Cloud Act : vos données sensibles en danger ?

À 73 %, la défense du pays contre le terrorisme. À 55 %, la réduction de la criminalité. Les chiffres du Pew Research Center, centre de recherche américain qui a réalisé une enquête pour hiérarchiser les principales priorités d’un président américain et du Congrès, parlent d'eux-mêmes.

La sécurité nationale est l’une des préoccupations majeures des Américains depuis de nombreuses années.

Ce sondage d'opinion a été réalisé à la veille du discours de Barack Obama sur l'état de l'union... le 28 janvier 2014.

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) a été proposé par l’administration Trump. Ceci, à un moment où Microsoft refusait l'accès, au nom de la protection de la vie privée de ses clients, au département de la justice américaine. Ce dernier recherchait des informations stockées, en Irlande, sur un compte Outlook lié à un trafic de drogue.

Le Cloud Act a été promulgué le 23 mars 2018. Il facilite et accélère les enquêtes judiciaires pour répondre pleinement à ces aspirations de protection.

La Cour Suprême a décidé de stopper les poursuites engagées contre Microsoft en 2018. Mais, suite à une procédure qui a duré près de 5 ans, les instances de justice nationale peuvent désormais accéder, avec un mandat, aux données personnelles de n'importe quel individu sur la planète. Ceci dès lors qu'elles sont stockées par un fournisseur de service américain.

Protection des consommateurs pour les géants du Web, texte liberticide pour des associations de protection de droits civiques : le Cloud Act ne laisse personne indifférent. 

Il interroge notamment sur l'activité des entreprises tenues de respecter un autre texte entré en vigueur en mai 2018 : le RGPD (Règlement sur la Protection des données) de l'Union Européenne.

Définition, enjeux et impact vis-à-vis du RGPD... Découvrez, dans cet article, les tenants et les aboutissants du Cloud Act.

Vers une modernisation des relations internationales ?

« Aujourd'hui est un jour important pour le droit à la vie privée dans le monde entier[...] Le CLOUD Act crée un cadre juridique moderne permettant aux agences d'exécution de la loi d'accéder aux données au-delà des frontières » 

Brad Smith, président de Microsoft, apporte une définition très claire de ce qu‘est le Cloud Act. 

Loi extraterritoriale fédérale issue du 4e amendement de la constitution américaine, le Cloud Act figure dans le code de procédure pénale américain.

Elle précise le cadre légal qui permet aux instances de justice américaines d’accéder à des données personnelles, à des informations numériques.

L’objectif est simple : rebattre les cartes du droit international et favoriser les échanges d’informations entre les nations pour faciliter le travail d’investigation et la résolution d’enquêtes criminelles et pénales (enquêtes notamment réalisées par le FBI, Federal Bureau of Investigations).

Mais avec une limite à observer : respecter la vie privée des individus, un des piliers fondamentaux des droits de l’Homme.

Comment fonctionne le Cloud Act ?

Munies d’un mandat, les autorités américaines peuvent donc solliciter les entreprises américaines et leurs filiales (notamment celles implantées hors du territoire) pour obtenir des données personnelles stockées sur leurs serveurs. Ceci indépendamment de leur localisation et en toute discrétion (pour préserver la confidentialité de l’enquête et ne pas éveiller les soupçons des éventuels suspects).

Les personnes concernées, leur pays de résidence, la nation où sont installés les serveurs… Nul n’est informé de la démarche en cours.

Le Cloud Act, un outil puissant à disposition des forces de police dans la lutte contre les infractions et les crimes (trafic de drogue, blanchiment d’argent…), ainsi qu’une protection contre le terrorisme.

Pourquoi le Cloud Act ?

Dans l’acronyme Cloud Act, la lettre “O” est sans aucun doute, la plus importante. “O” pour “Overseas”.

L’affaire qui a opposé Microsoft aux autorités américaines a révélé une carence dans les possibilités d’actions des instances judiciaires Outre-Atlantique.

Elles se sont heurtées à un principe de territorialité.

Impossible de récupérer des données stockées en Irlande, territoire régi par les droits irlandais et européen.

Le Cloud Act vise donc à s’affranchir des frontières.

Qui est concerné par le Cloud Act ?

Individus et entreprises, américains ou non.

Quelles sont les problématiques soulevées par le Cloud Act ?

Le Cloud Act est une loi très large, à la portée internationale.

La transmission des données d’individus ou d’entreprises sans le contrôle d’une autorité judiciaire apparaît comme une problématique majeure.

Comment évaluer la nécessité et le bien-fondé des réquisitions formulées par les instances judiciaires américaines ? Est-ce vraiment pour préserver l’ordre public ?

Le maintien de l’ordre public devient l’unique facteur qui justifie la demande d’accès.

La protection de la vie privée des individus, pilier fondamental des droits de l’Homme, est en jeu.

Les enjeux du Cloud Act : bien plus qu’une simple transmission d’informations

Le Cloud Act va bien au-delà de la simple transmission de données aux autorités américaines.

En fixant un nouveau cadre légal à portée mondiale, le gouvernement américain invite les autres états à la “table des négociations” pour dépoussiérer les accords bilatéraux existants. Ils veulent définir de nouvelles modalités d'accès aux données.

Des accords de coopération judiciaire et policière sont déjà en vigueur. On parle des MLAT (Mutual legal assistance treaty).

Problème : la lenteur des procédures administratives.

Pour accéder à des données étrangères, les instances judiciaires américaines devaient :

• obtenir une ratification des accords par le Sénat ;
• obtenir l’approbation du département de la Justice.

Le Cloud Act raccourcit considérablement ces procédures en permettant aux autorités américaines de contacter directement les entreprises nationales et les filiales dont elles ont le contrôle.

RGPD et Cloud Act : des directives opposées, un point commun

Deux lois extraterritoriales récentes, deux objectifs différents.

Le RGPD protège les ressortissants européens en gardant le contrôle sur leurs données personnelles partout dans le monde.

Le Cloud Act favorise l'accès à des données personnelles de n'importe quel individu et sans notification, dès lors qu'elles sont détenues par des fournisseurs de services américains.

Pour autant, doit-on en déduire que ces lois sont opposées ?

Pas nécessairement…

Le Cloud Act : des actions contraires à l’esprit du RGPD

Accéder à des données personnelles d’individus, d’entreprises, sans les en informer, sans en informer leur État. Aucune information claire sur l’utilisation des données collectées et la durée de détention. 

Bien évidemment, dans de telles conditions, les ressortissants européens ne peuvent exercer pleinement leurs droits : garder le contrôle de leurs données.

Un conflit juridique existe entre le Cloud Act et le RGPD.

Peter Swire, professeur de droit au Georgia Institute of Technology illustre parfaitement cette opposition avec un exemple très concret : « Supposons que le DoJ (Department of Justice) demande à Ford l'accès aux fichiers de ses employés français, stockés sur le sol américain. Le RGPD pourrait en théorie empêcher à la justice américaine d'avoir accès à ces fichiers, ce qui créerait un conflit juridique ».

Cloud Act et RGPD : une volonté d’ouverture commune

Nous l’avons vu précédemment. Le Cloud Act, c’est essentiellement une volonté de conclure des accords bilatéraux.

Une démarche identique pour le RGPD ce qui a permis de signer des accords organisant le transfert de données personnelles en toute sécurité et en dehors du continent.

Cloud Act : des garde-fous existent

Une certitude, avec une telle loi, la protection de vos données personnelles ou la confidentialité des données de votre entreprise sont au cœur de vos préoccupations. 

Pas de panique ! Ces informations sont protégées.

Le Cloud Act, ce n’est pas le “Far West” du numérique ! Des garde-fous existent contre d’éventuelles dérives.

En effet, l’accès aux données est conditionné par l’obtention d’un mandat délivré par un juge indépendant.

Ensuite, l’absence de contrôles judiciaires pour réquisitionner des données ne signifie pas l’absence de recours pendant toute la procédure.

En fait, une possibilité de contrôle judiciaire existe… mais a posteriori. La transparence est au cœur du Cloud Act.

Comment ?

En cas de demandes d’accès infondées ou conflictuelles avec d’autres lois nationales (violation des lois de l'état dont l'entreprise relève), les entreprises américaines disposent de 14 jours pour saisir l’autorité judiciaire et pour s’opposer aux demandes des autorités américaines.

Au final, même s’il ne faut pas occulter que cette loi est récente (2018), la proportion de mandats qui aboutit à accéder aux données des entreprises est faible.

Chez Microsoft, sur le premier semestre 2019, une seule transmission de données extraterritoriale (une entreprise cliente européenne) pour 126 mandats déposés.

Les demandes concernant les entreprises restent rares... pour l'instant.

Ne subissez pas ! Restez acteur malgré le Cloud Act !

Vous en savez désormais un peu plus sur le Cloud Act. Comme le RGPD, le Cloud Act est un texte législatif récent.

Peut-on réellement évaluer son impact aujourd’hui ?

Clairement, non.

Être patron d’une entreprise, c’est passer à l’action pour anticiper les événements. 

Si vous avez des partenariats avec des entreprises américaines, vous êtes inévitablement concerné.

Que faire ? 

• Vérifier vos accords et l’application stricte du RGPD chez vos partenaires. Vous aurez ainsi la possibilité d’exercer votre droit à un contrôle judiciaire ;
• Repenser votre organisation, vos procédures de traitement sur les données.

Effectivement, les autorités Outre-Atlantique ne peuvent “activer” le Cloud Act, que si et seulement si, l'hébergeur de données est américain.

En confiant vos données à des prestataires européens, vous échappez à tout contrôle. Une opportunité de renforcer la confiance avec toute personne en contact avec votre entreprise (clients, salariés, prestataires…).

La confiance, un sentiment favorable au développement de votre activité.

Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. Réserver une démo avec nos experts.