Le danger du Cloud Act

Liseline Cloud, Protection des données Leave a Comment

Avant d’aborder le sujet, il est nécessaire que vous compreniez bien ce qu’est le “Cloud”. C’est pourquoi je vous invite à consulter notre article https://blog.neuva.fr/article-cloud

Alors que l’Europe instaurait le RGPD pour protéger les données et la vie privée de ses citoyens, les Etats-Unis ont votés durant la même année en faveur du Cloud Act.

Cloud Act et RGPD : deux notions primordiales à comprendre

Le Cloud Act (Clarifyng Lawful Overseas Use of Data Act) c’est-à-dire, « Acte de clarification légale de l’utilisation de données à l’étranger », est une loi américaine qui permet d’installer un cadre légal permettant, en cas d’enquête des forces de l’ordre américaines, d’accéder aux données informatiques des entreprises localisées aux Etats-Unis ou à l’étranger. Ces entreprises technologiques hébergent les données personnelles de leurs clients sur des serveurs internes ou appartenant à des acteurs du cloud. 

La législation ouvre la voie à des accords bilatéraux entre deux Etats pouvant donc pérenniser ce partage de données à chaque enquête venant des autorités américaines.

Voté le 23 mars 2018, le Cloud Act  se résume par deux axes principaux :

  • les autorités américaines pourront désormais obtenir des données de communication d’une société américaine sans considération du lieu où sont stockées ces données. 
  • dans le cadre d’une enquête juridique, chaque pays peut maintenant signer des accords avec les Etats-Unis, dans le but d’obtenir ces informations sans passer par de longues procédures.

Les entreprises américaines sur leur territoire d’origine ou à l’étranger sont soumises au Cloud Act.

Mis en place dans toute l’Union en 2018, le texte du RGPD (règlement général sur la protection des données) a pour but de renforcer la protection et la confidentialité des données. L’Union Européenne souhaite :

  • fournir des services et parcours sécurisés sur le web à ses citoyens.
  • offrir une protection de qualité aux internautes et une réglementation pour les professionnels.

Il donne un droit à l’effacement des données personnelles sur demande de l’individu ayant rempli un formulaire. En définitive, il s’agit de donner plus de contrôle aux internautes sur les informations personnelles cédées aux acteurs des nouvelles technologies.

Il est important de faire le lien avec les GAFAM, mais qu’est-ce ?

GAFAM est l’acronyme des géants du Web (Google, Apple, Facebook, Amazon et Microsoft) qui sont les cinq grandes firmes américaines qui dominent le marché du numérique

Le Cloud Act permet en effet aux autorités américaines de demander à leurs entreprises technologiques, type GAFAM, de leur fournir des informations personnelles sur leurs utilisateurs, et ce, même en dehors du territoire américain. L’Europe est clairement concernée, puisque les GAFAM y sont omniprésentes. 

Le gouvernement américain peut requérir un accès à toutes les données de n’importe quel citoyen, quelle que soit sa nationalité, à partir du moment où les données de ce dernier sont stockées chez des fournisseurs de service américains, quelle que soit la localisation géographique du data center (un data center est une infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage. Cette infrastructure peut être utilisée par les entreprises pour organiser, traiter, stocker et entreposer de grandes quantités de données). De plus, le citoyen concerné n’est pas nécessairement prévenu de cette demande, et n’a donc pas de recours. 

Le 31 mars 2019, le Président de la République Emmanuel Macron a lancé un plan « intelligence artificielle » pour que la France devienne un leader dans ce domaine.

Le lancement du projet, Health Data Hub, qui est une plateforme conçue pour regrouper toutes les données de santé des Français, a eu lieu en mai 2019.

La principale inquiétude qui subsiste est liée au fait que les données seront stockées sur des serveurs de Microsoft et non sur ceux d’un fournisseur français comme OVH. Ce choix a été fait, car Microsoft est le premier géant du Cloud certifié hébergeur de données de santé. Il convient de rappeler que la loi américaine du Cloud Act autorise le gouvernement des États-Unis à forcer les hébergeurs américains à fournir les données dans le cadre d’une enquête pénale. 

Devrions-nous nous inquiéter de voir nos données santé stockées aux États-Unis ?

De nombreuses organisations européennes et françaises stockent leurs données sur des clouds Américain soumis au Cloud Act. Afin de réduire le risque d’une divulgation de ces informations précieuses, ces organisations pourraient donc les stocker sur notre territoire. En effet, le gouvernement français semble enfin prendre conscience de l’importance de cette problématique et souhaite faire de la France le premier territoire d’accueil des données. 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *