Mars 2018 : un pas de plus dans l’ingérence des autorités américaines.

Mars 2018 – Alors que l’Europe se prépare à l’avènement du nouveau Règlement Général sur la Protection des Données (RGPD) et que la Suisse renforce sa législation en matière de protection des données (LDP), le Congrès américain, de son côté, vote en catimini le CLOUD Act, un énième texte sécuritaire, consolidant l’ingérence des autorités américaines sur les opérateurs de Cloud computing à travers le monde. Concrètement, que faut-il retenir de ce texte ? Quels sont les impacts pour les sociétés françaises ? Les réponses ci-dessous.

Parmi les 2232 pages de la loi de finances américaine : le CLOUD Act – Crédit – Pablo Martinez Monsivais
Le Cloud Act – Claryfing Lawful Overseas Use of Data.

Glissé dans les 2232 pages de la loi de financement de l’État fédéral promulguée par Donald Trump le 23 mars dernier, le CLOUD Act –  Claryfing Lawful Overseas Use of Data – offre un cadre légal à la saisie d’emails, de documents et de communications électroniques localisés dans les serveurs de sociétés américaines à l’étranger. À peine promulgué, ce texte suscite déjà de nombreuses réactions et soulève des préoccupations notamment autour du respect des libertés et de la vie privée, des Européens en particulier.

Un accueil favorable : le Cloud Act encourage le dialogue diplomatique.

D’un côté, le CLOUD Act a été favorablement accueilli par les firmes high-techs, Microsoft y compris, qui déclarent dans une lettre ouverte adressée aux sénateurs américains que la nouvelle loi est un bon compromis, répondant aux besoins des gouvernements tout en donnant aux entreprises technologiques la capacité de défendre les droits de la vie privée de leurs clients dans le monde. Quand on pense que les déboires judiciaires entre Microsoft et l’administration américaine sont à l’origine du CLOUD Act (voir notre encadré).

Le monde en alerte : un accès aux données n’importe où et sans mandat.

De leur côté, les associations qui militent pour la protection de la vie privée s’insurgent. En l’état, le CLOUD Act donne aux autorités américaines le pouvoir d’accéder à des données d’entreprises (américaines), peu importe le pays où elles sont hébergées, sans même nécessiter l’octroi d’un mandat.

À l’image de Microsoft qui va ouvrir deux nouveaux datacenters en Suisse*, l’implantation de nouveaux datacenters en Europe par des sociétés américaines ne serait donc qu’un leurre ?

Quels impacts pour les sociétés françaises ?

Vu les implications sur la vie privée, qui est un droit fondamental aux États-Unis comme en France, la procédure adoptée par le Congrès a de quoi inquiéter sérieusement. Avec le CLOUD Act, la localisation des données n’a plus aucune importance tant qu’elles sont détenues par une société américaine. En faisant le choix d’un acteur américain vous vous soumettez d’emblée au CLOUD Act. Vos données (emails, documents, etc.) ne vous appartiennent plus. Et dire que Microsoft, Google et Facebook, Amazon, Apple dominent notre quotidien : emails, espaces de stockage, réseaux sociaux, plateformes collaboratives etc.

Il est temps de réagir. Il est impératif de se tourner vers des acteurs locaux qui hébergent les données en France, dans le cadre du RGPD. Cela vous assure de meilleures relations commerciales, contractuelles et judiciaires, et une restitution rapide des données. Dans un autre contexte, cela vous préserve d’un éventuel espionnage économique étranger, et stimule le secteur technologique local.

L’origine du CLOUD Act.

Tout commence en 2013 lorsque la justice américaine demande à Microsoft de lui donner l’accès à des données appartenant à l’un de ses clients soupçonné d’être impliqué dans une affaire de trafic de drogue. Jusque-là rien d’anormal, Il s’agit même d’une procédure classique aux États-Unis. Mais Microsoft refuse, invoquant le principe de territorialité du datacenter concerné, situé non pas sur le sol américain, mais en Irlande. L’affaire est portée jusqu’à la Cour suprême, qui a préféré attendre l’adoption d’une nouvelle loi pour statuer. C’est désormais chose faite avec le Cloud Act qui vient enterrer 5 ans de bataille judiciaire.


Pour aller plus loin : le Friday Live d’Alain Garnier.