Le Vieux Continent retient toujours son souffle face au Cloud Act américain (pour « Clarifying Lawful Overseas Use of Data Act »). Adoptée en mars 2018 par l'administration Trump, cette législation confère aux autorités américaines le droit d'exiger des entreprises le transfert de données vers les États-Unis lorsque celles-ci sont stockées à l'étranger. Très redouté, ce texte a été perçu comme la riposte américaine au Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018. Une contre-offensive qui rendrait possible le transfert de données de citoyens européens aux États-Unis, à des fins d'espionnage industriel, tout en menaçant la souveraineté numérique de l'Europe.
En réalité, le Cloud Act n'est pas un « anti-RGPD ». Le texte vient simplement compléter le cadre existant, c'est-à-dire le « Stored Communications Act », voté en 1986. Une nécessité depuis l'affaire ayant opposé la justice américaine à Microsoft entre 2013 et 2018.
Dans le cadre d'une enquête pénale pour trafic de drogues, des procureurs avaient demandé à la firme de logiciels de fournir des échanges de courriels entre plusieurs suspects. Ce que Microsoft avait refusé : les données étant stockées sur des serveurs en Irlande, l'entreprise ne s'estimait pas liée aux lois américaines.
« Le Cloud Act vise à éviter ce genre de blocage. Pour autant, il ne permet pas aux États-Unis de s'approprier l'intégralité des données stockées en Europe, car plusieurs garde-fous sont instaurés », relativise Michel Leclerc, avocat associé au cabinet Parallel Avocats et spécialiste des plateformes et de l'économie numérique.
Tout d'abord, la demande de transfert est uniquement possible sous le contrôle d'un juge et dans le cadre d'une enquête pénale. Le texte est toutefois très flou puisqu'une demande peut être effectuée pour toutes les « infractions graves, dont le terrorisme ». Les données visées sont celles issues des « communications électroniques », qui s'entendent là aussi de façon très extensive comme les métadonnées, les contenus des échanges - des photos, des vidéos, du texte... -, mais aussi les données personnelles des utilisateurs.
Le rempart du RGPD
Le texte reste en outre très vague sur les entreprises soumises au Cloud Act.
« Il est applicable à toutes les sociétés de droit américain, donc pas uniquement les entreprises américaines établies et enregistrées aux États-Unis, mais aussi toutes ses filiales. Par exemple, Microsoft, Google, Facebook, Oracle ou encore Salesforce ont des filiales en Europe, et elles-mêmes peuvent être cocontractantes avec des entreprises françaises. Dans un tel cas, les filiales européennes sont soumises au Cloud Act », résume Michel Leclerc.
Concrètement, si une PME française héberge ses données sur les serveurs d'une entreprise américaine, alors celles-ci pourront être transférées aux États-Unis pour être analysées à leur insu par les autorités américaines. Actuellement, le Cloud Act ne prévoit aucune obligation d'information pour les entreprises qui verraient leurs données communiquées outre-Atlantique. De manière simplifiée, « toutes les entreprises détenant des données sont soumises à ce texte, mais les cibles principales restent les sociétés disposant de data centers à l'étranger », souligne encore Michel Leclerc.
L'impact véritable du Cloud Act est pour l'instant présumé nul grâce au RGPD. Car si l'Europe redoute l'extra-territorialité de ce texte, elle s'est également dotée de solides protections face aux entreprises étrangères opérant sur son territoire. L'article 48 du RGPD interdit le transfert de données de pays européens vers des pays tiers, sauf accords internationaux contraires. Or les négociations entre les États-Unis et l'Europe n'ont même pas encore commencé pour s'accorder sur la compatibilité de leurs textes.
Alors que les Américains semblaient vouloir négocier pays par pays, « la France pousse pour défendre une position commune portée par la Commission européenne au nom des États membres », indique le cabinet de Bruno Le Maire, ministre de l'Économie et des Finances. Les États membres en sont encore au stade de la définition du mandat donné à la Commission et aucune date limite ne semble être fixée.
Instaurer un droit d'information
Deux axes majeurs de négociations sont défendus par la France. Selon le cabinet de Bruno Le Maire, « le principal enjeu pour l'Europe est de négocier un cadre équilibré pour l'accès réciproque et respectueux aux données numériques dans les enquêtes pénales », tout en soulignant que la loi de blocage de 1968 « interdit la communication d'informations relevant de l'ordre public, de la sécurité publique et des intérêts économiques essentiels de la Nation. »
Autre priorité : instaurer un droit d'information obligatoire en cas de transfert de données.
« Si des informations sensibles devaient être sollicitées au titre du Cloud Act, en contradiction potentielle avec les garanties apportées par la loi de blocage, nous souhaitons nous assurer que le transfert ne puisse se faire sans que nous (entreprise concernée et autorités françaises) en soyons préalablement informées, pour pouvoir, le cas échéant, faire jouer les filtres prévus par la loi », fait savoir le ministère.
En attendant un compromis européen, Bruno Le Maire a annoncé en janvier que les autorités travaillaient sur un dispositif pour avertir les entreprises françaises en cas de demande de transfert de données stratégiques.
Le ministre de l'Économie a aussi demandé aux acteurs informatiques français de « développer des solutions sécurisées dans le cloud pour l'hébergement et le stockage des données sensibles pour des entreprises françaises ». Cette plateforme souveraine est attendue courant 2019.
Retraités : la volte-face des favorisés d'Emmanuel Macron (45)
Sujets les + commentés