L’association Hexatrust qui regroupe les acteurs français spécialisés dans la cybersécurité, ne croit pas que les grands fournisseurs de services cloud étasuniens tels Microsoft ou Amazon puissent un jour se mettre en conformité avec le RGPD, le règlement européen pour la protection des données personnelles qui s’applique à partir d’aujourd’hui. C’est ce qu’expliquent en substance deux de ses administrateurs, Servane Augier et Olivier Iteanu, respectivement directrice du développement d’Outscale et président d’Iteanu Avocats, dans une tribune publiée le 22 mai.
La faute au Cloud Act (Clarifying Lawful Overseas Use of Data Act), cette loi promulguée le 23 mars dernier aux USA qui permet à l’administration américaine de réquisitionner les données de ressortissants non américains stockées ou transitant à l’étranger dès lors que ces données sont hébergées par des cloud providers américains. Ces données peuvent être transmises sans que les utilisateurs en soient informés et sans qu’il soit nécessaire de passer par les tribunaux, précisent Servane Augier et Olivier Iteanu.
L’administration américaine peut donc invoquer le Cloud Act pour obliger les entreprises américaines à fournir les données de leurs utilisateurs stockées à l’étranger. C’est ce que vient de faire avec succès le Département de la Justice américain dans l’affaire qui l’oppose à Microsoft concernant l’exploitation du contenu d’une boîte email d’un utilisateur en Irlande. Alors que Microsoft s’était toujours opposé jusque-là à transmettre ces données, il vient de donner un accueil favorable à la requête du Département de la Justice américain.
Pour Servane Augier et Olivier Iteanu, cette loi va à l’encontre de certaine dispositions du RGPD, notamment de ses articles 44 et suivants et spécialement l’article 48 sur les « Transferts ou divulgations non autorisés par le droit de l’Union » qui dispose que « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international […] ».
Et si le Cloud Act prévoit des recours possibles, ils sont ouverts exclusivement aux prestataires (opérateurs et fournisseurs de services en ligne), pas aux utilisateurs. Ce qui entre là encore en contradiction avec la philosophie du RGPD, explique Olivier Itéanu.
« Dans un contexte grandissant de protection des données personnelles et de promotion d’un Cloud de confiance européen, le Cloud Act marque un retour en arrière et une forme d’ingérence numérique que nul ne peut désormais ignorer, écrivent Servane Augier et Olivier Iteanu. Cette situation est alarmante et dénoncée par de nombreuses organisations comme Electronic Frontier Foundation, American Civil Liberties Union, Amnesty International et Human Rights Watch6. Elle entraine des risques liés à l’Espionnage industriel, la sécurité nationale, la propriété intellectuelle, la protection des données personnelles et doit donc être connue du grand public et des utilisateurs. Dans ce contexte, le stockage comme brique essentielle de la maitrise de la chaine de confiance de la donnée ne peut pas être aveuglément laissé à des acteurs soumis à des législations en contradiction avec les lois et valeurs européennes ». Et de conclure : « La solution est simple, se tourner vers les nombreux acteurs offrant des alternatives souveraines, c’est-à-dire non seulement implantées en France, mais aussi et surtout de droit français. »