Avec le Cloud Act, les données d’entités européennes hébergées sur le continent restent soumises à la juridiction américaine. Depuis l’adoption de cette loi fédérale en 2018, les entreprises européennes sont confrontées à un dilemme : se conformer aux demandes des autorités américaines et violer les règles du RGPD ou refuser de coopérer et faire face à des conséquences juridiques potentielles aux États-Unis.

En 2019, dans un rapport de l’Assemblée nationale visant à défendre la souveraineté des entreprises françaises et européennes face à la juridiction américaine, le Cloud Act est considéré comme « une étape supplémentaire de l’unilatéralisme extraterritorial américain […] il instaure un système de collecte de données au profit des autorités américaines sans égard d’aucune sorte envers la nationalité des personnes concernées ni envers la localisation géographique des données, et ignorant totalement la souveraineté des États et l’application de leurs règles de droit ».

Le Cloud Act trouve son origine dans la volonté de l’administration américaine de sécuriser juridiquement les demandes de données numériques faites aux opérateurs américains (notamment tous les GAFAM) par des autorités de poursuites américaines quand ces données sont stockées sur des serveurs situés à l’étranger.

Si la pratique était vraisemblablement déjà d’usage avant cette loi, notamment via le programme de surveillance PRISM (dévoilé par les révélations d’Edward Snowden en 2013), sa légalisation permet désormais l’utilisation des divers documents (échanges de mails, appels téléphoniques, etc.) à charge contre l’accusé (individu ou entreprise) en cas de procès.

La loi a vu le jour avec l’affaire Microsoft/Irlande, où le géant américain avait refusé de fournir des données stockées sur un serveur en Irlande à la demande du gouvernement américain dans le cadre d’une enquête pour trafic de stupéfiants. La firme de Mountain View affirme que les données en question étant celles d’une personne de nationalité irlandaise, stockées en Irlande, ne relevant pas de la juridiction américaine.

La loi a ainsi été adoptée pour clarifier les dispositions du Stored Communications Act (SCA) de 1986, qui réglemente la communication électronique et les services informatiques à distance. La loi stipule que les entreprises américaines doivent se conformer aux obligations du SCA en matière de conservation, de sauvegarde ou de divulgation du contenu d’une communication électronique et de toute autre information pertinente, indépendamment du lieu où ces informations sont stockées.

Pendant longtemps, les dispositions du SCA n’ont pas été remises en question car les opérateurs américains stockaient leurs données principalement dans des data centers situés aux États-Unis. Cependant, l’équilibre a été bouleversé par la mise en place progressive de serveurs à l’étranger par les principaux fournisseurs de services numériques.

Brouillard autour du « cloud de confiance »

Depuis l’adoption du Cloud Act en 2018, la question de sa compatibilité avec le RGPD se pose. Le Cloud Act donne en effet aux autorités américaines la possibilité d’accéder aux données stockées par des entreprises américaines, même si ces données sont stockées à l’étranger, notamment en Europe. Or le RGPD impose des restrictions rigoureuses sur la transmission des données en dehors de l’Union européenne.

Certains experts préconisent ainsi la mise en place de « clouds de confiance » pour résoudre la problématique de la compatibilité entre le Cloud Act et le RGPD. Ces clouds seraient hébergés dans l’Union européenne et gérés par des entreprises européennes qui garantissent que les données sont stockées et traitées en conformité avec le RGPD. De tels clouds permettraient également aux entreprises européennes de conserver le contrôle sur leurs données.

Au cours des dernières années, on a ainsi vu naître différents projets de « cloud de confiance » entre les géants américains du numérique et des entreprises françaises. La joint-venture « Bleu » entre Microsoft, Orange et Capgemini a ainsi été annoncée en juin 2021. Un an plus tard, Thales et Google s’associent pour lancer leur service de stockage S3NS. Fin 2022, c’est au tour d’Amazon, qui s’allie à l’entreprise française du numérique Atos pour proposer son propre « cloud de confiance ».

Cependant, une récente enquête, commandée par le gouvernement néerlandais auprès du cabinet de conseil américain Greenberg, laisse planer le flou sur ces clouds de confiance. À la question « veuillez indiquer si une entité de l’UE est concernée par le Cloud Act, même si l’entité de l’UE n’est pas située aux États-Unis », Greenberg répond : « Oui, dans certaines circonstances, une entité européenne, qui est un fournisseur de services de communication électronique (SCE) ou de services informatiques à distance (SID), et qui n’est pas située aux États-Unis, pourrait toujours être soumise au Cloud Act ».

Pour Michel Makinsky, consultant spécialiste des compliances auprès d’entreprises européennes, le simple risque de se confronter à la justice américaine fait office de dissuasion. Cette surconformité est inhérente au développement d’un traumatisme, chez les entreprises, dû au réel risque juridico-financier au regard des montants dont certaines d’entre elles ont dû s’acquitter. « Plus de vingt ans de pressions et de sanctions ont nécessairement laissé des traces dans les représentations et les modes d’action des entreprises et des banques européennes qui sont bien plus inquiètes de la loi américaine qu’européenne », analyse-t-il.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.