Cloud Act vs RGPD

Relatives à la protection des données, RGPD, Cloud Act et California Consumer Privacy Act, sont des lois dont les buts divergent. Entre surveillance et protection des données, où peut-on se tourner pour héberger nos données en toute sécurité ?

0

RGPD, CLOUD Act, California Consumer Privacy Act, 2018 se présentent comme le berceau des lois relatives à la protection des données. Pour autant toutes ne vont pas dans le même sens et c’est ainsi que naissent des frictions.

Explication sur le contenu de ces normes et leurs désaccords.

Le patriot Act, en mal de défense nationale ?

Le PATRIOT Act, prédécesseur du CLOUD Act divise. Éclaircissements sur cet acte aujourd’hui souvent controversé.

Patriot act

PATRIOT ACT : Acronyme de « Uniting and Strengthening America by Providing Appropriate Tools Requires to Intercept and Obstruct Terrorism Act » traduisez « Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme »).

 

 

Durée patriot act

Cette loi a été adoptée sous la présidence de G. Bush par le Congrès Américain après les attentats du 11 septembre 2001. Si elle devait, dans un premier temps, être une loi d’exception et ne durer que 4 ans, la réalité fut différente.

En effet, elle est toujours en vigueur aujourd’hui (après deux renouvellements respectivement en 2006 et 2011) et certaines de ses dispositions ont été rendues permanentes.

 

Temporaire vous dites ?

Pourquoi ce PATRIOT Act ?

 

Loi antiterroriste Américain

La finalité était pour les Etats-Unis d’Amérique de se doter d’une loi antiterroriste en vue de garantir une meilleure défense nationale.

Mais comment ? En permettant aux administrations gouvernementales Américaines (le FBI en tête mais non sans reste la CIA, la NSA, l’armée…) d’obtenir des pouvoirs renforcés afin qu’elles puissent lutter de manière plus efficace contre le terrorisme.

En d’autres termes, cette loi, c’est la possibilité d’obtenir pour ces administrations Américaines, sans autorisation judiciaire préalable ni mandat et sans consentement ni même information des utilisateurs concernés, leurs données informatiques, communications (téléphoniques, internet…) et autres types d’informations.

Les critiques du Patriot Act

 

 

 

limite patriot act

 

En application de cette loi, ce droit ne peut être qu’utilisé en vue de garantir la défense nationale.

Oui mais

A toute bonne intension ses dérives.

C’est ainsi que cet acte a pu permettre en pratique, aux organisations Américaines, de « justifier » la surveillance qu’elles avaient mise en place sur  le comportement de personnes Américaines (mais pas que, voir le programme PRISM).

En outre, cette loi est décriée par les organisations de défense des Droits de l’Homme car elle peut être une véritable atteinte aux droits des libertés.

Pour en savoir plus sur le scandale d’espionnage de la NSA (podcast).

critique patriot act

Quid lorsque la défense nationale n’est pas en question ?

La naissance du CLOUD Act ou une absence de protection exacerbée ?

Cloud act

Comme équivalent à notre Code pénal et Code de Procédure pénale, les Etats-Unis sont les titulaires du Titre 18 du United States Code (codification du Droit Américain fédéral, il comprend plusieurs titres relatifs aux différentes branches du Droit). Ce titre comprend un chapitre intitulé « Stored wire and electronic communications and transactional records access » (pour les plus curieux, il s’agit du chapitre 121) relatif largement à la protection des données.

Ce texte n’a pas semblé suffisant puisque a été adopté le CLOUD Act.

CLOUD Act : Acronyme de « Clarifying Lawful Overseas Use of Data Act » traduisez « clarification de l’utilisation légale des données hébergées à l’étranger ».

Pourquoi ce CLOUD Act?

 

Warrant case

 

 

 

 

RGPD

 

1. Dans un premier temps, parce que la rédaction du chapitre 121 n’a pas permis d’échapper à la naissance de litiges. Est en effet née la très connue Warrant case (cette affaire qui oppose Microsoft et le gouvernement des Etats-Unis). Les Etats-Unis ont donc souhaité se doter d’un texte plus fort.

2. Mais, ce n’est pas tout. Le RGPD semble également avoir joué son rôle dans l’élaboration de cette loi. Intéressons-nous à la toile de fond de l’adoption de cette loi :

  • La date d’adoption : un mois avant l’entrée en vigueur du RGPD (avril 2018). Coïncidence ?
  • Les modalités d’adoption : cette loi a été adoptée en toute discrétion. Elle est encapsulée dans une loi bien plus vaste (quelques 2232 pages) qu’est la loi budgétaire des Etats-Unis de 2018. Or, cette dernière est très sensible et son défaut d’adoption entraine de lourdes conséquences sur l’administration Américaine. Il est un euphémisme que de dire que les pressions politiques ont donc eu un pouvoir considérable en la matière.

De plus, ce texte d’une trentaine de pages n’a fait l’objet d’aucun contrôle renforcé. Étonnant au vu de ce dont il est question…

Le point de friction : le sort des données situées hors du territoire Américain

Le traitement International du transfert de données est réalisé par le biais d’accord négociés entre États. Ces accords prennent le nom de MLAT (acronyme de Mutual Legal Assistant Treaty). Selon ces accords, le transfert de données entre États peut se faire après validation par un juge de la requête prévoyant le transfert.

 

Mais le CLOUD Act ne le voit pas de cet œil…

Le transfert des données vu par le CLOUD Act

Contenu du CLOUD Act :

 

 

contenu cloud act

Cet acte dispose que « tout opérateur ou fournisseur de services en ligne doit se conformer aux obligations (…) pour préserver, sauvegarder ou communiquer les contenus de communications électroniques et tous enregistrements et informations relatives à un client ou abonné dont ils sont en possession où dont ils ont la garde ou le contrôle, quel que soit le lieu où ces communications, enregistrements et informations sont localisés à l’intérieur ou à l’extérieur des Etats-Unis»

Que comprendre de cette disposition ?

Les sociétés Américaines doivent, sans considération du lieu où elles sont stockées, communiquer aux autorités Américaines les données en leur possession dès lors qu’il y a un besoin « crédible » et « justifiable » dans le cadre d’une enquête pénale.

Une limite à la collecte ?

 

cloud act extraterritorialité

Si une existe, elle n’est pas territoriale. En effet, sont visées les sociétés Américaines ce qui rend cette loi extraterritoriale.

Nota bene : au sens de la loi Américaine, une société est toute société incorporée aux États-Unis OU toute société contrôlée par elle.

Tout le monde est concerné.

Existe-il une échappatoire ?

 

limite cloud act

Il y a la possibilité de refuser le transfert pour les entreprises en cours de procédure judiciaire si :

  • le consommateur en question ne réside pas aux USA et,
  • si le transfert obligerait le fournisseur à enfreindre les règlementations du pays hébergeant les données. Dans ce cas, une motion doit être déposée.

Pour les plus désireux, rendez-vous sur le texte du CLOUD Act.

Les visions divergentes sur le CLOUD Act

 

 

pour cloud act

 

Les pours : rien de bien étonnant que ce CLOUD Act soit plébiscité par Oath et 4 des 5 GAFAM (Google, Apple, Facebook et Microsoft). En effet, selon eux, et contrairement à tout ce que les spécialistes s’accordent à dire, ce CLOUD Act permettrait une protection plus importante des consommateurs.

A ce titre, Brad Smith (président et chief legal officer de Microsoft) a pu dire le 21 mars dernier que cette loi était un « bon compromis » qui allait permettre de « défendre les droits à la vie privée de nos clients partout dans le monde ».

Mais comment justifient-ils une telle position ? Par l’affirmation d’une meilleure information. Toujours selon eux, la possibilité de transférer les données aux agences de surveillance Américaines – peu important la localisation de cette donnée – permettrait de renforcer la vie privée des consommateurs.

A voir …

 

contre cloud act

 

 

Les contres : le problème majeur est celui de l’ingérence des autorités Américaines. C’est pourquoi la grande majorité des têtes pensantes s’opposent à cet acte trop intrusif.

La protection des données vue par le RGPD

L’article 48 du RGPD dispose que « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international […] ».

Protection des données RGPD

En application de cet article, seul un accord International peut légitimer le transfert de données de citoyens Européens sur un territoire non Européen.

Quid d’un tel accord avec les Etats-Unis ?

privcay shield

A l’heure actuelle c’est le Privacy Shield qui gère les rapports Europe / USA quant au transfert des données. Les évènements à venir diront comment s’articulent l’ensemble de ces actes.

 

Nota bene : la commission des libertés civiles (LIBE) du Parlement européen a considéré que le Privacy Shield  n’accorde pas une protection suffisante. Elle a donc adopté un projet de résolution visant la suspension de l’accord dans le cas dans lequel des défaillances persisteraient après le 1er septembre 2018.

Un cloud Européen : la solution ?

cloud européen

Il est essentiel de bien choisir ses sous-traitants et de savoir où sont hébergées vos données. C’est pourquoi les théoriciens comme les praticiens recommandent aujourd’hui de se tourner vers un cloud Européen.

Affaire à suivre.

More

Comment

Your email address will not be published.