Une étude commandée à un cabinet d'avocats américain par le ministère de la Justice des Pays-Bas sur le Cloud Act, conclut que les entités européennes peuvent êtres soumises à cette loi extraterritoriale même si leur siège social n'est pas aux Etats-Unis. Elle précise même que le Cloud Act s'applique aussi quand un fournisseur de cloud européen utilise du hardware ou un logiciel américain, ce qui est le principe même des futures offres de « Cloud de confiance » Bleu (les technologies de Microsoft proposées par Orange et Capgemini) et S3ns (celles de Google avec Thales). L'étude, dont les...
... ses sont validées par plusieurs experts du droit du numérique consultés par La Tribune, contredit donc la communication du gouvernement français ainsi que celles de Bleu et de S3ns. Elle pointe surtout un risque pour les opérateurs d'importance vitale (OIV), les opérateurs de services essentiels (OSE) et les administrations invités à souscrire sans attendre à ces offres.
Nouvelle claque pour le gouvernement français et sa stratégie très controversée de « Cloud de confiance ». Suffit-il de posséder un siège social en France ou en Europe et de couper tout lien capitalistique avec les Etats-Unis pour être protégé contre le Cloud Act, même en vendant une offre basée sur des technologies américaines ? Non, tranche une étude réalisée par le bureau européen du cabinet d'avocats américain Greenberg Traurig LLP, pour le compte du ministère de la Justice et de la Sécurité des Pays-Bas, et rendue publique le 26 juillet dernier.
Le gouvernement néerlandais souhaitait savoir si le Cloud Act, une législation extra-territoriale adoptée en 2018 pour légaliser la collecte de données à l'étranger au nom de la protection des Etats-Unis, s'appliquait seulement aux entités américaines présentes en Europe, comme on le présente souvent, ou s'il pouvait oui ou non aussi toucher les entreprises 100% européennes, c'est-à-dire dont le siège social est situé dans l'Union européenne.
Lire aussi :« Cloud de confiance » : le député Philippe Latombe attaque le projet de Google et Thales (S3ns) auprès de la Cnil et de l'Anssi
Le Cloud Act peut s'appliquer aux entreprises qui vendent des logiciels américains
La réponse du cabinet américain Greenberg Trauring LTT -qu'on ne peut accuser de servir un agenda pro-européen- est très claire : « Les entités européennes peuvent être à la portée du Cloud Act, même si [elles] sont situées en dehors les Etats Unis», tranche le document en première page.
Les avocats précisent toutefois qu'il est possible pour les entreprises européennes de minimiser ce risque en établissant une « muraille de Chine » avec les Etats-Unis, notamment en n'employant aucun Américain ou n'avoir aucun client américain. Ceux-ci peuvent être des chevaux de Troie pouvant justifier une intervention au titre du Cloud Act.
Newsletter
Tech & IA
Chaque jour à 13h, l’essentiel de l’actualité tech.
