Vos activités de services et de ressources via internet sont-elles concernées par le « Cloud Act » américain ?
Vos activités de services et de ressources via internet sont-elles concernées par le « Cloud Act » américain ?

Vos activités de services et de ressources via internet sont-elles concernées par le « Cloud Act » américain ?

Hub4Health propose un focus sur le Cloud Act, la loi fédérale américaine qui permet à ses autorités de poursuite judiciaires de collecter partout dans le monde, des données hébergées par des fournisseurs de services de communication électroniques américains. Parce que nos habitudes de vie sont beaucoup plus connectées, nos données personnelles transitent sur des serveurs internationaux, qui peuvent être de « droit américain », ce qui est loin d’être anodin. Voici les explications de nos experts en cybersécurité .

Le Clarifying Lawful Overseas Use of Data Act ou Cloud Act est une loi fédérale américaine adoptée en 2018 et intégrée au projet de loi de finances des États-Unis pour l’année 2018. Cette loi octroie aux autorités de poursuite américaines le droit de collecter partout dans le monde, des données hébergées par des fournisseurs de services de communication électroniques américains (Microsoft, Oracle, IBM, Apple…).

Mais pourquoi cette loi ?

Le Cloud Act est une conséquence directe de l’affaire Microsoft v. United States : un mandat – fondé sur le Stored Communications Act de 1986 – exigeait que Microsoft communique aux autorités plusieurs informations associées au compte email d’un suspect de trafic de stupéfiants. Ce dernier fournit les informations stockées sur des serveurs localisés sur le territoire américain mais ne fournit pas les données stockées dans son Datacenter en Irlande. L’affaire fut portée devant la Cour Suprême. Le Congrès américain a ainsi adopté le Cloud Act afin de clarifier la portée du Stored Communications Act, avant que même que la Cour suprême ne se prononce.

Et que signifie le terme « Cloud » ?

Le « Cloud » ou « Cloud Computing » est un terme général employé pour désigner la livraison de ressources et de services à la demande par internet. Ainsi, il désigne le stockage et l’accès aux données par l’intermédiaire d’internet plutôt que via le disque dur d’un ordinateur. Il s’oppose ainsi à la notion de stockage local, consistant à entreposer des données ou à lancer des programmes depuis le disque dur. 

Que règlemente cette loi ?

Le Cloud Act donne la possibilité aux autorités américaines d’exiger des prestataires de services électroniques la divulgation de données. Cette requête doit porter sur un « serious crime », c’est-à-dire :

  • Toute infraction pénale classée comme crime selon les lois des États-Unis, de tout État ou de tout pays étranger où le crime a été commis ; ou,
  • Tout crime dont un élément nécessaire, tel que déterminé par la définition légale ou de common law d’un tel crime dans la juridiction où le crime a été commis, comprend l’ingérence dans l’administration de la justice, les fausses déclarations sous serment, les fausses déclarations, la fraude, l’omission volontaire de déposer déclarations de revenus, tromperie, pots-de-vin, extorsion, détournement, vol ou tentative ou complot ou sollicitation d’autrui pour commettre un crime grave.

(Source : https://definitions.uslegal.com/s/serious-crime/)

C’est pourquoi, les données dont la divulgation est demandée, peuvent être situées aux États-Unis, ou à l’étranger. Concrètement, la police, la justice et l’administration américaines pourront avoir accès à des données sans considération du lieu où se trouvent celles-ci, dès lors que la société qui les conserve est « de droit américain » (c’est-à-dire une société américaine, une filiale d’une société américaine, une société non américaine avec une filiale aux États-Unis, une société non américaine offrant depuis l’étranger des services électroniques ciblés vers le marché américain), sans en informer la personne concernée.

En effet, la section 2713 du titre 18 du code des États-Unis relative à la conservation et la divulgation requises des communications et des dossiers dispose qu’« un fournisseur de services de communication électroniques ou un service informatique à distance devra se conformer aux obligations du présent chapitre pour préserver, sauvegarder, ou divulguer le contenu d’un fil ou d’une communication électronique et tout enregistrement ou toute autre information appartenant à un client ou un abonné en possession, détention ou contrôle du fournisseur, peu importe si une telle communication, enregistrement, ou autre information est localisée au sein ou en dehors des États-Unis ».

Le Cloud Act prévoit deux dispositions légales :

  • Toute société « de droit américain » quelle que soit sa situation géographique, est tenue, sous certaines conditions, de communiquer les données placées sous son contrôle sur demande des autorités américaines.
  • Les gouvernements étrangers ont la possibilité de conclure des accords internationaux avec les États-Unis, autorisant les autorités respectives de chacun des pays parties à demander la communication de données directement aux fournisseurs de services de stockage électronique situés sur le sol du pays étranger.

Les prestataires de services peuvent toutefois s’opposer aux demandes de divulgation de données formulées par les autorités américaines, si cela implique de violer un droit étranger. Également, le Cloud Act donne la possibilité de contester dans un délai de 14 jours la demande de divulgation, si le prestataire de service considère que l’utilisateur concerné n’est pas une personne américaine et ne réside pas aux États-Unis.

L’objectif du Cloud Act est celui du rapprochement du temps de l’investigation criminelle de celui de la criminalité.

En comparaison au RGPD en Europe, le Cloud Act constitue-t-il un risque envers les droits fondamentaux ?

Cette loi a fait surgir énormément d’inquiétudes de la part des organismes de défense des droits fondamentaux. Mais aussi des entreprises ayant recours à des prestataires « de droit américain » pour héberger leurs données, qui s’inquiètent de leur perte de contrôle sur les données de leurs clients et sur la confidentialité de ces dernières.

Malgré un contrôle systématique par un juge, du bien-fondé de ces demandes de transmission de données, et la possibilité pour les sociétés « de droit américain » de mettre en œuvre des mécanismes juridiques permettant de s’opposer à ces demandes de transmission de données, dans le cas où le Cloud Act contreviendrait à la réglementation du pays dans lequel elles se trouvent, les risques et les inquiétudes persistent.

A qui s’applique le Cloud Act ?

Toutefois, le Cloud Act ne confère pas aux autorités américaines un droit d’accès absolu et illimité aux données des utilisateurs. Le Cloud Act ne s’applique qu’aux sociétés « de droit américain ». De plus, le texte prévoit que les autorités américaines ne peuvent requérir la communication de données de la part des prestataires de services informatiques « de droit américain » que lorsque :

  • La demande de communication peut être formulée lorsque les autorités américaines disposent d’un titre délivré par une juridiction : un mandat. Ce titre est délivré s’il existe une présomption sérieuse que la personne a commis ou est sur le point de commettre une infraction pénale et que les informations visées par le mandat sont utiles à l’enquête.
  • Les données peuvent également être transmises sur le fondement de « court orders », c’est-à-dire une proclamation officielle d’un juge, soit sur autorisation d’une juridiction. Pour l’obtenir, il doit être démontré que l’accès est nécessaire à l’évolution d’une procédure de nature pénale. Le fournisseur de « droit américain » peut contester cet ordre devant une juridiction de première instance ou d’appel.

Le Cloud Act prévoit également que le fournisseur de services de traitement électronique de « droit américain » ait la possibilité de s’opposer devant la juridiction américaine à la transmission de données, au motif que celle-ci le placerait dans une situation de conflit de lois.

Néanmoins, malgré ces dispositions, des risques subsistent. Notamment des enjeux d’ordre réputationnel pour les sociétés de « droit américain ».

Il y a un risque de perte de confiance des utilisateurs, mais à la fois un risque d’être rendu responsable d’éventuels actes criminels, si l’entreprise ne fournit pas de renseignements qui peuvent être utiles à la justice américaine.

Il y a également des enjeux financiers. En effet, le prestataire de « droit américain » devra mener une comparaison entre les risques financiers encourus en cas de non-respect du Cloud Act et en cas de violation des dispositions du RGPD.

Il y a un risque élevé, concernant la vie privée, la confidentialité et les secrets d’affaires, qui peuvent être dévoilés.

Quelles dispositions devez-vous prendre afin de limiter la portée d’application du Cloud Act ?

Afin de préserver la confidentialité des données et de limiter les risques, plusieurs solutions peuvent être mises en place :

  • Privilégier le stockage des données dans des datacenters de droit européen.
  • Si les sociétés sont contraintes, pour des raisons économiques ou techniques, de faire appel à des prestataires de « droit américain », une stratégie d’hébergement modulaire, par application peut être mise en place. Les prestataires « de droit américain » conserveront les données les moins « sensibles » et l’utilisateur pourra avoir recours au Cloud souverain ou européen pour les données confidentielles.
  • L’entreprise peut tenter d’exclure contractuellement l’application du Cloud Act, avec une clause stipulant que le RGPD constitue un cas permettant au prestataire d’opposer l’exception de violation de la législation d’un pays étranger prévue au Cloud Act.

RGPD versus CloudAct

Le Cloud Act tout comme le RGPD sont deux textes à application extraterritoriale, pouvant conduire à des points de conflits. Les deux législations ont vocation à s’appliquer au-delà des frontières européennes.

Ainsi, les dispositions du RGPD peuvent être invoquées devant les juges américains, afin de justifier une requête en modification ou en annulation de la demande des autorités américaines. Des données à caractère personnel peuvent être transférées vers un pays tiers si et seulement si :

  • Des garanties appropriées ont été prévues et que les personnes concernées disposent de droits opposables et des voies de droit effectives ;
  • L’autorité nationale de contrôle approuve des règles d’entreprise contraignantes ;
  • Le transfert est fondé sur un accord international, tel qu’un traité d’entraide judiciaire, conclu entre l’État tiers et l’UE ou un État membre ;
  • Une décision d’adéquation adoptée par la Commission qui constate que le pays tiers assure un niveau adéquat de protection ; à ce jour, aucune décision d’adéquation générale n’a été adoptée par la Commission européenne pour les transferts de données vers les autorités publiques américaines ;
  • Le transfert est nécessaire pour des « motifs importants d’intérêt public » défini comme étant celui « reconnu par le droit de l’Union ou le droit de l4etat membre auquel le responsable de traitement est soumis ».

Un transfert de données vers les États-Unis réalisé dans le cadre du Cloud Act pourrait donc ne pas être justifié sur le fondement de l’une de ces dispositions. Parce que le mécanisme du Cloud Act ne respecte pas les dispositions du RGPD, ces dernières pourraient être invoquées afin d’empêcher ces transferts…

En conclusion, une question se pose, est-ce que le RGPD ou d’autres législations sont-elles suffisantes pour justifier une modification ou une annulation de la demande de divulgation, lorsque des intérêts de sécurité intérieure ou de politique étrangère des États-Unis sont en jeu ? A suivre.

Cet article vous a intéressé ? Contactez nos experts pour vous accompagner dans votre politique de protections des données.

contact@hub4health.fr

Fermer le menu