Clarifying Lawful Overseas Use of Data
Le CLOUD Act (Clarifying Lawful Overseas Use of Data), indique que les autorités américaines auront désormais le droit d’accéder, sous conditions, aux données des fournisseurs de services basés américains même si ces données sont stockées sur des serveurs à l’étranger.
Les fournisseurs américains (Microsoft en tête) se félicitent de cette loi et affirment que cette loi permet de donner un cadre légal à la saisie de données (comme des fichiers, mails) par des agences gouvernementales ou des forces de police américaines en dehors des frontières des Etats-Unis.
Donc théoriquement cela précise l’application extraterritoriale des mandats américains lorsque sont visées des données hébergées dans des centres de données appartenant à des sociétés américaines mais situés à l’étranger.
D’un autre côté des associations de défense des libertés et de la vie privée, l’avis est contraire : « Nous pensons que le Cloud Act sape la vie privée et les autres droits de l’homme, ainsi que d’importantes garanties démocratiques » a annoncé l’union des libertés civiles américaines (ACLU).
Premier constat
En premier lieu, le CLOUD Act empêche les hébergeurs américains de données (AWS, Microsoft, Google, …) de se prévaloir d’un stockage hors des USA pour éviter d’avoir à remettre des données au autorités. Ainsi le Cloud act précise « A provider of electronic communication service or remote computing service shall comply (…) regardless of wether such communication, record, or other information is located within or outside of the United States ».
Attendons de voir comment les fournisseurs Cloud et services SaaS vont adapter leur discours marketing. Microsoft, qui va donc devoir fournir les emails d’un individu stockés sur des serveurs en Irlande au Département américain de la Justice (DoJ), aura du mal à prétendre qu’ils protègent les données extraterritoriales …
La suite
Le texte indique qu’il pourra être conclu des accords avec des gouvernements étrangers pour permettre à leurs services de police de solliciter directement des données auprès des fournisseurs de services américains situés sur le territoire de l’Etat en question.
Bref si un pays signe un accord avec les USA, il pourra obtenir les données de ses ressortissants (mais pas ceux de citoyens américains, eux sont protégés) sur l’ensemble des serveurs de ce fournisseur dans le monde.
En conclusion
Les Américains votent des lois qui vont dans leurs intérêts … à court terme, car évidemment cela va poser beaucoup de questions pour les entreprises européennes.
Et les accords entre états et la jurisprudence dans les prochaines années vont générer des zones de turbulence, particulièrement en Europe dans le contexte de la RGPD.
Lire le document original du Cloud Act (page 2201) inséré au sein des 2232 pages de la loi de finances américaine 2018.