Cloud Act : la stratégie américaine pour contourner le RGPD européen ?

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est la réponse législative donnée au procès dit du « NY warrant case » pour déterminer si les autorités américaines peuvent requérir la transmission des données stockées à l’étranger.

Promulguée le 23 mars 2018, cette loi permet aux forces de l’ordre ou aux agences de renseignement américaines d’obtenir auprès des opérateurs télécoms et des fournisseurs de services de Cloud des informations des entreprises américaines stockées sur leurs serveurs. Cependant la transmission ne peut se faire sur simple demande des autorités américaines. Le CLOUD Act se heurte parfois à des réglementations des pays hébergeurs, en Europe le RGPD.

Les autorités américaines, depuis leur échec dans le procès « NY warrant case », ont pris l’initiative de prévoir dans le CLOUD Act la possibilité de négocier des accords avec les états européens ou avec l’union européenne. Des accords dans lesquels seront définis le cadre des réquisitions. Aujourd’hui plusieurs accords sont en négociation mais aucun n’a encore été signé.

CLOUD Act vs RGPD

Dans le CLOUD ACT, ni l’individu, ni l’entreprise, ni l’Etat dont l’entreprise est hébergé ne sont pas notifiés lorsque les réquisitions sont mises en œuvre. De plus ces entreprises ne sont pas informées de comment seront utilisées leurs données ni du délai de conservation de ces dernières.

Cependant, en cas de conflit entre CLOUD Act et RGPD, le CLOUD Act prévoit la possibilité, pour les entreprises ou les prestataires de services cloud, de saisir directement l’autorité judiciaire américaine dans le cadre d’un recours « Comity analysis» lorsque les autorités américaines sollicitent un mandat qui va au-delà du champ d’application d’un accord ou qui est contraire au RGPD européen. On voit donc que le CLOUD Act étend le principe de confidentialité et de protection des données sans supprimer les garanties données aux personnes quant à leurs droits fondamentaux.

Le cloud n’est pas un outil d’espionnage

Le CLOUD Act ne donne pas la possibilité aux autorités américaines d’accéder à des données hébergées hors de leur territoire en vue de surveiller ses citoyens. L’enjeux c’est de résoudre des problèmes tels que les crimes économiques, trafic de drogues, la pédopornographie etc. Cependant les autorités américaines sont toujours tenues d’obtenir un mandat auprès d’un tribunal indépendant avant tout accès à un contenu de communication.

Ce texte constitue un pas en avant dans la modernisation des cadres juridiques qui régissent l’accès par les autorités aux informations numériques.

A propos de Ghislain ABBEY

M2, Commerce Electronique Université de Strasbourg

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.