Cloud Act et RGPD : quelles implications pour la protection des données des entreprises européennes ?

Face à l’évolution fulgurante du paysage numérique actuel et à l’émergence du cloud computing, la question de la confidentialité et de la sécurité des données est plus que jamais centrale. Grâce à cette technologie, les données sont maintenant stockées et traitées dans le cloud, c’est-à-dire dans des serveurs répartis dans le monde entier et accessibles par Internet. Cela pose de nouveaux défis pour les individus, les entreprises et les gouvernements. 

Dans ce contexte, le Cloud Act est apparu comme une législation majeure qui a bouleversé le paysage juridique international en matière de stockage et de transfert de données. Adopté aux États-Unis en 2018, cette loi à portée extraterritoriale soulève de nombreuses questions et débats sur la protection des données, la souveraineté des Etats et la coopération internationale. 

Dans un monde de plus en plus interconnecté, il est donc essentiel que les utilisateurs de services cloud comprennent les enjeux du Cloud Act, et soient en mesure d’en évaluer les implications et d’explorer les alternatives possibles. Ainsi, quel est l’impact de cette loi sur les entreprises européennes ? Et quelles sont les bonnes pratiques à connaître pour garantir la protection des données tout en respectant les droits et les intérêts de chacun ? 

Qu’est-ce que le Cloud Act ?  

Définition 

Née à l’origine d’un contentieux entre Microsoft et le gouvernement des Etats-Unis, le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine adoptée en 2018. Cette loi vise à réglementer l’accès aux données hébergées dans le Cloud par les fournisseurs de services basés aux États-Unis ou de nationalité américaine, même lorsque ces données sont hébergées en dehors des frontières américaines. Comme de nombreuses lois américaines à portée extraterritoriale, cette législation prévaut ainsi de fait sur la législation du pays dans lequel est implantée l’entité et offre théoriquement au gouvernement américain une arme très puissante. 

Le Cloud Act a ainsi suscité de vives préoccupations en matière de protection de la vie privée et de souveraineté des données, car il permet aux autorités américaines d’accéder aux données d’individus et d’entreprises (et de leurs clients) situées en dehors des États-Unis à condition que l’entité qui héberge ces données ait un lien avec les Etats-Unis. Et ce sans avoir à les en informer, et sans passer par les procédures judiciaires locales ou par une demande d’entraide judiciaire internationale. Cela a également soulevé des questions sur les conflits de lois entre les États-Unis et d’autres pays, avec le RGPD en Europe notamment, et cela à plusieurs titres.  

Conflits avec le RGPD 

En effet, le RGPD (Règlement général sur la protection des données) de l’Union Européenne accorde une protection forte aux données à caractère personnel des individus, en imposant des obligations strictes aux entreprises amenées à traiter ce type de données. Le Cloud Act, en revanche peut permettre aux autorités américaines d’accéder à ces données sans nécessairement respecter les mêmes normes de protection des données.  

On constate également des difficultés en ce qui concerne la compréhension du transfert transfrontalier de données, et le consentement et contrôle des individus sur leurs données personnelles. Des difficultés qui ne sont pas près de se dissiper, quand on constate la lenteur de la riposte européenne. Depuis 2018, le Conseil européen travaille sur son projet de directive et de règlement e-Evidence, le “Cloud Act européen”, visant à améliorer la coopération judiciaire avec les GAFAM et à harmoniser les injonctions européennes de production et de conservation de preuves électroniques en matière pénale. Ce contexte d’interminables négociations avec les autorités américaines profite au Cloud Act. 

En l’absence de législation européenne unique, les mises en garde locales tombent, mais restent sans effet : en France, des entreprises bien connues de tous, comme Microsoft, Google, Facebook, Dropbox, etc. ont ainsi été épinglées par la CNIL (Commission nationale de l’informatique et des libertés), du fait d’un « risque d’accès illégal aux données ». 

Planifier une démo

Quel est l’impact du Cloud Act sur les entreprises de l’Union Européenne ?  

Avec le Cloud Act, les autorités américaines peuvent désormais demander aux fournisseurs de services américains ou présentant un lien suffisant avec les Etats-Unis de divulguer les données qu’ils hébergent, même stockées à l’étranger, à condition que ces données soient associées à un individu ou à une entité relevant de la juridiction américaine.  

Cela soulève des préoccupations en matière de confidentialité et de protection des données pour les entreprises européennes qui utilisent des services cloud gérés par des fournisseurs américains. 

Pour être sollicitée, une entité européenne peut ainsi être soumise au Cloud Act si trois critères sont remplis

  • Les fournisseurs de services doivent avoir “la possession, le contrôle ou la responsabilité” des données recherchées ; 
  • Il doit exister une probabilité pour que les données demandées contiennent des éléments de preuve de délits/crimes ayant un lien avec Etats-Unis, basés sur des faits “raisonnables et crédibles” ; et 
  • Une juridiction américaine doit avoir la compétence pour agir. 

Le critère de « compétence pour agir » est rempli si l’entité européenne satisfait le test de « contact minimum » avec les Etats-Unis. Pour le savoir, la juridiction américaine s’appuie sur un faisceau d’indices tels que : 

  • La vente de produits ou services à des personnes ou entreprises situées aux Etats-Unis ; 
  • La mise sur le marché américain des produits ou services ou faire de la publicité aux Etats-Unis ; 
  • Les relations professionnelles avec des fournisseurs américains ; 
  • Pour des services en ligne, avoir un site accessible aux Etats-Unis (notamment un site en anglais) ; 
  • L’utilisation de serveurs situés aux Etats-Unis. 

Il ne s’agit pas de critères mais bien d’un faisceau d’indices : la juridiction s’appuie sur les faits pour décider si les liens avec les Etats-Unis sont suffisants. 

De fait, de nombreuses entreprises sont ainsi soumises au Cloud Act, tant les liens avec les Etats-Unis sont désormais omniprésents. Il est aujourd’hui très difficile pour les entreprises et les éditeurs de logiciels européens d’échapper à l’extraterritorialité du droit américain, à cause de l’omniprésence des GAFAM dans notre quotidien personnel et professionnel. 

Comment les entités européennes peuvent-elles se protéger du Cloud Act ? 

Les entreprises européennes peuvent prendre des mesures pour se conformer à la fois au Cloud Act et au RGPD. Par exemple, elles peuvent choisir des fournisseurs de services cloud basés en Europe ou dans des pays offrant un niveau de protection adéquat. Pour ne pas tomber sous le coup du Cloud Act, celles-ci ne doivent entretenir aucune relation professionnelle avec des entreprises présentes aux États-Unis. 

Les entités européennes peuvent aussi avoir recours au chiffrement des données pour renforcer la sécurité, et mettre en place des clauses contractuelles spécifiques pour se protéger du Cloud Act. 

Planifier une démo

Le chiffrement des données, dernier rempart contre l’extraterritorialité du Cloud Act ?  

Le chiffrement des données est ainsi actuellement la barrière la plus efficace contre les effets de bord du Cloud Act. Cette protection technique permet ainsi de rendre les données accessibles aux autorités américaines mais non lisibles, et donc de protéger les intérêts des entreprises européennes. Les entreprises peuvent chiffrer les données sensibles avant de les stocker dans le cloud. De cette manière, même si les autorités américaines accèdent aux données, elles ne pourront pas les lire sans la clé de déchiffrement. Cela offre une couche supplémentaire de protection en cas de demande d’accès aux données par le gouvernement américain. 

Enfin, les entreprises peuvent mettre en place des mesures de sécurité robustes pour protéger les clés de chiffrement, afin de prévenir les attaques visant à compromettre les clés. 

Une solution comme la plateforme de gestion de projets juridiques Closd permet aux professionnels du droit et du deal-making, souvent amenés à traiter des deals internationaux sensibles, de garantir la protection la plus haute de leurs données.  

En appliquant les plus hauts standards de protection des données (hébergement en France, chiffrement des données à l’aide du puissant algorithme AES- 256, utilisé par les banques et les gouvernements, protocole TLS pour chiffrer la connexion entre les clients et la plateforme), Closd fait aussi régulièrement réaliser des audits de sécurité́ et des tests de pénétration par des prestataires certifiés. 

Pour en savoir plus sur le traitement de données par Closd, téléchargez notre fiche pratique, ou planifiez une démo gratuite avec notre équipe !  

Envie de digitaliser
la gestion de vos opérations ?