Transfert de données : comment l'Europe se protège face au Cloud Act
Ce contenu est réservé aux abonnés La Tribune

Cloud, data
Reuters
Ce contenu est réservé aux abonnés La Tribune

Cloud, data
Reuters
Le Vieux Continent retient toujours son souffle face au Cloud Act américain (pour « Clarifying Lawful Overseas Use of Data Act »). Adoptée en mars 2018 par l'administration Trump, cette législation confère aux autorités américaines le droit d'exiger des entreprises le transfert de données vers les États-Unis lorsque celles-ci sont stockées à l'étranger. Très redouté, ce texte a été perçu comme la riposte américaine au Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018. Une contre-offensive qui rendrait possible le transfert de données de citoyens européens aux États-Unis, à des fins d'espionnage industriel, tout en menaçant la souveraineté numérique de l'Europe.
En réalité, le Cloud Act n'est pas un « anti-RGPD ». Le texte vient simplement compléter le cadre existant, c'est-à-dire le « Stored Communications Act », voté en 1986. Une nécessité depuis l'affaire ayant opposé la justice américaine à Microsoft entre 2013 et 2018.
Dans le cadre d'une enquête pénale pour trafic de drogues, des procureurs avaient demandé à la firme de logiciels de fournir des échanges de courriels entre plusieurs suspects. Ce que Microsoft avait refusé : les données étant stockées sur des serveurs en Irlande, l'entreprise ne s'estimait pas liée aux lois américaines.
À lire également
Tout d'abord, la demande de transfert est uniquement possible sous le contrôle d'un juge et dans le cadre d'une enquête pénale. Le texte est toutefois très flou puisqu'une demande peut être effectuée pour toutes les « infractions graves, dont le terrorisme ». Les données visées sont celles issues des « communications électroniques », qui s'entendent là aussi de façon très extensive comme les métadonnées, les contenus des échanges - des photos, des vidéos, du texte... -, mais aussi les données personnelles des utilisateurs.