En installant leurs datacenters en France, AWS, Microsoft et consors tentent de rassurer les clients français en leur apportant toutes les garanties qu’ils attendent en termes de sécurité et de conformité RGPD. Oui mais voilà, le Congrès étasunien vient de promulguer le Cloud Act (pour Clarifying Lawful Overseas Use of Data ou, en bon français : clarification de l’utilisation légale des données à l’étranger) une nouvelle législation qui précise les règles s’appliquant aux données personnelles détenues par les entreprises étasuniennes en dehors du territoire national.
Nous avons voulu savoir quelles pouvaient être les implications de ce Cloud Act pour les clients français ayant confié leurs données à un cloud provider d’origine étasunienne comme AWS ou Microsoft. Nous avons posé la question aux entreprises précitées mais également à des experts de la protection des données et à des fournisseurs de services hébergés locaux. Si nous n’avons pas reçu de réponse de Microsoft et AWS à ce jour, plusieurs des experts (DPO Consulting) et services providers (Jaguar Network, Outscale et Nerim) que nous avons sollicités ont accepté de partager leur éclairage. Le voici.
Channelnews : Le Cloud Act, qui autorise la justice US à saisir des données hors du territoire national, est-il compatible avec l’article 48 du RGPD, qui proscrit les transferts ou divulgations de données hors de l’UE ?
Kevin Polizzi, PDG de Jaguar Network : Le Cloud Act vise à faciliter l’accès par les autorités américaines aux données stockées à l’étranger par des entreprises américaines dans le cadre exclusif d’une procédure judiciaire. Sachant que le RGPD ne protège pas les individus contre l’accès à leurs données par les autorités dans le cadre d’une enquête et que l’accès aux données s’inscrit dans le cadre d’un mécanisme de coopération judiciaire, l’Union européenne n’y voit rien à redire. D’autant que Cloud Act prévoit en retour un accès par les gouvernements étrangers aux données stockées par des entreprises américaines. L’Union européenne devait d’ailleurs présenter ce 17 avril un texte destiné profiter de cette possibilité offerte par Cloud Act pour faciliter l’accès des autorités européennes aux données stockées par les entreprises de l’UE aux USA ou les US dans l’UE.
Marine Brogli, PDG de DPO Consulting : De mon point de vue le Cloud Act est en lui-même une réponse politique au RGPD.
Tout d’abord, il faut rappeler quelque peu le contexte général de ce sujet : les difficultés d’accord sur la protection des données personnelles avec les Etats-Unis ne datent pas d’hier et sont un sujet récurrent. Les US ne sont pas considérés par la Commission Européenne comme un pays présentant un niveau de protection adéquat du point de vue des données personnelles. L’invalidation de l’accord Safe Harbor par la Cour de Justice de l’Union en octobre 2015 avait déjà mis un coup d’arrêt aux transferts de données de l’UE vers les USA. Puis le Privacy Shield avait été adopté mais vivement critiqué par le G29 et la Commission Européenne. Encore aujourd’hui, il demeure fragile et ne permet pas un transfert facile de données vers les USA. Les entreprises américaines n’ont donc pas vraiment le choix, elles sont contraintes de se conformer au RGPD et de revoir leur modèle économique. C’est pourquoi des entreprises comme Microsoft se retrouvent à annoncer l’ouverture de deux data centers en France. Les données hébergées en Europe des européens leur permettent ainsi de s’éviter un casse-tête juridique et administratif.
Par ailleurs, le RGPD était en négociation depuis 2012. Les pressions exercées par les lobbyistes ont été très importantes et ont porté leur fruit jusqu’à l’affaire Snowden. Le scandale provoqué par cette affaire a accéléré la validation du RGPD en 2015. Voté un peu dans l’urgence en avril 2016, le RGPD a un champ d’application territoriale extrêmement large : il s’applique non seulement à toutes les entreprises basées sur le territoire de l’Union Européenne mais également à toutes entreprises étrangères qui traitent des données à caractère personnel de résidents ou citoyens de l’Union Européenne, peu importe que le bien ou service proposé par l’entreprise soit gratuit ou payant. Dès lors, il sera possible pour les autorités européennes de protection des données de prononcer des sanctions administratives (jusqu’à 4% du chiffre d’affaires mondial consolidé) à l’encontre de sociétés américaines n’ayant aucun établissement en France et ne proposant qu’une simple application mobile pour smartphone. Le message politique envers les américains est fort : vous souhaitez traiter des données de citoyens de l’UE, c’est possible mais à nos conditions.
David Chassan, Chief Communication Officer chez Outscale : Le Cloud Act fait clairement peser une menace et un risque sur nos données, notre propriété intellectuelle et notre sécurité. Peu importe où se trouve le datacenter. Toutes les données d’un cloud provider américain sont disponibles pour un l’Etat fédéral américain.
Dans ce contexte, quelles sont les marges de manœuvres qui s’offrent aux clients européens qui hébergent leurs données dans le datacenter d’un Cloud provider US mais qui veulent rester conformes au RGPD ?
Kevin Polizzi, PDG de Jaguar Network : Les entreprises traitant les données demandées par les autorités américaines pourront opposer un recours devant la justice américaine sur la base du droit en vigueur dans le pays où les données sont stockées. Concrètement, Google pourra s’opposer à transmettre des données situées en Irlande sur la base du RGPD, dès lors qu’il trouve la demande disproportionnée ou contraire aux obligations découlant du RGPD. Autre garde-fou, cela ne s’applique en principe qu’aux données des citoyens américains ou résidents américains. Le Cloud Act prévoit ainsi qu’ « un service provider peut déposer une requête en modification ou en annulation du processus judiciaire s’il croit raisonnablement que 1) “le client ou l’abonné n’est pas un ressortissant américain et ne réside pas aux États-Unis” et 2) “la divulgation créerait un risque important de violation des lois d’un gouvernement étranger”. »
Il faut différencier l’accès aux données dans le cadre d’une procédure et les renseignements récupérés à l’insu des utilisateurs par les entreprises ou gouvernement. Ça c’est illégal, Cloud Act ou non. Néanmoins on ne peut pas s’en assurer à 100%. Là, le principe de précaution peut s’appliquer. Mais, même Jaguar Network doit, dans le cadre d’une procédure judiciaire, fournir les données dès lors qu’une décision de justice le lui ordonne.
Dans le cadre du droit de la concurrence, il est possible de demander une mesure de clémence auprès de l’institution européenne. Mais toute la procédure doit rester vocale pour ne pas avoir à produire d’écrits en cas d’injonction des Etats-Unis. On a d’ailleurs identifié une faiblesse dans ce système, dans la mesure où le personnel des institutions européennes utilise Google calendar, une application d’origine US, pour gérer agendas et rendez-vous. Des données susceptibles d’être saisies en vertu du Cloud Act.
Marine Brogli : D’une manière générale, en droit international, il ne suffit pas qu’une décision soit rendue par un juge pour qu’elle soit exécutoire. Pour être exécutable, il est nécessaire qu’un accord de coopération judiciaire existe entre les deux états (ici entre l’UE et les US). A défaut, il est possible de mettre en place des procédures d’exéquatur. Dans les deux cas, le processus est long et compliqué. L’article 48 du RGPD exclut la seconde option pour ne conserver que la possibilité de transférer des données en dehors de l’UE, sous réserve qu’il s’agisse d’une décision administrative ou judiciaire, et qu’un accord international d’entraide judiciaire soit conclu.
En pratique, si l’administration américaine décide que Microsoft doit transférer des données personnelles aux services de renseignements américains, Microsoft peut effectivement s’y opposer dans l’attente qu’un juge européen rende ladite décision exécutoire. Ça, c’est pour la théorie. En réalité, il est fort probable qu’en fonction des circonstances géopolitiques (attaques terroristes imminentes, etc.) Microsoft décidera ou non d’exécuter la décision : le risque pour son image si l’entreprise était désignée comme responsable du fait de ne pas avoir transmis des données en temps et en heure qui auraient pu éviter une attaque terroriste étant bien trop importants.
Dans ce contexte, je recommande vivement aux entreprises françaises d’héberger leurs données chez des fournisseurs européens, et ce malgré toutes les garanties qu’offrent maintenant les providers américains.
David Chassan : Les décideurs et dirigeants doivent prendre conscience qu’ils ne doivent pas confier leurs données à des Cloud providers américains qui ont pour argument d’avoir des data centers sur le sol français. Nous voyons bien que cet argument ne tient pas. On peut se féliciter que de plus en plus de dirigeants prennent leurs responsabilités face à ces risques. Nous n’avons pas à rougir et n’avons aucun complexe face à nos confrères américains : nous fournissons des services très fiables, très performants et d’un haut niveau de sécurité.
Bernard Lemoine, président de Nerim : À mon avis, les marges de manœuvre sont extrêmement faibles, notamment en cas de litiges sérieux d’un de nos clients avec l’administration américaine. La seule garantie consiste à n’utiliser que des cloud providers à capitaux européens pour les clients « critiques ».
Affaire des mails irlandais de Microsoft : retour à la case départ
On notera que dans l’affaire qui opposait depuis 2013 Microsoft à la justice US pour l’accès aux mails d’un présumé trafiquant de drogue stockées en Irlande, la Cour Suprême américaine a abandonné les poursuites suite à la promulgation du Cloud Act. Mais sur la base de la même loi, le gouvernement a obtenu un nouveau mandat de perquisition obligeant Microsoft à transmettre les mails litigieux.
À propos de DPO Consulting
DPO Consulting est une société qui a été créée en 2015 par Marine Brogli, ex-correspondante informatique & libertés (CIL) et responsable juridique de la société IKEA France, pour répondre aux besoins des DPO (délégués à la protection des données), le nouveau métier institué par le GDPR. Pure player de la protection des données personnelles, DPO Consulting est constitué de 31 personnes : juristes, avocats, chefs de projet AMOA, ingénieurs, experts en cybersécurité. Basée à Paris, la société a ouvert sa première filiale à Lyon, et une seconde au Canada très récemment.