CLOUD Act : quels dangers pour les clients européens ?
Dans un article publié par Le Mag IT, le vice-président de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), Patrick Blum, exprime ses inquiétudes vis-à-vis du CLOUD Act et la manière dont ce dernier est constamment minimisé par les GAFAM.
Le CLOUD Act ou la Loi de clarification sur l’utilisation extraterritoriale des données (Clarifying Lawful Overseas Use of Data) est une loi permettant les forces de l’ordre américaines d’accéder aux données stockées par les entreprises étatsuniennes lorsqu’elles sont nécessaires dans une enquête judiciaire. Cette loi s’applique même si les données en question sont stockées dans un datacenter situé en France ou n’importe quel autre pays du monde.
Selon Patrick Blum, dans le contexte de cloud dominé par les éditeurs américains (Microsoft, Amazon, Google, Salesforce, Oracle, etc.), le CLOUD Act est un vrai danger pour la souveraineté des données des entreprises européennes.
Le discours adopté par les GAFAM
Selon le discours officiel adopté par les GAFAM, le CLOUD Act ne serait qu’une « clarification » ayant pour but de renforcer le rôle du juge dans la demande d’accès aux données. Cet accès serait donc plus encadré et plus « motivé ».
Néanmoins, Patrick Blum n’est pas tout à fait d’accord : « […] Le fait que ce type de demande soit soumis à l’aval d’un juge ne change pas grand-chose puisque ni le détenteur des données (le responsable de traitement), et encore moins les personnes concernées, ne peuvent intervenir auprès de ce juge. Pire. Les opérateurs concernés – les fournisseurs de cloud – peuvent même avoir l’interdiction de communiquer sur l’injonction qui leur est faite. », rajoute-t-il.
FISA et E.O. 12333
Le CLOUD Act n’est pas la seule loi posant problème quant à la protection des données. Le Foreign Intelligence Surveillance Act (FISA) de 1978 et l’Executive Order (E.O.) 12333 de 1981 sont deux textes permettant aux services de renseignement américains de collecter et de traiter massivement des données, y compris relatives à des résidents européens.
C’est ces deux lois-là qui ont été citées par la Cour de justice de l’Union européenne (la CJUE) lorsque cette dernière a invalidé l’accord de libre circulation des données entre l’Europe et les Etats-Unis connu sous le nom de « Privacy Shield ».
>> LISEZ AUSSI: Washington et Bruxelles s’accordent sur le transfert de données outre-Atlantique
Cette invalidation du Privacy Shield, nous rappelle Patrick Blum, est lourde de conséquences. Elle impose de nouvelles obligations pour les entreprises exportatrices de données personnelles. Mais elle est aussi et avant tout la source de questionnements géopolitiques en matière de souveraineté.
« Comment l’Union européenne peut-elle assurer la protection des données personnelles de ses citoyens lorsqu’elles sont transférées/traitées par des sociétés américaines sous le joug du CLOUD Act ? », s’interroge M Blum.
Choisir un fournisseur européen indépendant
Le choix d’un fournisseur européen indépendant reste la seule alternative fiable qui vous garantit l’intégrité de vos données.
HOSTEUR vous offre des solutions cloud hautement sécurisées et certifiées ISO 27001 et HDS (hébergeur de données de santé). Toutes vos données sont stockées en Europe dans des datacenters Tier III et Tier IV, conformément au RGPD et toutes les législations européennes en vigueur.
Contactez nos représentants et prenez un rendez-vous pour découvrir nos solutions.
Sources : Le Mag IT