INTERVIEW : RGPD contre Cloud Act : qui est le plus fort ?

En installant leurs data centers en France, AWS, Microsoft et consors tentent de rassurer les clients français en leur apportant toutes les garanties qu’ils attendent en termes de sécurité et de conformité RGPD. Oui mais voilà, le Congrès étasunien vient de promulguer le Cloud Act (pour Clarifying Lawful Overseas Use of Data ou, en bon français : clarification de l’utilisation légale des données à l’étranger) une nouvelle législation qui précise les règles s’appliquant aux données personnelles détenues par les entreprises étasuniennes en dehors du territoire national.

Nous avons voulu savoir quelles pouvaient être les implications de ce Cloud Act pour les clients français ayant confié leurs données à un cloud provider d’origine étasunienne comme AWS ou Microsoft. Nous avons posé la question aux entreprises précitées mais également à des experts de la protection des données et à des fournisseurs de services hébergés locaux. Si nous n’avons pas reçu de réponse de Microsoft et AWS à ce jour, plusieurs des experts (DPO Consulting) et services providers (Jaguar Network, Outscale et Nerim) que nous avons sollicités ont accepté de partager leur éclairage. Le voici.


Channelnews : : Le Cloud Act, qui autorise la justice US à saisir des données hors du territoire national, est-il compatible avec l’article 48 du RGPD, qui proscrit les transferts ou divulgations de données hors de l’UE ?

Kevin Polizzi, PDG de Jaguar Network : Le Cloud Act vise à faciliter l’accès par les autorités américaines aux données stockées à l’étranger par des entreprises américaines dans le cadre exclusif d’une procédure judiciaire. Sachant que le RGPD ne protège pas les individus contre l’accès à leurs données par les autorités dans le cadre d’une enquête et que l’accès aux données s’inscrit dans le cadre d’un mécanisme de coopération judiciaire, l’Union européenne n’y voit rien à redire. D’autant que Cloud Act prévoit en retour un accès par les gouvernements étrangers aux données stockées par des entreprises américaines. L’Union européenne devait d’ailleurs présenter ce 17 avril un texte destiné profiter de cette possibilité offerte par Cloud Act pour faciliter l’accès des autorités européennes aux données stockées par les entreprises de l’UE aux USA ou les US dans l’UE.

Marine Brogli, PDG de DPO Consulting : De mon point de vue le Cloud Act est en lui-même une réponse politique au RGPD.

Tout d’abord, il faut rappeler quelque peu le contexte général de ce sujet : les difficultés d’accord sur la protection des données personnelles avec les Etats-Unis ne datent pas d’hier et sont un sujet récurrent. Les US ne sont pas considérés par la Commission Européenne comme un pays présentant un niveau de protection adéquat du point de vue des données personnelles. L’invalidation de l’accord Safe Harbor par la Cour de Justice de l’Union en octobre 2015 avait déjà mis un coup d’arrêt aux transferts de données de l’UE vers les USA. Puis le Privacy Shield avait été adopté mais vivement critiqué par le G29 et la Commission Européenne. Encore aujourd’hui, il demeure fragile et ne permet pas un transfert facile de données vers les USA. Les entreprises américaines n’ont donc pas vraiment le choix, elles sont contraintes de se conformer au RGPD et de revoir leur modèle économique. C’est pourquoi des entreprises comme Microsoft se retrouvent à annoncer l’ouverture de deux data centers en France. Les données hébergées en Europe des européens leur permettent ainsi de s’éviter un casse-tête juridique et administratif.

Par ailleurs, le RGPD était en négociation depuis 2012. Les pressions exercées par les lobbyistes ont été très importantes et ont porté leur fruit jusqu’à l’affaire Snowden. Le scandale provoqué par cette affaire a accéléré la validation du RGPD en 2015. Voté un peu dans l’urgence en avril 2016, le RGPD a un champ d’application territoriale extrêmement large : il s’applique non seulement à toutes les entreprises basées sur le territoire de l’Union Européenne mais également à toutes entreprises étrangères qui traitent des données à caractère personnel de résidents ou citoyens de l’Union Européenne, peu importe que le bien ou service proposé par l’entreprise soit gratuit ou payant. Dès lors, il sera possible pour les autorités européennes de protection des données de prononcer des sanctions administratives (jusqu’à 4% du chiffre d’affaires mondial consolidé) à l’encontre de sociétés américaines n’ayant aucun établissement en France et ne proposant qu’une simple application mobile pour smartphone. Le message politique envers les américains est fort : vous souhaitez traiter des données de citoyens de l’UE, c’est possible mais à nos conditions.

David Chassan, Chief Communication Officer chez Outscale : Le Cloud Act fait clairement peser une menace et un risque sur nos données, notre propriété intellectuelle et notre sécurité. Peu importe où se trouve le datacenter. Toutes les données d’un cloud provider américain sont disponibles pour un l’Etat fédéral américain.

Dans ce contexte, quelles sont les marges de manœuvres qui s’offrent aux clients européens qui hébergent leurs données dans le datacenter d’un Cloud provider US mais qui veulent rester conformes au RGPD ?

La suite de l'interview sur le site informatique News ici 

Nouveau call-to-action

partager cet article

CET ARTICLE A ÉTÉ POSTÉ AVEC LES TAGS: Actualités, RGPD, sécurité, Sécurité & IT, réglementation, cloud-act, cloud-act safe

CET ARTICLE VOUS A PLU

Abonnez-vous à InFinance le blog

Recevez par email les dernières actualités de la trésorerie d’entreprise.

DÉCOUVREZ TITAN TREASURY

« Découvrez la nouvelle solution de trésorerie dédiée à la gestion de tous les risques financiers. »

Titan Treasury Télechargez la présentation

NOS DERNIERS ARTICLES