Les conséquences du Cloud Act pour la sécurité des données hébergées en Europe

Les conséquences du Cloud Act pour la sécurité des données hébergées en Europe

Adopté discrètement en mars 2018, le Cloud Act autorise l'administration américaine à accéder à vos données numériques partout dans le monde, dès lors que l'entreprise qui les stocke relève de la juridiction US (ex : un compte Microsoft hébergé sur un serveur en Irlande). Cette mesure contredit la récente RGPD européenne. Sellsy étant un logiciel SAAS 100% made in France, vos données d'entreprise sont sécurisées et inaccessibles aux autorités de pays tiers.

 

Qu'est-ce que le Cloud Act ?

La Clarifying Lawful Overseas Use of Data Act (Acte de clarification légale de l'utilisation de données à l'étranger), ou Cloud Act, permet aux autorités états-uniennes d'accéder aux données numériques de toutes les entreprises relevant de la juridiction américaine, même si elles se trouvent hors des USA.

C'est dans l'indifférence générale que cette loi a été votée par le Congrès américain et promulguée le 23 mars 2018 dans le cadre de la loi de finances. Le Cloud Act complète le Patriot Act, entré en vigueur suite aux attentats du 11 septembre 2001 pour contrer la menace terroriste.

 

Jurisprudence : l'affaire Microsoft en Irlande

Avant le Cloud Act, une entreprise américaine ayant des filiales à l'étranger n'était pas tenue de fournir à l'administration judiciaire les informations personnelles de ses usagers si celles-ci étaient stockées hors du territoire US.

Ainsi, depuis décembre 2013, une affaire oppose l’État américain à Microsoft. La firme refuse de fournir aux autorités états-uniennes les e-mails d'un trafiquant de drogue présumé. En effet, ces courriels sont stockés sur des serveurs irlandais. Mais depuis la promulgation du Cloud Act, Microsoft a dû céder.

 

Risque d'ingérence des États-Unis ?

Le Cloud Act contredit le RGPD (Règlement Général sur la Protection des Données) en vigueur dans toute l'Europe depuis le 25 mai 2018. En particulier l'article 48 sur les transferts ou divulgations non autorisés par le droit de l'Union :

« Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international ».

Pour les entreprises hexagonales relevant de la justice américaine, le Cloud Act annule purement et simplement la loi RGPD. Un sacré gâchis quand on connaît les investissements engagés pour se mettre en conformité.

 

Avec Sellsy, vos données sont hors de portée du Cloud Act

Sellsy stocke vos données personnelles sur ses propres serveurs, dans un data center sécurisé à Paris. Cela signifie que la seule autorité habilitée à nous les réclamer dans le cadre d'une enquête judiciaire est l'administration française. En aucun cas le gouvernement américain ne peut nous obliger à divulguer vos données, car le Cloud Act ne concerne que les entreprises américaines (ex: Google Cloud, DropBox, Amazon, Facebook, etc.).

À lire aussi : La tribune d'Alain Mevellec (co-fondateur de Sellsy) sur la menace du Cloud Act

 

Télécharger le guide RGPD Sellsy