Cloud Act : comment protéger les données européennes (et notamment française) ?

Cloud Act : comment protéger les données européennes (et notamment française) ?
À la Une

La loi américaine dite « Cloud Act » permet aux autorités de récupérer des données hébergées par des entreprises américaines, même à l’étranger. Le gouvernement français, dans une réponse à une question à l’Assemblée, vient de préciser les mesures envisagées pour protéger les données des citoyens et, surtout, les données sensibles européennes et françaises. Sans se faire d’illusion : les Français continueront d’utiliser Google et Facebook…

Le « Clarifying Lawful Overseas Use of Data Act » (ou « Cloud Act, en français « loi clarifiant l’utilisation légale des données à l’étranger ») est entré en vigueur aux Etats-Unis, et il inquiète les parlementaire français.

Cloud Act : un risque d’ « ingérence numérique »

En effet, cette loi permet aux autorités américaines, en cas de mandat ou d’assignation de justice, d’accéder aux données collectées par des entreprises américaines, y compris concernant des étrangers, y compris situées sur des serveurs à l’étranger.

Un député a ainsi adressé une question au gouvernement français, pointant un risque réel d’ « ingérence numérique ». L’exécutif lui a répondu. D’abord en évoquant les simples citoyens. Pour eux, à part des campagnes de sensibilisation et les effets du RGPD, difficile pour le gouvernement de faire quoi que ce soit.

Difficile de contraindre les citoyens à ne pas livrer leurs données aux GAFA…

Un citoyen est en effet parfaitement libre de s’inscrire sur Facebook, d’utiliser Google, de commander sur Amazon… Le gouvernement ne peut s’y opposer. Le RGPD s’assure que chaque internaute européen donne bien explicitement son accord à toute collecte de données. L’exécutif peut également faire de la pédagogie pour expliquer que l’ensemble de ces données pourront, en cas de demande de la justice, être récupérée par les autorités américaines.

Mais impossible d’empêcher les particuliers de livrer leurs données aux Etats-Unis. A moins, bien entendu, de pouvoir proposer des champions européens de l’Internet avec des alternatives viables à Facebook ou Google. Cette émergence de GAFA made in Europe est bien évidemment souhaitable, mais ce vieux serpent de mer ne deviendra pas une réalité à court terme. Ni même à moyen terme. Ce qui constituera toujours une épine dans le pied des tenants d’une gouvernance numérique européenne (ou nationale).

Protéger les données commerciales, financières et techniques de la France

En revanche, le gouvernement a mis en avant sa vigilance accrue concernant les informations sensibles, notamment d’ordre commercial ou financier. Celles que peuvent s’échanger des entreprises ou des particuliers bien informés. Sachant que le cadre juridique américain est beaucoup plus laxiste que celui de l’Union, une attention toute particulière est requise pour protéger ce type d’informations.

En conséquent, l’exécutif va mettre à jour un texte de loi de 1968 relatif à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères. Le but : « garantir une protection efficace des informations sensibles de la nation face aux nouveaux risques combinés liés au numérique et à l’extraterritorialité ».

« e-evicence » : un pendant européen du « Cloud Act »

Le gouvernement en profite pour rappeler qu’il déploie une stratégie de protection des informations de ses administrations situées dans le cloud, avec plusieurs degrés en fonction des besoins. Il veut également se montrer le plus ferme possible dans le respect, par toutes les entreprises françaises, des principes du RGPD.

Dernier levier d’action : le futur règlement « e-evidence », en cours de constitution, qui sera un pendant européen au « Cloud Act ». Il posera le cadre juridique dans lequel les autorités judiciaires pourront accéder (ou pas) à des données situées dans des serveurs d’entreprises européennes, ou situés en Europe.

Ce règlement ouvrira en effet la porte à la mise en place « d’un accord bilatéral UE-États-Unis équilibré, protégeant les données des citoyens et des entreprises de chaque partie ». Mais, en attendant, la vigilance est, plus que jamais, de mise.

Leave a Reply

You must be logged in to post a comment.