Le CLOUD Act voté aux USA et le RGPD actif en Europe

Le par  |  23 commentaire(s)
RGPD

Le congrès américain a voté le CLOUD Act alors que le RGPD est entré en vigueur ce 25 mai en Europe, entraînant de nombreuses incertitudes sur l’utilisation de nos données. Explications.

Tribune libre par Servane AUGIER, Directrice du développement OUTSCALE, Administrateur HEXATRUST

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi votée par le Congrès américain afin de faciliter l'obtention pour l'administration américaine de données stockées ou transitant à l'étranger, via notamment les opérateurs et fournisseurs de services en ligne.

Le CLOUD Act a été joint au projet de loi sur le budget fédéral (le Consolidated Appropriations Act, 2018) et adopté sans examen spécifique (c'est-à-dire directement intégré dans le texte de la loi de finances), avant d'être promulgué le 23 mars 2018.

Le Département de la Justice, dans l'affaire qui l'oppose à Microsoft concernant l'exploitation du contenu d'une boîte email d'un utilisateur en Irlande, a invoqué l'adoption du CLOUD Act pour réquisitionner de fait ces données. Cette décision inédite, qui oblige désormais les entreprises américaines à fournir les données de leurs utilisateurs stockées à l'étranger a reçu un accueil favorable chez Microsoft, comme chez d'autres géants du web, qui se sont tous réjouis de l'avènement d'un tel paradigme législatif.

Le CLOUD Act entre ainsi en contradiction avec les dispositions du RGPD  en Europe (Règlement Général sur la Protection des Données, règlement UE 2016/679), notamment les articles 44 et suivants et spécialement l'article 48 sur les « Transferts ou divulgations non autorisés par le droit de l'Union » qui dispose que « Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international […] ».

EU-RGPD-2018

Notre position
Dans un contexte grandissant de protection des données personnelles et de la promotion d'un Cloud de Confiance européen, le CLOUD Act marque un retour en arrière et une forme d'ingérence numérique que nul ne peut désormais ignorer.

En effet, le CLOUD Act donne la possibilité à une puissance étrangère, en l'occurrence les Etats-Unis d'Amérique, d'accéder aux données dès lors qu'elles sont hébergées par des Cloud Providers américains, sans que les utilisateurs en soient informés, quand bien même ces données seraient stockées en France ou concerneraient un ressortissant européen, et ce sans passer par les tribunaux.

Cette situation est alarmante et dénoncée par de nombreuses organisations comme Electronic Frontier Foundation, American Civil Liberties Union, Amnesty International et Human Rights Watch6. Elle entraîne des risques liés à l'espionnage industriel, la sécurité nationale, la propriété intellectuelle, la protection des données personnelles et doit donc être connue du grand public et des utilisateurs.

Dans ce cadre, le stockage comme brique essentielle de la maitrise de la chaine de confiance de la donnée ne peut pas être aveuglément laissé à des acteurs soumis à des législations en contradiction avec les lois et valeurs européennes. La solution est simple, se tourner vers les nombreux acteurs offrant des alternatives souveraines, c'est-à-dire non seulement implantées en France, mais aussi et surtout de droit français.

Ces acteurs, cloud providers, éditeurs, conseils, intégrateurs, apportent un état de l'art dans leurs métiers et présentent un très haut niveau d'expertise certifiés par l'ISO 27001:2013, ou par des qualifications en cours auprès de l'ANSSI (SecNumCloud).

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2015245
Go Go Go NAS

Fuck Cloud
Le #2015247
Mais c'est une loi ENORME !
Donc, un français a sa boîte mail chez GMail, hébergé physiquement en Irlande, peut se faire légalement aspirer ses données sur réquisition de l'administration américaine, et ce sans que personne ne soit mis au courant. Nice !
Le #2015250
Ct déjà le cas ils ont juste légalisés la chose
Le #2015251
merci trump

Le #2015257
Purée ça va se terminer comment ?

"Le CLOUD Act entre ainsi en contradiction avec les dispositions du RGPD en Europe (Règlement Général sur la Protection des Données, règlement UE 2016/679), notamment les articles 44 et suivants et spécialement l'article 48 sur les « Transferts ou divulgations non autorisés par le droit de l'Union » qui dispose que « Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international […] »."

Qui va être compétent ? quels tribunaux ?

Je m'envoie l'article au boulot pour le publier en interne ...
Le #2015288
A mon avis la RGPD est arrivé en prévision du Cloud ACT,

a suivre
Le #2015290
X3n0 a écrit :

A mon avis la RGPD est arrivé en prévision du Cloud ACT,

a suivre


Ou même bien le contraire
Le #2015293
c'est possible,
mais vu l’agressivité en général des USA de vouloir s'approprier de façon maladive toutes informations sur les individus, j'en doute.
Le #2015296
X3n0 a écrit :

c'est possible,
mais vu l’agressivité en général des USA de vouloir s'approprier de façon maladive toutes informations sur les individus, j'en doute.


Bref il va falloir régler ce problème et vite !!

Mettez vos couilles sur la table les européens !
Le #2015300
L'europe perdra face à Trump car ce dernier préfère l'épreuve de force à la négociation. Il n'a pas peur des dommages collatéraux ni d'un embrasement pour conserver la suprématie des USA.
Suivre les commentaires
Poster un commentaire
Anonyme