Le Cloud Act est une loi votée par le congrès permettant à l’administration des États-Unis d’Amérique l’accès à toutes les données privées des entreprises américaines sur ou en dehors du territoire américain. Établie par l’ancien président américain, Donald Trump, cette loi a pour objectif d’accorder, dans le cadre d’enquêtes judiciaires, l’accès aux données numériques d’entreprises américaines implantées en Europe ou ailleurs.
Les origines du Cloud Act
La genèse du Cloud Act émanait d’un contentieux entre l’entreprise Microsoft et le gouvernement des États-Unis d’Amérique. Ce dernier sollicitait certaines données numériques hébergées chez la multinationale de Bill Gates. En effet, le gouvernement exigeait ces données dans le but de prouver des infractions fiscales commises. Microsoft a naturellement refusé de communiquer les données prétextant que celles-ci étaient hébergées à l’étranger. Suite à ça, Donald Trump a mis en place le Cloud Act, une loi visant à renforcer le pouvoir des agences de surveillances états-uniennes en autorisant l’accès aux données stockées dans les Datacenters des entreprises américaines implantées partout dans le monde.
Cloud Act : Définition et objectifs
Le Cloud Act est un ensemble de lois permettant aux États-Unis la libre exploitation des données digitales de personnes étrangères à travers des entreprises américaines. A titre d’exemple, nous pouvons citer Facebook, Google ou encore Microsoft.
Le Cloud Act a pour perspective de donner au gouvernement américain un accès libre aux données à caractère personnel récoltées par les entreprises américaines en Europe. Cette loi s’applique uniquement dans le cadre d’une enquête judiciaire et s’adresse aux fournisseurs de services sans passer par une demande d’entraide judiciaire internationale. Considéré comme la version améliorée du Stored Communication Act de 1986, fondé sur des accords bilatéraux et qui se limitait aux données hébergées aux États-Unis, le Cloud Act concerne toutes les institutions de droit américain quel que soit son lieu d’implantation. Cela inclut les prestataires d’hébergement basés sur le sol américain ou de nationalité américaine et dans n’importe quel autre pays.
Le Cloud Data versus le Patriot Act
Le mandat du Clarifyng Lawful Overseas Use of Data Act a été délivré le 23 mars 2018 en continuité avec le patriot Act, une loi antiterroriste datant du 26 octobre 2001 et qui a pour objectif de fournir au gouvernement américain et les services de sécurité les moyens appropriés pour accéder aux données informatiques sans autorisation préalable.
La différence entre ces deux lois réside dans leur champ d’application et des acteurs pouvant accéder à ces données. En ce qui concerne la loi du Patriot Act, celle-ci permet aux agences gouvernementales (Nasa, CIA, FBI) d’accéder à des données dans le cadre d’une enquête relative à des attaques de terrorisme. Tandis que le Cloud Act, permet aux autorités américaines d’obtenir des informations relatives à une enquête judiciaire moyennant un mandat de perquisition.
En résume, le champ d’application du Patriot Act se limite aux données relatives aux actes de terrorisme, tandis que le Cloud Act englobe toutes les données digitales des entreprises américaines implantées partout dans le monde.
Le conflit entre le Cloud Act et le RGPD
Le RGPD, abréviation pour Règlement Général sur la Protection des Données est un règlement européen mis en place afin de donner un cadre juridique au traitement des données à caractère personnel sur l’ensemble du territoire de l’Union Européenne.
Cette loi a été signée dans un contexte juridique permettant au gouvernement européen d’encadrer l’usage accru du numérique et le développement des technologies. Ce règlement a donc pour objectif de donner un cadre juridique aux activités numériques au sein de l’UE et de renforcer le contrôle de l’utilisation des données stockées des citoyens.
Le RGPD s’applique dans toutes les institutions privées ou étatiques établies sur le territoire de l’union européenne et traitant des données numériques personnelles des résidents européens.
Depuis la mise en place du Cloud Act, un conflit s’est inscrit entre les différents acteurs de l’Union Européenne et des États-Unis stipulant le viol du RGPD par le Cloud Act. Ainsi, dans l’article 48 du RGPD, il est énoncé que « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre ». Cette loi va à l’encontre du Cloud Act qui n’est pas un accord international et ne répond donc pas aux prérogatives du RGPD.
De plus, l’union européenne tente d’accroître la sécurité des données personnelles en exigeant un accord international dans le transfert de données à caractère personnel.
Le Cloud Act : un danger pour la souveraineté des entreprises
Dans un contexte où les données numériques sont dominées par les éditeurs américains, le Cloud Act peut constituer un véritable danger à la souveraineté des entreprises françaises. En réponse à la loi votée en mars 2018, la France a mis en place un dispositif permettant aux entreprises françaises d’être informées de tout accès aux données stockées sur les serveurs américains. D’ailleurs, un état d’alerte a été lancé depuis la signature de la loi par Donald Trump, mettant au point les inquiétudes soulevées quant au droit du gouvernement américain dans la gestion des données des entreprises européennes.
Quelles alternatives pour les entreprises européennes ?
Avec l’émergence des géants américains comme Microsoft ou Amazon, les entreprises françaises et européennes sont tiraillées et se voient nager entre deux eaux avec d’un côté la loi locale du RGPD et le cloud Act américain. Mais c’est suite au renforcement des pouvoirs de surveillance de l’Oncle Sam que de nombreuses entreprises européennes ont été contraintes de transférer leurs données vers des hébergeurs européens. Ces derniers seront soumis à la législation locale conformément au RGPD et auront pour responsabilité de protéger les données numériques de leurs clients.
D’un autre côté, il existe le chiffrement des données, une autre alternative qui s’est avérée efficace pour contrer le Cloud Act et assurer la protection des données des consommateurs.
Le Cloud Act constitue pour les entreprises et les gouvernements européens une entrave aux droits fondamentaux du consommateur et une atteinte à la sûreté nationale.
En ce qui concerne les entreprises françaises, l’enjeu du Cloud Act réside dans la problématique de la souveraineté numérique. Cette loi constitue un véritable danger autorisant le vol de données numériques, l’espionnage et l’usurpation de propriété intellectuelle.
Si le but premier de cette loi est de faciliter aux autorités publiques l’accès aux données portant sur des enquêtes criminelles, son large périmètre permet également d’accéder à des données qui menaceraient l’ordre public.