La protection des données dans le contexte du CLOUD Act : les hébergeurs européens comme alternative des géants américains
Le CLOUD Act (Clarifyng Lawful Overseas Use of Data Act) est une loi qui a été votée en mars 2018 aux Etats-Unis. Elle autorise la justice américaine à obliger les hébergeurs nationaux, y compris leurs filiales à l’étranger, à transmettre les données de leurs clients lorsque ces dernières font partie d’une enquête judiciaire. La loi ne prévoit aucune dérogation pour les données qui se situent hors des Etats-Unis : un détail qui soulève beaucoup de questions en Europe.
La France veut poser des limites claires au CLOUD Act
Le ministre de l’Economie, Bruno Lemaire, a profité de son discours d’inauguration d’un nouveau centre de données à Pantin pour parler de ses craintes vis-à-vis de la nouvelle loi.
Selon lui, le CLOUD Act représente une menace pour la souveraineté numérique de la France. La loi autoriserait les fournisseurs américains comme Amazon Web Services, Microsoft Azure ou Google Cloud à divulguer les données sensibles de leurs clients.
Voilà pourquoi il n’est pas étonnant que, lors de sa rencontre avec le directeur de la performance et de la transformation numérique chez SNCF, le ministre a posé plusieurs questions qui inquiètent : « Comment être sûr que vos données stockées chez Microsoft ne partiront pas aux Etats-Unis ? », « Quelles données stockez-vous dans le cloud ? », etc.
Le mois dernier, Bruno Lemaire a annoncé qu’il travaillait avec le Premier ministre sur un dispositif qui permettrait aux entreprises françaises d'être prévenues si la justice américaine essayait d’accéder à leurs données stratégiques stockées sur les serveurs de fournisseurs américains.
CLOUD Act vs RGPD
Avec la mise en vigueur du Règlement Géneral sur la protection des données, l'Europe essaie, au contraire, de protéger et de renforcer la confidentialité des données personnelles.
Le RGPD prévoit aussi des mesures relatives au transfert de données vers des pays tiers. Selon le règlement, les décisions des autorités exigeant le transfert de données à caractère personnel ne peuvent être mises en œuvre que si elles font partie d'un accord international, tel qu'un accord d'entraide judiciaire. Il existe donc un conflit potentiel entre le CLOUD Act et le RGPD.
Le CLOUD Act et la stratégie politico-économique américaine
Des inquiétudes légitimes sont soulevées à propos de la place du gouvernement américain dans les affaires des entreprises européennes. Frédéric Pierucci, ancien directeur commercial d’Alstom Power a témoigné, dans un entretien pour la chaîne YouTube Thinkerview, que selon lui, le Cloud Act fait partie d’une politique plus globale américaine qui a pour but de renforcer les places stratégiques occupées par les entreprises américaines.
« A partir du moment où une entreprise héberge dans le cloud ses données et que le service provider est une entreprise américaine, un procureur américain peut demander à ces service providers américains le transfert de toutes les données des entreprises ou des individus… peu importe où se trouvent ses serveurs. » a-t-il résumé.
En citant parmi leurs lois extraterritoriales celle contre la corruption (FCPA) ainsi que celle sur les embargos, Frédéric Pierucci a affirmé que, depuis 2010 les entreprises françaises ont payé 14 milliard de dollars au trésor américain pour enfreinte à ces lois.
Selon lui, le CLOUD Act est une nouvelle mesure qui facilite l’espionnage industriel.
En citant comme exemple l’affaire Huawei, l'ex-directeur d’Alstom Power a conclu que les Etats-Unis n’hésitent pas et qu’ils sont prêts à tout pour préserver leurs intérêts et pour conserver leur suprématie.
Les hébergeurs européens comme alternative des géants américains
Afin de garantir la protection et la confidentialité de vos données, il est préférable de choisir un hébergeur européen qui sera soumis à la législation locale. Ceci est encore plus important pour les organismes qui ont besoin de stocker des informations sensibles : par exemple des données bancaires ou de santé mais dans les faits, toutes les informations sont importantes ; donc, ne stockez rien en dehors de l’Europe car vos droits ne seront pas respectés tout simplement…
Si vous souhaitez transférer vos données vers un datacenter sécurisé situé en France ou en Suisse, n’hésitez pas à nous contacter.
Sources :