Vous utilisez une ancienne version de votre navigateur. Veuillez utiliser une version prise en charge pour bénéficier d’une meilleure expérience MSN.

Le Cloud de confiance européen serait en réalité toujours soumis aux lois américaines

logo de Clubic Clubic 01/09/2022 Alexandre Boero
Union Européenne © Shutterstock © Fournis par Clubic Union Européenne © Shutterstock
L'Union européenne parviendra-t-elle à se défaire définitivement de la spirale du Cloud Act américain ? (© Shutterstock)

C'est à la demande du ministère néerlandais de la Justice que l'un des plus grands cabinets américains a confirmé, dans une étude rendue publique durant l'été, que les entités de l'Union européenne restent toujours soumises au Cloud Act américain, cassant un peu la promesse faite par le gouvernement français.

À l'heure où les dirigeants européens, dont le gouvernement français, vantent le principe des futures offres de Cloud de confiance comme les propositions S3ns de Google et Thalès et Bleu de Microsoft, Orange et Capgemini, l'étude publiée par le cabinet d'avocats américain Greenberg Traurig LLP, réputé pour être l'un des plus connus au monde, fait évidemment tâche. Sa principale conclusion consiste à expliquer aux autorités néerlandaises, qui voulaient en avoir le coeur net, que les entités européennes, mêmes basées hors des États-Unis, continuent à être potentiellement soumises aux lois américaines, comme le Cloud Act.

Dans certaines circonstances et malgré le RGPD, des entités européennes restent soumises au Cloud Act américain

Rappelons avant tout ce qu'est le Cloud Act. Le Clarifying Lawfly Overseas Use of Data Act, en son nom original, est un texte fédéral américain en vigueur depuis le 23 mars 2018 dont nous avons déjà plusieurs fois parlé sur Clubic. Il est venu mettre à jour le cadre juridique des demandes judiciaires de données détenues par les fournisseurs de services de communication. En d'autres termes, certains fournisseurs de Cloud commercial (Google, Microsoft, Amazon et autres) se voient imposer le transfert des données à caractère personnel aux autorités publiques américaines, en opposition au RGPD européen. Mais l'étude va plus loin que les seules entreprises américaines.

À la question « veuillez indiquer si une entité de l'Union européenne est visée par le Cloud Act, même si l'entité n'est pas située aux États-Unis » posée par les autorités néerlandaises, le cabinet Greenberg Traurig répond par l'affirmative.

« Oui, dans certaines circonstances, une entité de l'UE, qu'elle soit un fournisseur de services de communication électronique ou de services informatiques à distance qui n'est pas située aux États-Unis, pourrait toujours être soumise au Cloud Act si l'entité de l'UE a suffisamment de contacts avec les USA pour que la compétence personnelle puisse être exercée sur l'entité de l'UE », explique le cabinet.

Pour savoir si une entité de l'UE qui n'est pas basée aux USA relève bien du Cloud Act, il faut d'abord étudier le type d'ordonnance émis, les faits et circonstances spécifiques. Les juristes rappellent que la justice américaine ne peut délivrer un mandat d'accès aux données que si elle démontre que les communications demandées établiront bien la preuve d'un crime. Et comme l'expliquait le cabinet Greenberg Traurig, il faut que l'entreprise ait une présence continue et systématique aux États-Unis.

Une entreprise européenne qui fournit des services aux États-Unis peut tomber sous le coup du Cloud Act

Donc contrairement à ce qu'affirment les gouvernements européens, dont celui de la France, il n'y a pas que les entreprises américaines présentes en Europe qui peuvent être soumises au Cloud Act. Dès lors qu'une entité de l'UE qui n'est pas située aux États-Unis offre des services ou des produits dans ce pays, oui, elle peut bien être soumise au texte américain. Les opérateurs d'importance vitale (OIV), dont la liste officielle n'est pas connue mais qui rassemble des organisations considérées comme indispensables à la survie de la nation ; mais également les opérateurs de services essentiels (le secteur de l'énergie en comporte quelques-uns par exemple) et les administrations, invités en raison de la sensibilité de leurs activités à souscrire aux offres de Cloud de confiance, encourent donc un risque, dès lors que la promesse de protection des données et de leur transfert n'est pas pleinement assurée.

Outre le Cloud Act, d'autres lois américaines peuvent avoir une impact sur les sociétés européennes et autoriser le gouvernement ou les tribunaux des États-Unis à chercher à accéder aux données stockées par une entité de l'Union européenne au sein même de la zone. Mais alors, dans ce cas-là, l'entité de l'UE aurait la possibilité, selon Greenberg Traurig, de déposer une requête en annulation ou en modification d'une ordonnance pour des motifs de compétence.

Une partie loin d'être gagnée

Parmi les autres questions posées au cabinet, on retient celle qui consiste à savoir si les États-Unis peuvent obtenir des données d'une entreprise de l'Union européenne sur laquelle ils n'ont pas de pouvoir juridique, en ordonnant à un ressortissant américain qui a accès à des données de l'étranger de les transmettre à son pays, le tout en vertu du Cloud Act.

« En théorie, la réponse est 'non', mais en pratique, c'est très probablement 'oui' », répond-il. Car un amendement rattaché au Cloud Act précise que les fournisseurs de service doivent divulguer les données, et ce quel que soit l'endroit où ils stockent les données. Pour obtenir ces données, il suffit à la justice américaine d'adresser à son ressortissant une citation à comparaître. Si celui-ci est mal conseillé et qu'il veut se protéger, il ne s'y opposera pas, même si en pratique, il peut le faire. « Dans le cas où le ressortissant américain ne s'est pas opposé à l'assignation à comparaître ou a échoué dans son objection, le ressortissant américain ne peut pas faire la distinction entre les informations enregistrées localement et les informations disponibles à distance ».

Le Cloud Act et tout ce qui se trouve autour constituent donc une vaste fourmilière faite de principes et d'exceptions qui ne font que renforcer le flou autour du Cloud de confiance. La tendance semble aujourd'hui être au « si les USA veulent une donnée, ils peuvent l'avoir », comme l'exemple criant de Microsoft, qui peut se prémunir du Cloud Act en chiffrant les données, mais qui utilisant des routeurs Cisco, pourrait finalement voir Cisco (ayant accès aux données des clients et personnes concernés de l'UE) et les autorités avoir accès aux données via ces routeurs. Il en faudra donc plus pour rassurer les uns et les autres.

Source : NCSC, La Tribune

Publicité
Publicité

Plus d'infos : Clubic

Publicité
image beaconimage beaconimage beacon