Le Cloud Act, un “permis d’espionner” anti-RGPD

Au printemps 2018, alors que l’ensemble des États européens s’apprêtaient à appliquer le Règlement Général pour la Protection des Données (RGPD), entré en vigueur le 25 mai dernier, les Etats-Unis adoptaient en toute discrétion le Cloud Act, un instrument juridique leur permettant de balayer d’un revers de main les nouvelles règles s’appliquant à la confidentialité des données personnelles en Europe.

Un texte porté par Trump, dans le sillage du Patriot Act

Le Cloud Act, (Clarifying Lawful Overseas Use of Data Act), a vu le jour sous l’impulsion de Donald Trump, afin d’autoriser les autorités américaines à utiliser des données étrangères. Cet instrument est de ce fait le digne héritier du Patriot Act, loi antiterroriste s’apparentant à un permis d’espionnage des entreprises étrangères. Les prémices du Cloud Act remontent à 2013, lorsque Microsoft est sommé par la justice américaine de lui fournir le contenu des messageries électroniques de clients basés en Irlande. Mais le géant américain, arguant que l’hébergement de données à l’étranger est soumis au droit national de l’État dans lequel il se situe (en l’occurrence le droit irlandais), s’y oppose. La Cour Suprême se saisit alors de la retentissante affaire, mais sa décision, attendue pour fin juin, ne verra jamais le jour puisqu’entre temps, le gouvernement Trump adopte le fameux Cloud Act, un texte d’une trentaine de pages annexées à celles du budget fédéral.

Les géants du Web ne peuvent plus garantir la confidentialité des données utilisateurs

Avec l’adoption du Cloud Act, les opérateurs numériques et les prestataires de service américains sont tenus dans l’obligation de divulguer les données personnelles de leurs utilisateurs, dès lors que les autorités américaines (police, justice et administration) le leur demandent. Cette divulgation se fait sans devoir en passer par les tribunaux et sans même que les utilisateurs concernés soient mis au courant. La particularité du Cloud Act résidant dans le fait que les informations personnelles doivent être transmises aux autorités américaines et ce même lorsqu’elles sont stockées en dehors du territoire national. En d’autres termes, les géants du Web tels que Microsoft, Google, Facebook et consorts ne sont plus en mesure de garantir à leurs utilisateurs la confidentialité de leurs données personnelles, même si ces dernières sont stockées en Europe. Le Cloud Act, ratifié le 23 mars 2018, vient donc heurter de plein fouet le RGPD, entré en vigueur dans les États européens près de deux mois plus tard.

Le RGPD et ses mesures protectrices contrés par le Cloud Act

Deux ans auparavant, le Règlement Général sur la Protection des Données avait été adopté par le Parlement européen, avec pour principal objectif la protection de la vie privée des quelque 500 millions d’internautes européens. Le nouveau cadre juridique, destiné à s’appliquer aux sociétés, administrations et associations des pays du monde entier collectant des informations personnelles d’internautes européens, a été pensé pour garantir la confidentialité de ces données en limitant les impacts des piratages et fuites d’informations personnelles. Ce texte, qui porte en lui l’espoir d’une nouvelle liberté d’innovation, a malheureusement été contré par l’adoption du Cloud Act aux États-Unis, venant remettre en cause ce principe fondamental de protection des données personnelles.

D’ailleurs, la ratification du Cloud Act n’a pas manqué de déclencher la colère des acteurs de la tech française, comme le PDG d’Ikoula, entreprise d’hébergement, le laissait entendre dans une longue tribune publiée dans Les Échos : “Tant que les entreprises françaises feront appel à des prestataires de Cloud computing d’origine américaine, elles seront confrontées au renforcement de l’ingérence de l’oncle Sam sur ces opérateurs…”, se désolait-il, tout comme Yves Garagnon, Directeur général de DiliTrust, qui conseille désormais aux entreprises de faire preuve de prudence dans le choix de leurs sous-traitants. “L’arrivée du Cloud Act qui, de l’avis de tous les experts, constitue une ingérence juridique jamais vue, est une menace pour le secret des affaires de toute entreprise tricolore contractant avec un prestataire américain”, soulignait-il dans les colonnes de L’Opinion.

Il est vrai qu’avec l’adoption du Cloud Act, que l’on peut considérer comme un arsenal juridique anti-RGPD, les États-Unis se sont offert un véritable permis officiel d’ingérence. Une situation à risque qui dépasse largement la seule question de la protection des données personnelles, puisqu’elle expose le monde entier à de potentiels espionnages industriels de la part des États-Unis, mais également à d’importants risques pour la propriété intellectuelle et surtout la sûreté nationale.

Quelles solutions pour s’affranchir du Cloud Act ?

Face à cette ingérence juridique jamais vue, les acteurs européens de la tech tentent de trouver des parades pour s’affranchir du Cloud Act, afin de garantir à leurs utilisateurs l’entière confidentialité de leurs données personnelles. La solution la plus simple à ce jour étant de se tourner avant tout vers les nombreuses sociétés européennes offrant des alternatives souveraines, c’est-à-dire des entreprises d’hébergement et de services implantées en France ou en Europe et qui respectent impérativement le droit français ou européen.

En avril dernier, dans une interview accordée aux Echos, le PDG d’Atos qui venait de signer un partenariat avec Google assurait vouloir collaborer avec le géant du Web tout en protégeant les données personnelles de ses entreprises. “Il est indispensable que les entreprises aient la capacité de stocker et traiter leurs données critiques là où elles le souhaitent. Et, en même temps, qu’elles puissent utiliser toutes les technologies développées par un groupe comme Google”, expliquait-il alors. Pour ce faire, l’ESN française agit en tant que tiers de confiance, en prenant en charge les données des clients et leur sécurité, lesquelles sont détenues en Europe et donc soumises à la réglementation européenne. Une solution qui permet d’offrir aux clients des entreprises d’Atos l’accès aux technologies de machine learning et d’IA développés par Google, tout en étant assurés de la confidentialité de leurs données personnelles. Un partenariat gagnant pour Atos comme Google, qui peut ainsi se démarquer de ses concurrents du cloud tels que Microsoft et AWS, dont les données sont jusqu’à présent soumises au Cloud Act.