TOOLinux

Le journal du Libre

CLOUD Act face au RGPD : quel avenir pour la protection des données en Europe

vendredi 25 octobre 2019

L’apparition d’une nouvelle législation concernant le stockage et la gestion des données sur le sol américain, le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), a largement transformé les dynamiques commerciales pour les sociétés bi-continentales ou sous-traitant d’un côté ou de l’autre de l’Atlantique. Cette règlementation apparue en début d’année touche l’ensemble des entreprises et types de données.

Cette redéfinition des enjeux économiques, légaux et infrastructurels conduisent les entreprises dans des contextes particulièrement complexes. Comment concilier la récente législation RGPD et le CLOUD Act portant sur les mêmes domaines mais allant souvent l’une à l’encontre de l’autre et forçant à des comportements schizophréniques et une irrémédiable fragilité des entreprises dans la protection de leurs données ?

Au regard du CLOUD Act, les entreprises américaines qui traitent des données à l’étranger sont soumises à la loi américaine. L’objectif est de supprimer toutes les frontières afin qu’on ne considère plus l’endroit où les données sont traitées ou stockées : à l’intérieur ou en dehors du Cloud, aux États-Unis ou ailleurs. Ce qui s’impose comme prérogative, c’est qu’elles appartiennent à une entreprise américaine qui doit soutenir les autorités américaines dans tous les aspects de leur travail, y compris les enquêtes criminelles.

Cependant, quels sont les réels enjeux pour une entreprise faisant face à la dualité des législations sur les protections des données ?

Les problèmes sont multiples

Tout d’abord, une possible contradiction dans les obligations légales dont le non-respect des règles entrainerait amendes et sanctions pour les entreprises.
Une différence de perception vis-à-vis des règles. En effet, si la protection des données dans la règlementation européenne est considérée comme une part du droit fondamental à l’auto-détermination, la vision américaine la place comme partie intégrante de la protection client et donc des lois commerciales.
De plus, il est crucial de connaître les droits d’accès aux données des différents acteurs légaux et publics. Un flou juridique pourrait rapidement apparaître, au regard des différentes natures de relations possibles entre entreprise, gouvernement, client et sous-traitant.

Par ailleurs, le CLOUD Act n’impose aucune protection particulière des données, laissant à la discrétion des entreprises le soin de définir leur seuil de sécurité. Il est donc parfaitement envisageable (bien que peu probable) que par souci d’économie, une entreprise décide de ne pas protéger ses données et expose ainsi les informations de ses clients ou employés.

Pour les entreprises, plusieurs scénarios sont à envisager en fonction de leur lien avec l’entreprise américaine :

- Pour les filiales européennes de groupes enregistrés aux Etats-Unis, aucune objection n’est possible. Leur société parente étant concernée par la loi américaine, elles deviennent de fait elles aussi sujettes à cette législation. Ainsi, les autorités gouvernementales auront toute liberté dans l’accès et le contrôle des données produites et stockées par le groupe.
- Pour les entreprises européennes disposant d’une filiale aux Etats-Unis, la règlementation RGPD serait invocable en cas de demande de la part des autorités. Cependant, il est très vivement conseillé de préciser les conditions d’hébergement afin de pouvoir se protéger en cas de recours. De plus, il est envisageable que le gouvernement américain décide de faire pression sur la filiale présente sur son territoire. A noter que dans ce cas de figure, s’il s’agit de données privées, le gouvernement n’a pas de légitimité d’action.
- Pour les entreprises européennes faisant appel à un sous-traitant ou un fournisseur de services américain, les données manipulées par cet acteur tiers tombent sous le coup de la juridiction américaine. Néanmoins, conformément au contrat, le sous-traitant devra en avertir ses clients.
- Pour les particuliers européens disposant de services Cloud ou de stockage fournis par une entreprise américaine ou basée aux Etats-Unis, il est important de réfléchir sur les raisons de stockage outre-Atlantique et si leur nécessité vaut vraiment le risque de perdre le contrôle de leurs propres données.

Enfin, en cas de rachat d’un fournisseur de Cloud européen par une entreprise américaine souhaitant délocaliser ses données, l’entreprise devra en avertir les clients concernés et leur proposer de déplacer ou supprimer leurs données avant la migration globale.

En complément, le CLOUD Act propose des accords bilatéraux amenant des pays à intégrer ses directives dans leurs applications sans avoir à consulter les lois locales. Visant des objectifs de sécurité et de partage de données criminelles comme pourrait le faire Interpol, il s’agit néanmoins de l’introduction d’une législation étrangère outrepassant les lois locales, basée sur le volontariat.

Jusqu’à présent, aucune des tentatives d’accord entre les deux législations n’a porté ses fruits, des concessions dans les mesures du RGPD étant inconcevables. Cependant, le CLOUD Act prévoit des possibilités d’amendements visant à accorder plus de flexibilité allant dans le sens du RGPD, bien qu’aucun accord ou négociation ne soit encore envisagé aujourd’hui.

Si une cohabitation inter-législations sera nécessaire, elle n’en demeure pas moins mal engagée, tant les règlementations semblent campées sur leurs positions mais surtout ancrées dans des perspectives de protection des données extrêmement différentes. Il s’agira donc, et avant tout, de réconcilier des visions de l’individualité et ses droits propres, sous peine de voir tomber le nouveau et le vieux continent dans un mutisme économique et législatif.

- Achim WEISS, Directeur Général de 1&1 IONOS