Cloud act : le vrai et le faux

Le Cloud Act est une loi ayant fait plus que débat depuis maintenant un an. Controversée car plus ou moins bien comprise par les usagers, aujourd’hui, il semble important d’en clarifier la situation.

Le Cloud Act a pour objectif de faciliter les échanges entres les Etats Unis et les pays tiers par des accords bilatéraux afin de permettre une coopération internationale. Ces coopérations permettraient aux Etats de créer une communauté respectueuse des mêmes principes, comme les droits de l’Homme et l’Etat de droit. Ce qui empêche certains pays ne respectant pas ces principes de participer aux accords Cloud.

Les services répressifs américains peuvent, via cette loi, rechercher les contenus de fournisseurs de communication électroniques ou de services informatiques, qu’ils se situent sur le territoire américain ou sur n’importe quel territoire étranger. Cela signifie que cette loi s’applique à des entreprises qui ne sont pas uniquement américaines, mais également à celles ayant un bureau de liaison ou une filiale aux Etats Unis. Elle s’applique, selon les tribunaux américains, à des sites internet accessibles à des clients sur le territoire américain.

Le cloud Act trouvera à s’appliquer uniquement dans deux cas : le premier, par le consentement du client, le second par la délivrance d’un mandat d’une juridiction américaine.

De ce fait, beaucoup de personnes considèrent qu’il est trop aisé pour les Etats-Unis d’interférer dans les affaires d’entreprises étrangères et donc de faire preuve d’ingérence. En effet, les données pouvant être concernées sont celles de l’entreprise, de son activité, ainsi que celles de ses utilisateurs.

Toutefois, il faut relativiser cela. Pour se voir délivrer un mandat, les autorités américaines doivent prouver leurs informations et justifier réellement de l’importance de l’intervention. Ces investigations doivent démontrer qu’un crime a été commis pour leur permettre d’agir. L’intervention des autorités américaines et l’obtention d’un mandat n’est donc pas automatique. De plus, la signature des accords cloud par un Etat, lui permet également, tout comme les Etats-Unis, de demander la communication de données que détient un fournisseur cloud américain, même basé aux Etats-Unis, sans devoir passer par un juge.

Au demeurant, la possibilité d’interférer dans le fonctionnement d’une entreprise, même étrangère, se rapproche fortement des conséquences établies par le RGPD depuis son entrée en vigueur. Les autorités européennes se sont attribuées les mêmes droits que les autorités américaines.

En pratique, le Cloud Act vise à s’appliquer pour les fournisseurs cloud qui serait américain. La difficulté réside donc dans le stockage des données. De ce fait, si une entreprise suisse stocke ses données dans un centre de données en suisse ou en Europe, mais via le service d’un fournisseur cloud américain, elle sera sous le régime du Cloud Act.

Toutefois, les fournisseurs Cloud peuvent s’opposer à transmettre des données lorsqu’ils croient que « le client ou l’abonné n’est pas un ressortissant des États-Unis et ne réside pas aux États-Unis ; et que la divulgation requise créerait un risque important que le fournisseur enfreigne les lois d’un gouvernement étranger admissible. »

Si elles transmettent tout de même les données de leurs clients, beaucoup de fournisseurs Cloud comme Amazon ou Microsoft s’engagent à les avertir. Toutefois, aucune obligation d’information n’existe réellement dans le Cloud Act, ce qui n’assure pas les clients que les fournisseurs cloud le feront.

Pour éviter une demande des Etats-Unis, utiliser un Cloud d’un hébergeur européen situé en Europe semble être une bonne alternative. Le Cloud Act ne pourra alors s’appliquer et les règles en matière de protection des données y sont plus strictes.

A propos de Marion AUBERT

Je suis actuellement préparée à répondre aux problématiques concernant la cybersécurité, les contrats informatiques, le marketing digital, la e-réputation ou encore le RGPD. Le but étant de nous former sur le plan juridique, technique mais aussi professionnel, ce qui me permettra d'être la plus efficace dans mon futur emploi.

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.