Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi mise en place par Donald Trump permettant aux autorités judiciaires d’avoir accès aux données confidentielles. Ces dernières sont généralement sauvegardées par les entreprises basées aux Etats Unis, dans le cadre de procédures pénales.
Retrouvez, dans cet article, tout ce que vous devez savoir sur le Cloud Act.
Le Cloud Act : qu’est-ce que c’est ?
Le Cloud Act est un ensemble de lois mises en place en 2018 par Donald Trump, l’ex-président des États-Unis. Ce nom est en fait l’abréviation de “Clarifyng Lawful Overseas Use of Data Act”. Ces obligations concernent notamment les fournisseurs de services de cloud computing.
Le Cloud Act s’applique généralement à tous les opérateurs relevant de la juridiction américaine. En d’autres termes, il s’agit des opérateurs ayant des activités basées aux États-Unis. De ce fait, un grand nombre d’entre eux sont soumis à ces réglementations, même s’ils ne sont pas américains.
Un petit aperçu sur l’histoire du Cloud Act
Les travaux préparatoires du CLOUD Act sont en cours d’exécution depuis 2013, et ce dans le cadre d’une enquête criminelle sur la consommation et la commercialisation des drogues. L’organisation du FBI a émis un mandat SCA pour obtenir les courriels qu’un hébergeur américain avait sauvegardés sur l’un des serveurs distants de Microsoft, basé en Irlande.
En 1986, le Cloud Act a modifié le Stored Communications Act (SCA) pour permettre à la justice américaine d’accéder aux données hébergées sur le territoire nord-américain. L’objectif est de renforcer la capacité des juges à enquêter au-delà des frontières géographiques. Cette évolution de la loi américaine a fait suite à un litige qui concerne les données à caractère personnel hébergées en Irlande. En effet, dans l’Union européenne et particulièrement en France, il a suscité des interrogations à propos de la protection de la vie privée des citoyens américains, de la sécurisation des données confidentielles des entreprises françaises et de la souveraineté digitale des Etats membres.
Les enjeux de la mise en place de de Cloud Act
Les entreprises américaines qui appliquent la loi de Cloud Act peuvent faire face à plusieurs enjeux. On vous en cite quelques-uns.
La fuite des données sensibles
Avec le Cloud Act, la confidentialité des données stockées par les prestataires américains n’est plus vraiment garantie. Ceci a renforcé les inquiétudes des hébergeurs américains qui ont l’habitude de transmettre des données sensibles aux autorités américaines sans informer leurs propriétaires, qu’ils soient des personnes morales ou physiques.
Dans la plupart des cas, les condamnations et les poursuites prononcées sont disproportionnées. Il y aurait, alors, une véritable volonté des États-Unis de favoriser les entreprises américaines dans le but de mieux asseoir leur souveraineté dans le monde.
La perte de confiance du public
Les dernières statistiques ont montré que les entreprises européennes sont de plus en plus soucieuses de la sécurisation de leurs données sensibles. Au début des années 2000, on a enregistré plus de 4 000 plaintes à la CNIL chaque année en France.
En 2020, les études ont montré que plus de 14 000 plaintes ont été déposées auprès de l’institution suite à l’entrée en vigueur du RGPD. En outre, d’après l’enquête de l’IFOP effectuée en avril 2019, 8 citoyens français sur 10 se disent préoccupés par la sécurisation de leurs données personnelles.
Toutes ces statistiques montrent que les entreprises veulent gagner la confiance de leurs publics. C’est pourquoi, elles doivent prendre les mesures nécessaires pour protéger efficacement leurs données.
Quelles sont les entreprises concernées par le Cloud Act ?
Seules les sociétés qui sont américaines et soumises aux droits appliqués aux États-Unis sont concernées par le Cloud Act. On peut, à titre d’exemple, citer Google, Microsoft, Facebook et bien d’autres entreprises. En d’autres mots, il concerne toutes les entreprises et tous les prestataires d’hébergement basés dans les Etats Unis ou ayant une nationalité américaine et basés dans n’importe quel autre pays du monde. Ces entreprises répondent donc au Cloud Act et non aux législations de protection de données de leur pays.