SommaireRatifié le 23 mars 2018, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une mesure phare de l’ère Trump. Il donne, sous ordre des autorités, obligation aux prestataires et opérateurs américains de fournir les données de leurs utilisateurs (données personnelles, mails, factures etc.), même si lesdites données sont situées hors du territoire américain.
Le RGPD se retrouve balayé !
C’est une conséquence directe du Cloud Act, le RGPD (Règlement Général sur la Protection des Données) est inutile à partir du moment où les données sont détenues par des entreprises américaines… L’Europe avait pourtant deux ans auparavant fait son possible pour protéger les données des européens, hélas cela se révèle vain pour leur quasi intégralité.
Si les données des particuliers ne sont plus protégées, celles des entreprises ne le sont pas forcément non plus. Les données commerciales ou financières échangées peuvent aussi être concernées par le Cloud Act, du jamais vu ! Les Etats-Unis se sont offert un vrai permis officiel d’ingérence !
Un rapport inquiétant :
Le 26 juin dernier, le député Raphaël Gauvain rendait un rapport visant à rétablir la souveraineté numérique de la France et contenant une synthèse sur les actions judiciaires américaines engageant des entreprises du reste du monde sur les 20 dernières années.
« Il s’agit de plusieurs dizaines de milliards de dollars d’amendes qui ont été réclamées aux entreprises, […] au motif que leurs pratiques commerciales, leurs clients ou certains de leurs paiements ne respectaient pas le droit américain, alors même qu’aucune de ces pratiques n’avaient de lien direct avec le territoire des Etats-Unis et/ou que ces entreprises se conformaient au droit de leur pays (s’agissant de sanctions internationales). »
Le rapport cible donc 5 problématiques :
- Ces enquêtes, poursuites ou condamnations sont contestables
- Les sanctions prononcées sont disproportionnées et menacent la pérennité des sociétés étrangères visées
- Les enquêtes sont conduites sous le contrôle de procureurs américains
- Les conventions d’entraide judiciaire et les règles de la coopération administrative sont systématiquement contournées
- Surtout, les poursuites engagées semblent être motivées économiquement et les cibles choisies à dessein.
Toujours selon le rapport, dans la majorité des cas les entreprises visées sont européennes ou asiatiques, et en concurrence directe avec des entreprises américaines.
Avec une loi comme le Cloud Act, l’Europe peut donc facilement craindre une intensification des actions menées ainsi qu’une ingérence totale sur les données de ses entreprises.
globalsecuritymag.fr
Comment protéger les particuliers et les entreprises dans l’immédiat ?
Autant annoncer la couleur directement, c’est compliqué. Le cloud mondial étant clairement dominé par les Etats-Unis, il est compliqué d’échapper aux yeux de la première puissance économique.
Pour tout un chacun, il faudrait ne plus posséder aucun compte dans aucune entreprise américaine, les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) entre autre mais pas uniquement. Cela élimine déjà la possession d’un smartphone puisque les 3 systèmes d’exploitation mobiles sont américains (IOs, Android et Windows Phone). La grosse majorité des réseaux sociaux sont également éliminatoires ainsi qu’une bonne part des services mails. Et quand bien même vous ne possédez aucun de ces comptes ni même d’abonnement internet ; il faut s’assurer que les entreprises, les banques etc. à qui vous avez communiqué des informations n’hébergent pas leur données dans des datacenters américains. La probabilité de n’avoir aucune donnée qui puisse être vue par le gouvernement américain est donc quasi nulle.
Pour les entreprises, la difficulté est sensiblement la même que pour les particuliers. A cela s’ajoute les éventuels contrats avec les entreprises américaines et la question des données. Elles doivent s’assurer qu’elles ne soient pas externalisées en datacenter américain. Le marché du stockage de données étant détenu à 65% par Amazon, 15% par Microsoft et 5% par Google ; il ne reste que 15% des datacenters mondiaux à ne pas être concernés par le Cloud Act. Peu à peu ce pourcentage augmente, mais le chemin est encore long !
Quelles solutions dans l’avenir ?
Pour les particuliers il faudrait déjà pouvoir proposer une alternative européenne aux GAFAM. Hélas ce n’est de loin pas une réalité pour l’heure. Longtemps imaginé, un développement d’un Facebook ou un Google à la sauce européenne demande du temps et il faut pouvoir ensuite convaincre les potentiels utilisateurs.
Pour les informations commerciales ou financières, en France il est prévu de mettre à jour un texte de loi de 1968 relatif à la communication des documents. Dans le domaine du droit numérique, l’Europe est très en retard il y a donc beaucoup de mises à jour légales possibles. Le rapport Gauvain peut également servir puisqu’il contient différents axes d’évolutions juridiques pour la France comme pour l’Europe.
Enfin, reste le futur règlement « E-Evidence », en court de rédaction actuellement. Il est justement consécutif au Cloud Act et visera à poser un cadre juridique concernant l’accès ou non par les autorités judiciaires aux données des serveurs d’entreprises européennes ou situés en Europe.
