Le Cloud Act, Clarifying Lawful Overseas Use of Data Act, est une loi qui a été votée et promulguée le 23 mars 2018 par les Etats-Unis.
Le Cloud Act a pour but de faciliter la collecte des données personnelles, hébergées par des fournisseurs de services cloud.
Le Cloud Act semble aller à l'encontre de certains principes essentiels du RGPD.
Qu'est-ce que le Cloud Act ?
Le Cloud Act est une loi obligeant les fournisseurs de services (Amazon, Facebook, Salesforce, Microsoft, IBM, Twitter, Google, Appel) à coopérer avec le gouvernement en fournissant les données personnelles de leurs utilisateurs.
Désormais, toutes les données hébergées par un fournisseur américain peuvent être transmises aux autorités de police, les agences gouvernementales et toute l'administration américaine.
Ainsi, une entreprise française domiciliée aux Etats-Unis peut également être concernée par cette nouvelle mesure, alors même que ses activités seraient françaises.
Pour certaines entreprises américaines multinationales (Appel, Google, Oath, Facebook et Microsoft) le Cloud Act assurerait une meilleure protection des consommateurs et faciliterait la résolution des conflits de droit.
Est-ce que les données personnelles sont protégées ?
On peut se poser de nombreuses questions quant à la portée de cette nouvelle loi, d'autant plus que l'Union européenne vient de renforcer l'encadrement juridique des données à caractère personnel via le RGPD.
Tout laisse à penser que le Cloud Act fait peser une menace et un risque sur la protection et la sécurisation des données.
Le Cloud Act permet à l'exécutif de passer des accords bilatéraux avec d'autres gouvernements afin d'échanger les informations stockées sur les serveurs des entreprises américaines sans recourir à un juge pour valider les transferts.
Parallèlement, les administrations étrangères qui ont signé l'accord Cloud Act peuvent également avoir accès aux données des citoyens américains.
À noter que les saisies de données personnelles ne sont autorisées que dans le cadre d'une enquête criminelle et ne doivent servir qu'aux fins de l'enquête.
Peut-on s'opposer à cette nouvelle mesure ?
De nombreuses associations de défenses des libertés numériques et des ONG contestent cette nouvelle mesure et souhaitent s'opposer aux demandes de divulgation.
En principe, les opérateurs de télécommunications ou de communications électroniques peuvent s'opposer aux demandes de divulgation si le client n'est pas un citoyen américain ou résident permanent en situation régulière et si la divulgation d'informations entre en conflit avec la législation d'un gouvernement étranger qui a conclu un accord exécutif avec le gouvernement américain.
À noter qu'il existe un réel conflit entre le RGPD et le Cloud Act en ce qui concerne le stockage et le transfert des données. En effet, le Règlement général sur la protection des données (RGPD) vise à renforcer la protection des données à caractère personnel au sein de l'Union européenne en garantissant leur sécurité et leur confidentialité.
En ce qui concerne les transferts de données en dehors de l'Espace économique européen, ils ne peuvent, dans aucun cas, diminuer le niveau de protection des données.
Enfin, les demandes de divulgation pourraient avoir de lourdes conséquences sur la protection des secrets d'affaires.
De nombreuses questions restent sans réponse, notamment en ce qui concerne la protection des données à caractère personnel. Pourra t-on s'opposer au Cloud Act ?