Cloud Act, l’offensive américaine pour contrer le RGPD

Alors que l’ensemble des pays européens entamait la dernière ligne droite vers l’application du règlement pour la protection des données personnelles (RGDP) entré en vigueur ce 25 mai, les Etats-Unis renforçaient en toute discrétion leur extraterritorialité juridique sur les données avec le Cloud Act. Un revers de main qui balaie les nouvelles règles sur la confidentialité des données en Europe et qui replace au cœur du débat la question de la souveraineté numérique.

Le Cloud Act ou la souveraineté numérique façon US

Né pour légaliser l’utilisation des données étrangères par les autorités américaines, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est le tout dernier instrument imaginé par Donald Trump. Il est le digne héritier de la loi antiterroriste, le Patriot Act, dont les effets néfastes pour les entreprises étrangères étaient connus. Pour comprendre les origines du Cloud Act, il faut remonter à 2013 lorsque la justice américaine somme Microsoft de fournir le contenu des messageries électroniques de clients hébergées en Irlande. Faisant valoir le principe selon lequel l’hébergement de données à l’étranger est soumis au droit national où il est situé (irlandais en l’occurrence), le géant américain s’oppose. Les autorités américaines n’apprécient guère la rébellion de leur fleuron.

La Cour suprême se saisit alors de l’affaire. La décision qui était attendue fin juin ne verra cependant jamais le jour. Pour cause, l’adoption par le gouvernement Trump d’un texte d’une trentaine de pages annexées aux quelques 2 000 pages du budget fédéral, le fameux Cloud Act. Avec ce texte, les prestataires de services et opérateurs numériques américains sont désormais tenus de divulguer les informations personnelles de leurs utilisateurs à la demande des autorités (justice, police et administration), sans devoir passer par les tribunaux, ni même en informer les utilisateurs, et ce même lorsque les données ne sont pas stockées sur le territoire national. En clair, Microsoft, Google, Facebook et consorts ne sont plus en aucune mesure de garantir la confidentialité des données, même si ces dernières sont stockées en Europe. Ratifié le 23 mars dernier, le Cloud Act heurte donc de plein fouet le RGDP entré en vigueur deux mois plus tard.

"Une ingérence juridique jamais vue"

Le RGDP avait en effet été adopté par le Parlement européen deux ans auparavant avec pour objectif de protéger la vie privée des 500 millions d'Européens. Un cadre juridique destiné aux entreprises, administrations et associations du monde entier qui collectent des informations pouvant mener à l’identification de personnes installées au sein de l’Union européenne. Pensé pour garantir la confidentialité des données personnelles notamment pour limiter l’impact des fuites ou des piratages de données personnelles, il porte en lui tout l’espoir de la liberté d'innovation. 

Mais la ratification du Cloud Act va tout remettre en cause… et déclencher les foudres du milieu de la tech française. “Tant que les entreprises françaises feront appel à des prestataires de Cloud computing d'origine américaine, elles seront confrontées au renforcement de l'ingérence de l'oncle Sam sur ces opérateurs…”  gronde Jules-Henri Gavetti, le PDG de l’entreprise d’hébergement Ikoula, dans une longue tribune aux Échos. Même son de cloche pour Yves Garagnon, Directeur général de DiliTrust (un éditeur de solutions de gouvernance et de partage de données sensibles, certifiée ISO 27001), qui appelle les entreprises à la prudence quant aux choix de leurs sous-traitants. “L’arrivée du Cloud Act qui, de l’avis de tous les experts, constitue une ingérence juridique jamais vue, est une menace pour le secret des affaires de toute entreprise tricolore contractant avec un prestataire américain” prévient le spécialiste dans les colonnes de l’Opinion.

Avec ce texte, les Etats-Unis se sont offert un sésame (pour ne pas dire un permis officiel ?) d’espionnage. Une ingérence que Jean-Christophe Lagarde, député centriste, a également dénoncé dans une question posée au gouvernement et notamment à Mounir Mahjoubi. La situation qui dépasse largement le seul cadre des données personnelles est alarmante car elle expose le monde entier à des risques d’espionnage industriel mais aussi des risques pour la  sécurité nationale et la propriété intellectuelle. Pour Servane Augier et Olivier Iteanu, deux représentants d’Hexatrust, une association qui regroupe les acteurs français de la cybersécurité, “la solution est simple”. Il faut « se tourner vers les nombreux acteurs offrant des alternatives souveraines, c’est-à-dire non seulement implantées en France, mais aussi et surtout de droit français ». Patriotisme pour patriotisme…

Leila Ackerman – juriste d'entreprise