Les entrepreneurs européens doivent connaître le Cloud Act et ses implications pour eux-même et leur entreprise. Le Cloud Act présente de nombreux risques et des conséquences pour lesquelles ils doivent se préparer. Dans cet article, nous examinerons de plus près ce que le Cloud Act est, comment il affecte les entrepreneurs européens, et quelles sont les solutions possibles pour les entrepreneurs européens.
Le Cloud Act représente un risque pour les entrepreneurs européens : Ce que vous devez savoir
Le Cloud Act (Clarifying Lawful Overseas Use of Data qui signifie " loi de clarification sur l’utilisation extraterritoriale des données " ), promulgué en 2018, est un texte de loi qui a des implications importantes pour les entrepreneurs européens. Elle donne aux institutions américaines le droit d'accéder aux données stockées dans le cloud, quel que soit l'endroit où ces données sont situées. Cela signifie que les données stockées par les entrepreneurs européens dans le cloud, telles que les dossiers clients, les plans d'affaires, les informations financières et commerciales, les mails… peuvent être consultées par les autorités américaines sans le consentement du propriétaire.
Il est important pour les entrepreneurs européens de comprendre les implications du Cloud Act et de prendre des mesures pour protéger leurs données.
Comment le Cloud Act représente un risque pour les entrepreneurs européens et ce qu'ils peuvent faire pour protéger leurs données.
Une des questions sous-jacente est comment l’Union Européenne peut-elle assurer la protection des données personnelles de ses citoyens lorsqu’elles sont transférées/traitées par des sociétés américaines sous le joug du CLOUD Act ?
Comment le Cloud Act est un risque pour les entrepreneurs européens
Le Cloud Act s'applique aux données stockées aux États-Unis mais pas seulement, aussi en Europe, au Canada ou au Japon.
Il représente donc un risque pour les entrepreneurs européens.
La loi donne au gouvernement américain le droit d'accéder aux données stockées dans le cloud, quel que soit l'endroit où ces données se trouvent.
Elle permet également que les données soient renvoyées au tribunal compétent, le propriétaire des données en est notifié une fois l'enquête terminée.
Toutefois, la notification peut être retardée en raison d'une enquête en cours. Dans certaines circonstances, la notification peut même être retardée jusqu'à 90 jours ou jusqu'à un an dans le cas d'enquêtes complexes.
Le Cloud Act ne comporte aucune limitation géographique (extraterritorialité du droit américain), d'où pourquoi les autorités américaines peuvent demander des données stockées par des entrepreneurs européens. Il n'est pas nécessaire que les données soient pertinentes pour que les autorités américaines puissent les demander.
Le Cloud Act représente donc de multiple risque pour les entrepreneurs de l'UE qui stockent leurs données auprès d'un prestataire États-Unien.
Les implications du Cloud Act pour les entrepreneurs européens
Le Cloud Act a des implications considérables pour les européens qui s'appuient sur des services basés sur le cloud et logiciels US pour faire fonctionner leurs entreprises.
Les principales implications du Cloud Act pour les entrepreneurs européens sont :
• Les données stockées dans le cloud pourraient être consultées par les autorités américaines : Si un entrepreneur européen stocke des données dans le cloud, les autorités américaines pourraient y avoir accès.
Cela s'applique à toutes les données stockées, qu'il s'agisse de dossiers clients, d'informations commerciales et financières, mails...
Les entrepreneurs européens doivent s'assurer qu'ils utilisent des outils de confidentialité des données qui protègent leurs données de la surveillance gouvernementale.
• Les données pourraient être consultées sans le consentement du propriétaire : Le Cloud Act donne aux autorités américaines le droit d'accéder aux données dans le cloud sans le consentement du propriétaire. Les entrepreneurs européens qui stockent leurs données dans le cloud doivent s'assurer qu'ils prennent des mesures pour protéger leurs données.
• La notification de l'accès pourrait être retardée : Le Cloud Act garantit que le propriétaire des données est notifié une fois l'enquête terminée. Toutefois, la notification peut être retardée en raison d'une enquête en cours.
Elle peut également être retardée si les données détenues par le propriétaire sont chiffrées.
Comment les entrepreneurs européens peuvent-ils protéger leurs données ?
Le Cloud Act contredit le RGPD (Règlement Général sur la Protection des Données) en vigueur dans toute l'Europe depuis le 25 mai 2018. En particulier l'article 48 sur les transferts ou divulgations non autorisés par le droit de l'Union :
« Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international ».
Comme le Cloud Act présente un risque pour les entrepreneurs européens, il est important pour eux de protéger leurs données.
La meilleure façon de le faire est d'utiliser des outils de confidentialité des données pour les protéger de la surveillance gouvernementale.
Les principales solutions pour protéger les données de la surveillance gouvernementale sont le chiffrement et l'utilisation d'une juridiction offshore respectueuse de la vie privée lors du stockage des données dans le cloud :
. Stockage dans une juridiction offshore dotée de lois strictes en matière de protection des données.
. Chiffrement de bout en bout pour protéger les données. Cela garantit que seules les personnes disposant des clés de décryptage peuvent accéder aux données.
Juste une petite remarque : Les inquiétudes que cette loi suscite concernent autant les professionnels que les particuliers. Et elles sont suffisamment justifiées quand on se rappelle que le marché mondial du stockage en ligne de données en 2020 est détenu à 65 % par Amazon, 15 % par Microsoft et 5 % par Google.
La mainmise des entreprises américaines comme les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) sur la collecte des données personnelles ne fait aucun doute.
Que dois-je faire si les autorités US accèdent à mes données ?
Si les autorités américaines accèdent à vos données, il est bon de demander un avis juridique.
Vous devez déterminer sur quoi les autorités enquêtent et si vous pouvez prendre des mesures.
Par exemple, si vous avez été victime d'un piratage malveillant et que vos données ont été volées par un tiers, il se peut que vous ne fassiez pas l'objet d'une enquête.
Si les autorités américaines accèdent à vos données mais ne vous en informent pas, vous devez le signaler à l'avocat général du ministère de la sécurité intérieure. Il s'agit du département chargé de superviser les demandes de données formulées par les autorités américaines.
Vous devez également signaler l'accès aux données à votre autorité locale de protection des données. Celle-ci peut vous aider à déterminer si l'accès aux données est légitime. Elle peut également vous aider à demander réparation si vous pensez que l'accès aux données est illégal.
Conclusion
Avec l’adoption du Cloud Act, les prestataires de service américains sont dans l’obligation de divulguer les données personnelles de leurs utilisateurs, dès lors que les autorités américaines (police, justice et administration) le leur demandent.
En d’autres termes, les géants du web (tels que Microsoft, Google, Facebook et consorts) ne sont plus en mesure de garantir à leurs utilisateurs la confidentialité de leurs données personnelles, même si ces dernières sont stockées en Europe.
Avec le CLOUD Act, la confidentialité des données stockées chez des prestataires américains n'est plus vraiment une garantie solide.
Par conséquent, il est important que les entrepreneurs européens comprennent les implications du Cloud Act et prennent des mesures pour protéger / chiffrer leurs données.
Au mieux, pour éviter toute ingérence des États-Unis dans vos affaires, préférez un hébergement français ou européen, en conformité avec le RGPD.
Quelques liens :
. Hégémonie du droit américain (L’extraterritorialité du droit américain) - MAPAO security
. Qu’est-ce que l’extraterritorialité ? - Vie Publique
. RGPD
. Le Cloud Act, une nouvelle loi qui renforce l’ingérence des autorités américaines sur les opérateurs de Cloud des US - Les Echos
. Invalidation du Privacy shield : les conséquences pour les organismes souhaitant transférer des données personnelles hors de l’UE - juin 2021
. Le devoir de souveraineté numérique - Rapport du Sénat 2019
. La protection des données dans le contexte du CLOUD Act : les hébergeurs européens comme alternative des géants américains - Hosteur
. Vidéo 17 mn - Le Pillage Économique à Grande Échelle par les États-Unis - 2022
Cloud Act et RGPD : peut-on encore héberger ses données dans le Cloud ?
Avec Me. Jérôme Tassi - 2021
---
