Le 1er Comparateur et Évaluateur de Logiciels en Europe

Cloud Act : Quelles conséquences pour les particuliers et les entreprises ?

Pygargue USA

Ratifié le 23 mars 2018, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une mesure phare de l’ère Trump. Il donne, sous ordre des autorités, obligation aux prestataires et opérateurs américains de fournir les données de leurs utilisateurs (données personnelles, mails, factures etc.), même si lesdites données sont situées hors du territoire américain.

Le RGPD se retrouve balayé !

C’est une conséquence directe du Cloud Act, le RGPD (Règlement Général sur la Protection des Données) est inutile à partir du moment où les données sont détenues par des entreprises américaines…  L’Europe avait pourtant deux ans auparavant fait son possible pour protéger les données des européens, hélas cela se révèle vain pour leur quasi intégralité.

Si les données des particuliers ne sont plus protégées, celles des entreprises ne le sont pas forcément non plus. Les données commerciales ou financières échangées peuvent aussi être concernées par le Cloud Act, du jamais vu ! Les Etats-Unis se sont offert un vrai permis officiel d’ingérence !

Un rapport inquiétant :

Le 26 juin dernier, le député Raphaël Gauvain rendait un rapport visant à rétablir la souveraineté numérique de la France et contenant une synthèse sur les actions judiciaires américaines engageant des entreprises du reste du monde sur les 20 dernières années.

 « Il s’agit de plusieurs dizaines de milliards de dollars d’amendes qui ont été réclamées aux entreprises, […] au motif que leurs pratiques commerciales, leurs clients ou certains de leurs paiements ne respectaient pas le droit américain, alors même qu’aucune de ces pratiques n’avaient de lien direct avec le territoire des Etats-Unis et/ou que ces entreprises se conformaient au droit de leur pays (s’agissant de sanctions internationales). »

Le rapport cible donc 5 problématiques :

  • Ces enquêtes, poursuites ou condamnations sont contestables
  • Les sanctions prononcées sont disproportionnées et menacent la pérennité des sociétés étrangères visées
  • Les enquêtes sont conduites sous le contrôle de procureurs américains
  • Les conventions d’entraide judiciaire et les règles de la coopération administrative sont systématiquement contournées
  • Surtout, les poursuites engagées semblent être motivées économiquement et les cibles choisies à dessein.

Toujours selon le rapport, dans la majorité des cas les entreprises visées sont européennes ou asiatiques, et en concurrence directe avec des entreprises américaines.

Avec une loi comme le Cloud Act, l’Europe peut donc facilement craindre une intensification des actions menées ainsi qu’une ingérence totale sur les données de ses entreprises.

Datacenters en France

globalsecuritymag.fr

Comment protéger les particuliers et les entreprises dans l’immédiat ?

Autant annoncer la couleur directement, c’est compliqué. Le cloud mondial étant clairement dominé par les Etats-Unis, il est compliqué d’échapper aux yeux de la première puissance économique.

Pour tout un chacun, il faudrait ne plus posséder aucun compte dans aucune entreprise  américaine, les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) entre autre mais pas uniquement. Cela élimine déjà la possession d’un smartphone puisque les 3 systèmes d’exploitation mobiles sont américains (IOs, Android et Windows Phone). La grosse majorité des réseaux sociaux sont également éliminatoires ainsi qu’une bonne part des services mails. Et quand bien même vous ne possédez aucun de ces comptes ni même d’abonnement internet ;  il faut s’assurer que les entreprises, les banques etc. à qui vous avez communiqué des informations  n’hébergent pas leur données dans des datacenters américains. La probabilité de n’avoir aucune donnée qui puisse être vue par le gouvernement américain est donc quasi nulle.

Pour les entreprises, la difficulté est sensiblement la même que pour les particuliers. A cela s’ajoute les éventuels contrats avec les entreprises américaines et la question des données. Elles doivent s’assurer  qu’elles ne soient pas externalisées en datacenter américain. Le marché du stockage de données étant détenu à 65% par Amazon, 15% par Microsoft et 5% par Google ; il ne reste que 15% des datacenters mondiaux à ne pas être concernés par le Cloud Act. Peu à peu ce pourcentage augmente, mais le chemin est encore long !

Cloud Act et souveraineté numérique : un dilemme stratégique

Depuis l’adoption du Cloud Act par les États-Unis, la question de la souveraineté numérique est devenue un sujet brûlant pour les entreprises européennes. Cette loi fédérale permet aux autorités américaines d’accéder aux données hébergées par des entreprises américaines, même si ces données sont stockées hors du territoire national. Cela concerne aussi bien les données personnelles que les informations commerciales sensibles. Pour les dirigeants, DSI et responsables de la conformité, ce cadre législatif soulève un dilemme majeur : comment assurer la protection des données tout en bénéficiant des performances des services cloud ? Aujourd’hui, une majorité des services de stockage en ligne sont détenus par les GAFAM, ce qui complexifie la situation. Les logiciels professionnels eux-mêmes, souvent en SaaS, peuvent être hébergés sur des infrastructures soumises au Cloud Act. Le comparateur Celge permet d’identifier des solutions logicielles hébergées en France ou en Europe, en tenant compte de leur politique de gestion des données. Cette vigilance est devenue essentielle dans le cadre du RGPD et des obligations légales des entreprises. La souveraineté numérique n’est plus une option, elle s’impose comme un facteur stratégique à intégrer dans tout projet digital.

Cloud Act et RGPD : deux logiques incompatibles ?

Le Cloud Act et le RGPD semblent poursuivre des objectifs opposés. D’un côté, le RGPD protège les citoyens européens en imposant des obligations strictes de transparence, de consentement et de localisation des données. De l’autre, le Cloud Act autorise les autorités américaines à récupérer les données dès lors qu’elles sont détenues par une entreprise soumise à la juridiction des États-Unis. Cette opposition crée un véritable flou juridique pour les entreprises, en particulier celles qui utilisent des services de cloud computing américains. En cas de litige, quelle loi prime ? La réponse dépend souvent du lieu d’hébergement des données, du prestataire choisi et de la nature des données collectées. Les entreprises françaises ont donc tout intérêt à s’orienter vers des logiciels hébergés en Europe, voire en France, pour garantir la conformité RGPD et réduire les risques d’accès non autorisé. Grâce à Celge, il est possible de comparer rapidement des solutions logicielles RGPD-compatibles et de recevoir trois recommandations alignées avec vos enjeux de confidentialité. Le choix d’un logiciel ne repose plus uniquement sur ses fonctionnalités, mais aussi sur sa politique de stockage et de traitement des données.


Quelles solutions dans l’avenir ?

Pour les particuliers il faudrait déjà pouvoir proposer une alternative européenne aux GAFAM. Hélas ce n’est de loin pas une réalité pour l’heure. Longtemps imaginé,  un développement d’un Facebook ou un Google à la sauce européenne demande du temps et il faut pouvoir ensuite convaincre les potentiels utilisateurs.

Pour les informations commerciales ou financières, en France il est prévu de mettre à jour un texte de loi de 1968 relatif à la communication des documents. Dans le domaine du droit numérique, l’Europe est très en retard il y a donc beaucoup de mises à jour légales possibles. Le rapport Gauvain peut également servir puisqu’il contient différents axes d’évolutions juridiques pour la France comme pour l’Europe.

Enfin, reste le futur règlement « E-Evidence », en court de rédaction actuellement. Il est justement consécutif au Cloud Act et visera à poser un cadre juridique concernant l’accès ou non par les autorités judiciaires aux données des serveurs d’entreprises européennes ou situés en Europe.

Vers des alternatives européennes aux géants du cloud

Face à la domination des géants américains du cloud et aux risques liés au Cloud Act, les initiatives européennes se multiplient pour reprendre le contrôle de l’hébergement et du traitement des données. Le projet Gaia-X, soutenu par la France et l’Allemagne, vise à créer un écosystème cloud transparent, sécurisé et conforme au RGPD. Parallèlement, de nombreux éditeurs de logiciels français proposent des solutions SaaS hébergées dans des datacenters souverains, souvent certifiés ISO ou HDS. Ces alternatives permettent aux entreprises de choisir des outils digitaux performants sans compromettre leur conformité. Le comparateur Celge recense ces solutions locales et offre un moyen rapide d’obtenir trois devis de logiciels cloud souverains adaptés à vos besoins métiers. Cette évolution vers des infrastructures européennes est essentielle pour renforcer la résilience numérique des entreprises et limiter les risques d’ingérence étrangère. Elle participe aussi à une dynamique plus large de réindustrialisation numérique, en soutenant les acteurs technologiques du territoire. Choisir un logiciel européen, c’est donc aussi faire un choix politique et stratégique pour l’avenir de son entreprise.

Najib expert chez CELGE
experte chez CELGE
Vous cherchez un logiciel ?
Nos experts sont là pour vous aider !

Simplifiez votre recherche de logiciel, en vous offrant une recommandation sur mesure et 100% gratuite avec rapidité et précision.

barres
Ces articles vont vous intéresser
Le blog de Celge

Grâce à ces ressources, réinventez la gestion de votre entreprise en choisissant le bon logiciel !

barres
Découvrez notre sélection d’éditeurs de logiciel
Vous êtes en bas de la page,
arrêtez de scroller. Vous faites quoi ?
hibou question