Cloud Act : les Etats-Unis donnent un cadre légal à la saisie de données hébergées à l’étranger

#Réglementation 28.03.2018 3min

Le texte aurait pu passer inaperçu. Intercalé au milieu des 2232 pages de la loi de finance américaine votée par le Congrès et signée par Donald Trump en mars. Pourtant le Cloud Act, salué par les acteurs de l’IT comme Microsoft, a bien été repéré par les associations de défense des libertés civiles. Ces dernières s’inquiètent de l’impact de ce nouveau texte sur notre vie privée.

Le Cloud Act (Clarifying Lawful Overseas Use of Data) donne un cadre légal à la saisie d’emails par des agences gouvernementales ou des forces de polices en dehors des frontières des Etats-Unis. Les nouvelles dispositions votées par le Congrès doivent clarifier les règles concernant l’extraterritorialité des mandats américains vis-à-vis des données hébergées dans des data centers de sociétés américaines à l’étranger.

Une décision motivée par le conflit entre Microsoft et le gouvernement américain

Le vote du Cloud Act a notamment été motivé par l’affaire opposant Microsoft aux autorités américaines. En 2013, la justice a demandé, via un mandat, au géant technologique de lui fournir le contenu des emails d’une personne impliquée dans une enquête pour trafic de drogue. Microsoft a refusé, mettant en avant que ces données étaient stockées en Irlande. Motif invoqué par Microsoft : le mandat ne s’applique pas en dehors des Etats-Unis.

Pour plusieurs géants de la tech, cette nouvelle loi est une bonne nouvelle. « Le Cloud Act assure des protections appropriées pour la vie privée et les droits humains. Et cela donne aux entreprises technologiques comme Microsoft la possibilité de défendre les droits à la vie privée de nos clients partout dans le monde », a déclaré Brad Smith, directeur juridique.

Cloud Act : une menace pour la vie privée ?

Du côté des défenseurs de la vie privée, le ressenti est quelque peu différent. La loi est même perçue comme étant liberticide, notamment par l’ACLU (American Civil Liberties Union) et l’EFF (Electronic Frontier Foundation).

« Certaines entreprises technologiques ont suggéré que le Cloud Act représentait un progrès notable pour la protection des droits des consommateurs. Nous en sommes pas d’accord. Nous pensons que le Cloud Act sape la vie privée et les autres droits de l’homme, ainsi que d’importantes garanties démocratiques » ACLU

« Le Congrès a la responsabilité professionnelle d’écouter les préoccupations de cette proposition, et cette semaine, ils ont échoué […] En raison de cet échec, la police américaine et étrangère aura de nouveaux mécanismes pour saisir les données à travers le monde. En raison de cet échec, vos courriels privés, vos conversations en ligne, vos photos Facebook, Google, Flickr, vos vidéos Snapchat, vos vies privées en ligne, vos moments partagés numériquement entre ceux en qui vous avez confiance, seront ouverts aux forces de l’ordre étrangères sans mandat et avec peu de restrictions sur l’utilisation et le partage de vos informations », s’inquiète pour sa part l’EFF.

Faire le bon choix pour ses données

Cette affaire relance une fois de plus le débat de la protection des données personnelles. Et les questions liées à la localisation et l’hébergement restent centrales. En faisant appel à des prestataires américains, les entreprises européennes ne disposent pas des mêmes garanties en matière de sécurité quelles celles offertes par des prestataires locaux comme Oodrive. Pour satisfaire aux besoins de souveraineté et de confidentialité, et conformément aux règlementations en vigueur, les données des clients d’Oodrive sont hébergées en Europe. Leur sécurité est garantie par les certifications ISO 27001:2013, RGS***, Cloud Confidence et France Cybersecurity.