le danger potentiel que représente, pour la démocratie, une exploitation de ces données. L’Europe a ainsi décidé d’agir et de prendre des mesures pour empêcher les géants Tech américains de remettre en cause la liberté de ses citoyens.
Le RGPD c’est aussi un moyen pour l’Europe de renforcer sa position économique. Depuis l’ère numérique, les États-Unis jouent un rôle prépondérant sur le marché de l’économie numérique. A travers le RGPD, l’Europe contre-attaque et accorde de nouveaux droits aux utilisateurs en intensifiant le contrôle de l’usage des données. Le RGDP présente des mesures qui protègent les citoyens de l’utilisation frauduleuse de leurs données.
Les points de divergence
Les deux réformes ont un but commun qui est de clarifier l’usage des données notamment entre des pays tiers. Cependant, elles présentent certains points de divergence qui soulèvent des intentions contradictoires sur le point économique.
En effet, le Cloud Act facilite l’accès des données hébergées à l’étranger aux autorités américaines. Tandis que le RGDP interdit lui aux entreprises européennes de divulguer leurs données aux pays non-européens. De plus, concernant le Cloud Act, l’utilisateur n’est pas notifié et ne dispose pas de moyen de contester la réquisition de ses données. Alors qu’il est explicitement inscrit dans le RGPD qu’il existe un recours pour la personne concernée de faire respecter ses droits.
Comment protéger ses données ?
Voici quelques recommandations du CNIL pour protéger les données d’entreprise :
https://cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
https://cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
Merci pour votre attention,
Célia BRUN
Sources
Cloud computing et big data: La dématérialisation au service des sociétés européennes
0 commentaires