les lois RGPD et Cloud-Act promulguées a quelques semaines d'intervalle.
Avec l’arrivée du RGPD (le nouveau Règlement Européen sur la Protection des Données Personnelles paru au journal officiel de l’Union européenne et entré en application le 25 mai 2018), vous vous posez certainement de nouvelles questions sur les solutions SaaS que vous utilisées.
Le Cloud Act (pour Clarifying Lawful Overseas Use of Data Act, en français), promulguée fortuitement à quelques semaines de la loi européenne sur la protection des données, est la loi américaine clarifiant l'utilisation illégale des données à l'étranger.
Elle répond à un problème qui a été soulevé lorsqu'en 2013 Microsoft a refusé de fournir au FBI l'accès à un serveur en Irlande dans le cadre d'une enquête, affirmant qu'elle ne pouvait être contrainte à produire des données stockées en dehors des États-Unis.
Vous l'aurez noté, d'un coté le règlement européen RGPD stipule que toutes les entreprises qui collectent des données auprès des citoyens européens doivent se conformer aux règles de l’Union, et de l'autre le Cloud-Act permet aux autorités américaines de forcer les prestataires de services et sociétés américaines à transmettre les données d'un utilisateur ou d'une entreprise, quelle que soit la nationalité de l'entreprise ciblée et la localisation des données.
Cela vous préoccupe ? Cela préoccupe également nos Directeurs des Systèmes d'Information.
100% des DSI du CAC 40 préoccupés par le CLOUD-ACT.
100% des Directeurs des systèmes d’information des sociétés du CAC 40 et du Top 100 sont préoccupés par le « Cloud-Act » et les désormais possibles indiscrétions de leurs prestataires. Il y a une véritable prise de conscience autour de la souveraineté de la donnée.
Tous les DSI des grands groupes se posent des questions sur la confidentialité et la souveraineté des données de l’entreprise dont ils ont la charge.
Les entreprises savent qu’il ne suffit plus de dire que les données sont localisées en France ou en Europe pour échapper à cette loi extraterritoriale américaine. En vertu de la loi, tous les fournisseurs de services cloud et solutions SaaS américains, de Microsoft à IBM en passant par Amazon et autres prestataires éditeurs de services SaaS ayant des liens capitalistiques avec une société américaine, doivent, lorsqu’ils en reçoivent l’injonction, fournir aux autorités américaines des données stockées sur leurs serveurs, quel que soit leur emplacement.
Difficile en effet pour ces prestataires (éditeurs, hébergeurs, distributeur) de s’opposer aux requêtes de la justice américaine. Elles n'ont pas la possibilité de prévenir leurs Clients. En cas de refus, elles prennent le risque d'encourir de lourdes sanctions. Cela n'a donc aucun lien avec la qualité et l'état de l'art des prestations fournies en matière d'hébergement et de sécurité. Il s'agit d'un risque purement juridique.
Or ces fournisseurs représentent un poids de plus en plus important sur le marché du SaaS (Cloud) en France et en Europe.
LA riposte européenne et française ?
L’extraterritorialité de la loi américaine inquiète l’Union européenne, un problème qui est susceptible de prendre de l’ampleur. Ce sont les relations transatlantiques qui préoccupent car l’Europe considère le Président D. Trump comme un allié de moins en moins fiable.
La guerre économique et les nombreuses attaques emblématiques contre l'entreprise Huawei (et les entreprises chinoises de façon générale) sont une démonstration de l'arsenal politico-juridique dont les américains savent faire l'usage.
L’Europe et les entreprises européennes pourraient subir prochainement les mêmes pressions pour plier face aux demandes de renégociations des accords commerciaux, visant à préserver les intérêts économiques américain, partout dans le monde. Et ce risque s’accroît à l'approche des élections présidentielles outre-atlantique et du Brexit.
Dans l’attente de la réponse de l’UE, certains pays préparent la leur, la France en tête. Les équipes du Président Emmanuel Macron préparent des mesures juridiques et techniques pour protéger le pays et ont désigné quatre responsables gouvernementaux : le bureau du président, le ministère des Finances et l'agence de cybersécurité de l'État et l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information).
« Plus nous nous intéressons au Cloud Act, plus il nous inquiète », a déclaré Guillaume Poupard, responsable de l'ANSSI. « C'est un moyen pour les États-Unis d'entrer dans des négociations ... mais cela a un effet extraterritorial immédiat qui est insupportable ».
Les déclarations récentes de Microsoft France ne sont pas de nature à rassurer et sonnent même comme un aveu d’échec face aux requêtes des instances américaines, en violation du droit européen : « Nous continuerons d’aller en justice pour défendre les droits de nos clients lorsqu’ils sont violés par le gouvernement américain selon leur droit local ».
Microsoft appelle à ce que les accords internationaux (au sein du Cloud Act) ne soient pas en contradiction avec les lois locales (comme le RGPD). », mais à ce jour, aucun accord n’a été signé avec les Etats-Unis.
En attendant que la situation se clarifie (en espérant qu'elle ne soit pas d'ores et déjà insoluble), la France se pose à l'avant-garde de la prévention et de la préservation des intérêts économiques de ses entreprises, en préconisant la mise en oeuvre de bonnes pratiques contre les injonctions extraterritoriales des Etats-Unis.
Le gouvernement français a organisé des réunions avec des banques, des sous-traitants de la défense, des services publics de l'énergie et d'autres acteurs, leur demandant d'utiliser des fournisseurs de données « Cloud Act-safe ».
Sources :
- https://www.cnil.fr/fr/reglement-europeen-protection-donnees
- https://www.straitstimes.com/world/europe/as-huawei-frightens-europes-data-protectors-america-does-too
- Cloud Act : la loi américaine qui donne aux USA un accès aux données stockées en UE inquiète l'Europe
- La France prépare des mesures pour se protéger
CLOUD Act & PATRIOT Act : tous les DSI des groupes français sont préoccupés
