C'est à la demande du ministère néerlandais de la Justice que l'un des plus grands cabinets américains a confirmé, dans une étude rendue publique durant l'été, que les entités de l'Union européenne restent toujours soumises au Cloud Act américain, cassant un peu la promesse faite par le gouvernement français.
À l'heure où les dirigeants européens, dont le gouvernement français, vantent le principe des futures offres de Cloud de confiance comme les propositions S3ns de Google et Thalès et Bleu de Microsoft, Orange et Capgemini, l'étude publiée par le cabinet d'avocats américain Greenberg Traurig LLP, réputé pour être l'un des plus connus au monde, fait évidemment tache. Sa principale conclusion consiste à expliquer aux autorités néerlandaises, qui voulaient en avoir le cœur net, que les entités européennes mêmes basées hors des États-Unis continuent à être potentiellement soumises aux lois américaines comme le Cloud Act.
Dans certaines circonstances et malgré le RGPD, des entités européennes restent soumises au Cloud Act américain
Rappelons avant tout ce qu'est le Cloud Act. Le Clarifying Lawfly Overseas Use of Data Act, en son nom original, est un texte fédéral américain en vigueur depuis le 23 mars 2018 dont nous avons déjà plusieurs fois parlé sur Clubic. Il est venu mettre à jour le cadre juridique des demandes judiciaires de données détenues par les fournisseurs de services de communication. En d'autres termes, certains fournisseurs de Cloud commercial (Google, Microsoft, Amazon et autres) se voient imposer le transfert des données à caractère personnel aux autorités publiques américaines, en opposition au RGPD européen. Mais l'étude va plus loin que les seules entreprises américaines.
À la question « veuillez indiquer si une entité de l'Union européenne est visée par le Cloud Act, même si l'entité n'est pas située aux États-Unis » posée par les autorités néerlandaises, le cabinet Greenberg Traurig répond par l'affirmative.
« Oui, dans certaines circonstances, une entité de l'UE, qu'elle soit un fournisseur de services de communication électronique ou de services informatiques à distance, qui n'est pas située aux États-Unis, pourrait toujours être soumise au Cloud Act si l'entité de l'UE a suffisamment de contacts avec les États-Unis pour que la compétence personnelle puisse être exercée sur l'entité de l'UE », explique le cabinet.
Pour savoir si une entité de l'UE qui n'est pas basée aux États-Unis relève bien du Cloud Act, il faut d'abord étudier le type d'ordonnance émis, les faits et circonstances spécifiques. Les juristes rappellent que la justice américaine ne peut délivrer un mandat d'accès aux données que si elle démontre que les communications demandées établiront bien la preuve d'un crime. Et comme l'expliquait le cabinet Greenberg Traurig, il faut que l'entreprise ait une présence continue et systématique aux États-Unis.
Une entreprise européenne qui fournit des services aux États-Unis peut tomber sous le coup du Cloud Act
Donc contrairement à ce qu'affirment les gouvernements européens, dont celui de la France, il n'y a pas que les entreprises américaines présentes en Europe qui peuvent être soumises au Cloud Act. Dès lors qu'une entité de l'UE qui n'est pas située aux États-Unis offre des services ou des produits dans ce pays, oui, elle peut bien être soumise au texte américain. Les opérateurs d'importance vitale (OIV), dont la liste officielle n'est pas connue mais qui rassemblent des organisations considérées comme indispensables à la survie de la nation ; mais également les opérateurs de services essentiels (le secteur de l'énergie en comporte quelques-uns par exemple) et les administrations, invités en raison de la sensibilité de leurs activités à souscrire aux offres de Cloud de confiance, encourent donc un risque. Et ce dès lors que la promesse de protection des données et de leur transfert n'est pas pleinement assurée.
Outre le Cloud Act, d'autres lois américaines peuvent avoir un impact sur les sociétés européennes et autoriser le gouvernement ou les tribunaux des États-Unis à chercher à accéder aux données stockées par une entité de l'Union européenne au sein même de la zone. Mais alors, dans ce cas-là, l'entité de l'UE aurait la possibilité, selon Greenberg Traurig, de déposer une requête en annulation ou en modification d'une ordonnance pour des motifs de compétence.
Une partie loin d'être gagnée
Parmi les autres questions posées au cabinet, on retient celle qui consiste à savoir si les États-Unis peuvent obtenir des données d'une entreprise de l'Union européenne sur laquelle ils n'ont pas de pouvoir juridique, en ordonnant à un ressortissant américain qui a accès à des données de l'étranger de les transmettre à son pays, le tout en vertu du Cloud Act.
« En théorie, la réponse est 'non', mais en pratique, c'est très probablement 'oui' », répond-il. Car un amendement rattaché au Cloud Act précise que les fournisseurs de service doivent divulguer les données, et ce quel que soit l'endroit où ils les stockent. Pour obtenir ces données, il suffit à la justice américaine d'adresser à son ressortissant une citation à comparaître. Si celui-ci est mal conseillé et qu'il veut se protéger, il ne s'y opposera pas, même si en pratique, il peut le faire. « Dans le cas où le ressortissant américain ne s'est pas opposé à l'assignation à comparaître ou a échoué dans son objection, le ressortissant américain ne peut pas faire la distinction entre les informations enregistrées localement et les informations disponibles à distance ».
Le Cloud Act et tout ce qui se trouve autour constituent donc une vaste fourmilière faite de principes et d'exceptions qui ne font que renforcer le flou autour du Cloud de confiance. La tendance semble aujourd'hui être au « si les États-Unis veulent une donnée, ils peuvent l'avoir ». L'exemple de Microsoft est criant. La firme peut se prémunir du Cloud Act en chiffrant les données mais elle utilise des routeurs Cisco. Cisco (qui a accès aux données des clients et personnes concernés de l'UE) et les autorités pourraient donc accéder aux données via ces routeurs. Il en faudra donc plus pour rassurer les uns et les autres.
Source : NCSC, La Tribune
Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)
Lire d'autres articles
