Retour à la liste des actualités

Impacts possibles et envisageables du Cloud Act

Publié le mercredi 30 mai 2018

Cloud Act

Depuis fin Mars, le Président des Etats Unis Donald Trump a ratifié une nouvelle loi d’ampleur internationale – le « Cloud Act » (Clarifying Lawful Overseas Use of Data Act). Le « Cloud Act » permettra de couvrir les domaines non couverts actuellement par le « Patriot Act » et de fait va renforcer les pouvoirs des agences américaines en charge de la surveillance des personnes et des sociétés. Ces agences pourront, en toutes légitimité, sur réquisition, demander aux sociétés américaines tel que les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) d’avoir accès à l’ensemble des données personnelles et des données du patrimoine des sociétés étrangères, où qu’elles soient situées.

 

L’impact est pour le moins conséquent pour les sociétés Européennes et notamment Françaises du fait de l’application du RGPD (Règlement Général sur la Protection des Données – no 2016/679) depuis le 25 mai 2018 et la future loi du « secret des affaires » en cours de transposition de la Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites. En effet, l’utilisation quasiment implicite de solutions exclusivement américaines en mode SaaS et solutions de DataCenter en mode Cloud Computing (Privée, hybride, comme public) par nos organismes aussi bien publics, que privées les mettent en situation de non-conformité.
L’article 48 du RGPD est explicite « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre« . Cet accord international n’étant pas encore élaboré, ni prévu, il devient difficilement tenable à une société utilisant les services des prestataires du Cloud Computing d’origine américaine de se retrancher derrière le fait que les données ont été divulguées, du fait de l’ingérence des Etats Unis s’appuyant sur le « cloud act » est avéré.

 

Une des solutions envisageables n’est elle pas de confier ces données à un prestataire français, ou à tout le moins européen, stipulant exclusivement que les données sont hébergées en France. Ainsi seule la loi Française et Européenne s’appliquerait évitant de fait des risques financiers et de perte d’image de marque très importants conséquences du non respect de la législation.

 

Philippe Buffon – DPO Group / Expert GDPR Groupe- Alter Privacy Solutions

 

Partager :