cloud-act-vs.-rgpd.jpg
Gestion d'entreprise

Cloud Act vs. RGPD : la Protection des Données est Lancée

3 minutes de lecture · Listen

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi votée et promulguée par les Etats-Unis le 23 mars 2018. Le principe de cette loi ? Faciliter la récolte, par le gouvernement de Washington, des données (personnelles, entre autres) hébergées par les fournisseurs de services cloud américains. 

Et le RGPD dans tout ça, me direz-vous ? Eh bien, vous auriez entièrement raison, c’est bien là que le bât blesse.

Qu’est-ce que le Cloud Act ?

En réaction aux attentats du 11 septembre, Washington avait déjà voté le Patriot Act. Cette loi, à l’origine anti-terroriste, oblige les fournisseurs de services sous bannière étoilée comme Amazon, Facebook, Salesforce, Microsoft à mettre à disposition du gouvernement et de ses agences les données sur les individus. La suite des événements nous a montré les dérives sécuritaires et d’espionnage de cette loi. 

En effet, la pratique massive d’écoutes téléphoniques, la lecture régulière de messages personnels se sont développées sous couvert du Patriot Act. Seule manière de contourner cette loi pour les fournisseurs, héberger les données en dehors des 50 états américains. 

Avec le CLOUD Act, le flou juridique laissé par cette question de l’extraterritorialité est levé. Depuis le 23 mars, toutes les données, je dis bien TOUTES les données hébergées par un fournisseur américain peuvent être réquisitionnées, peu importe où ces données sont hébergées. Pire encore… une entreprise française avec une représentation au pays de l’Oncle Sam serait également tenue de fournir ses données, même sur ses activités françaises.

Et la protection des données dans ce contexte ?

Alors que l’Union Européenne se réveille après l’entrée en vigueur du RGPD (avec une impression de gueule de bois, il faut bien l’avouer, suite à tous ces mails reçus entre le 23 et le 24 mai minuit), voici donc ce CLOUD Act ! Que faut-il en penser ? Et surtout que peut-on faire ? 

Existe-t-il une hiérarchie entre les lois ? Le RGPD est-il plus puissant que le CLOUD Act ? Sur ce point, les experts se chamaillent. David Chassan, COO chez Outscale, nous dit «Le Cloud Act fait clairement peser une menace et un risque sur nos données, notre propriété intellectuelle et notre sécurité. 

Peu importe où se trouve le datacenter. Toutes les données d’un cloud provider américain sont disponibles pour l’Etat fédéral américain. » Certains différencient bien la vision théorique qui impliquerait la nécessité de récolter l’accord d’un juge européen avant d’avoir accès aux données, de la vision pratique qui consisterait à dire que tout cela dépendra du contexte géopolitique et de l’urgence de la demande.

Que faire pour contrer le CLOUD Act ?

Il y a un point sur lequel les experts s’accordent en revanche. Le stockage des données, à caractère personnel ou pas, est un maillon essentiel de la chaine de confiance dont nous avons beaucoup entendu parler aux environs du 25 mai dernier (Voir notre chiffre Waouh sur le sujet). Pour continuer dans ce climat de confiance, ce stockage ne peut être confié à des acteurs qui dépendent de législations contraires au RGPD, acteurs américains en l’occurrence. 

Même si ceux-ci montrent une vraie bonne volonté en affichant des investissements colossaux pour la construction de datacenters sur le vieux continent. Ces datacenters resteront encore et toujours soumis au CLOUD Act. C’est dommage, c’était bien essayé ! Après rassurez-vous, il y a des acteurs européens tout à fait concurrentiels vers lesquels vous pouvez vous tourner. 

Dans le secteur du CRM notamment… #EuropeanCRMChampion