Publié le 6 juillet 2020, mis à jour le 6 décembre 2023.
Qu’est-ce que le Cloud Act ?
Le 23 mars 2018, trente ans après le Stored Communications Act (SCA) qui définit les conditions dans lesquelles les communications électroniques peuvent être consultées et/ou saisies par les autorités réglementaires ou judiciaires américaines, le Congrès des États-Unis a adopté le Cloud Act (Clarifying Lawful Overseas Use of Data Act - loi clarifiant l’usage légal des données hébergées à l’étranger). Il établit un cadre juridique pour les demandes d’accès aux données stockées sur les serveurs des prestataires de services électroniques localisés aux États-Unis.
D’après l’article de village justice de Jean-Pierre Mistral, spécialiste du Global Data Privacy, le Cloud Act comporte trois apports majeurs :
- les injonctions des autorités américaines émises dans le cadre du Cloud Act peuvent désormais atteindre les données situées dans des pays étrangers ;
- les États-Unis et les autres États peuvent conclure des accords bilatéraux afin de présenter des injonctions basées sur le Cloud Act directement aux fournisseurs de services de chacun des pays ;
- les prestataires de services électroniques peuvent désormais suivre un processus formel pour contester les injonctions basées sur le Cloud Act.
Il s’agit donc d’une loi fédérale permettant au gouvernement américain de récupérer des données stockées sur des serveurs américains, y compris des données étrangères, sans que les utilisateurs en soient informés.
Quels sont les enjeux soulevés par le Cloud Act pour les entreprises et individus ?
Le Cloud Act s'applique à tous les prestataires de services de communication, traitement ou stockage électronique, de cloud computing ou de services informatiques à distance dont l'activité est régie par le droit américain, qu’ils soient établis aux États-Unis ou non. Cela signifie que toute entreprise étrangère possédant une filiale aux États-Unis est soumise au Cloud Act. Le Cloud Act s’applique ainsi indirectement à tous les acteurs économiques ayant choisi de confier leurs données à des prestataires américains.
Le Cloud Act a suscité des inquiétudes en Europe et dans le monde quant au respect de la vie privée et au sort des données personnelles confiées aux GAFAM (Google, Apple, Facebook, Amazon, Microsoft). Toutefois, les autorités américaines ne peuvent contraindre des prestataires à fournir des données qu'en vertu d'un mandat exprès délivré par une juridiction américaine. Le Cloud Act ne donne donc pas carte blanche aux autorités américaines pour accéder sans aucune condition ni aucun contrôle à la totalité des données confiées aux États-Unis.
Les législations française et européenne permettent-elles de faire obstacle aux demandes de communication de données des autorités américaines ?
En France comme en Europe, il existe des lois ou réglementations susceptibles de faire opposition aux réquisitions des autorités judiciaires ou réglementaires américaines relatives aux données conservées en Europe. Emmanuelle Mignon, associée au cabinet d’avocats August Debouzy, en distingue trois dans son article Faut-il avoir peur du Cloud Act :
- l’article 48 du RGPD, qui dispose que : « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre » ;
- la loi n°68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères.
Dite « loi de blocage française », en vertu de laquelle il est interdit de communiquer à des autorités étrangères des documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique « dont la communication est de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l'ordre public ».
Cette loi, très peu appliquée, est en passe d’être modifiée et renforcée ; - la directive européenne n° 2016/943 du 8 juin 2016 relative au secret des affaires, transposée en France en juillet 2018, selon laquelle « est protégée (...) toute information répondant aux critères suivants : 1° elle n'est pas (...) généralement connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité ; 2° elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ; 3° elle fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables (...) pour en conserver le caractère secret » (article L. 151-1 du code de commerce).
Il est également prévu que « le secret des affaires n'est pas opposable lorsque l'obtention, l'utilisation ou la divulgation du secret est requise ou autorisée par le droit de l'Union européenne, les traités ou accords internationaux en vigueur ou le droit national, notamment dans l'exercice des pouvoirs d'enquête, de contrôle, d'autorisation ou de sanction des autorités juridictionnelles ou administratives » (article L. 151-7 du code de commerce).
A contrario, la communication aux autorités américaines de données couvertes par le secret des affaires, en dehors de tout accord international, - c’est-à-dire sur le seul fondement d’une demande unilatérale formulée par l’administration américaine, (par exemple auprès d’un GAFAM)-, et en application du Cloud Act, est, en principe, interdite et expose le prestataire de services électroniques qui communiquerait de telles données à la mise en cause de sa responsabilité.
Ces éléments juridiques montrent qu’au delà des oppositions que les hébergeurs américains peuvent faire aux demandes de données des autorités américaines, les lois étrangères aux États-Unis continuent de protéger au maximum à la fois les entreprises et les individus sur la protection des données et la cybersécurité.
Le Cloud Act et les Cloud Providers, quel impact ?
Selon la politique de sécurité de votre entreprise, la question du choix du cloud est importante. Cette interrogation est encore accentuée dans le contexte du Cloud Act.
Si vous faites appel à un cloud provider américain, une relation de confiance doit exister entre votre entreprise et ce cloud provider, afin qu’à la réception de vos données, il les chiffre. Si vous décidez d’opter pour un de ces cloud providers, il existe un autre moyen de protéger vos données. Il s’agit alors de les chiffrer en amont de les mettre dans le cloud provider. Néanmoins, cette démarche ajoute une très grande complexité.
Certaines entreprises ont une politique de sécurité dont la conformité impose d’héberger leurs données dans leur pays. Si votre entreprise est française, par exemple, et que vous avez cette politique de sécurité, vous avez aujourd’hui trois options pour héberger vos données en France :
- Un cloud provider français comme OVH
- Un cloud privé
- Un cloud provider américain en prenant l’option d’hébergement en France
Notons que pour cette troisième option, il est conseillé de vous renseigner auprès du cloud provider choisi afin de garantir l’isolation européenne complète de vos données.
Vous cherchez à faire des choix stratégiques en termes de cybersécurité pour votre entreprise ? Nous venons de faire le tour de ce qu’est le Cloud Act et ses enjeux pour votre entreprise et les données de vos clients.