Cloud Act, Patriot Act, RGPD : à quelle législation vos données sont-elles soumises ?

En choisissant un hébergeur Web, vous choisissez également à quelle législation vos données seront soumises. Or trop souvent, cette réflexion sur le traitement des données n’est pas aussi aboutie qu’elle devrait l’être et la tentation est grande d’opter pour des solutions proposées par des grands acteurs du cloud étranger. Depuis plusieurs années, la notion de sécurité des données est primordiale. Il est donc crucial de bien choisir sa solution d’hébergement.

En choisissant un hébergeur Web, vous choisissez également à quelle législation vos données seront soumises. Or trop souvent, cette réflexion sur le traitement des données n’est pas aussi aboutie qu’elle devrait l’être et la tentation est grande d’opter pour des solutions proposées par des grands acteurs du cloud étranger. Depuis plusieurs années, la notion de sécurité des données est primordiale. Il est donc crucial de bien choisir sa solution d’hébergement.

Si vous confiez vos données personnelles à un prestataire américain ou bien un prestataire européen avec un hébergement de vos données sur le territoire américain, vous pouvez directement vous retrouver confrontés aux lois américaines (Cloud Act et Patriot Act). Seul un acteur de droit français ou européen, n’hébergeant pas vos données aux États-Unis, est à même de garantir un très haut niveau de protection de la confidentialité des données personnelles de vos clients, sociétaires ou administrés que vous traitez au moyen de ses offres. Et ce, même indirectement via une entité juridiquement et opérationnellement distincte de la maison mère. Pour vous éclairer sur les véritables enjeux du choix d’une solution d’hébergement, nous avons fait appel à Maître Alexandre Archambault, avocat au barreau de Paris et fin connaisseur du numérique.

Si vous confiez vos données personnelles à un prestataire américain ou bien un prestataire européen avec un hébergement de vos données sur le territoire américain, vous pouvez directement vous retrouver confrontés aux lois américaines (Cloud Act et Patriot Act). Seul un acteur de droit français ou européen, n’hébergeant pas vos données aux États-Unis, est à même de garantir un très haut niveau de protection de la confidentialité des données personnelles de vos clients, sociétaires ou administrés que vous traitez au moyen de ses offres. Et ce, même indirectement via une entité juridiquement et opérationnellement distincte de la maison mère. Pour vous éclairer sur les véritables enjeux du choix d’une solution d’hébergement, nous avons fait appel à Maître Alexandre Archambault, avocat au barreau de Paris et fin connaisseur du numérique.

« Adopté au lendemain des attentats du 11 septembre 2001, le USA Patriot Act (pour Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism) est un texte pivot central de la lutte des autorités fédérales américaines contre le terrorisme. Conçu à l'origine pour ne durer que quelques années, ce texte a été rendu permanent depuis 2005. Le Patriot Act permet aux agences fédérales américaines (le FBI, la CIA, la NSA, l'armée, le fisc…) d’obtenir des informations dans le cadre d’une enquête relative à des actes de terrorisme, au moyen d’injonctions destinées à rester secrètes compte tenu de la sensibilité du sujet. C’est d’ailleurs également le cas pour les demandes formulées sur ce sujet par les autorités françaises qui disposent d’un arsenal législatif en ce sens via notamment les dispositions du Code de la Sécurité Intérieure. »

« Adopté au lendemain des attentats du 11 septembre 2001, le USA Patriot Act (pour Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism) est un texte pivot central de la lutte des autorités fédérales américaines contre le terrorisme. Conçu à l'origine pour ne durer que quelques années, ce texte a été rendu permanent depuis 2005. Le Patriot Act permet aux agences fédérales américaines (le FBI, la CIA, la NSA, l'armée, le fisc…) d’obtenir des informations dans le cadre d’une enquête relative à des actes de terrorisme, au moyen d’injonctions destinées à rester secrètes compte tenu de la sensibilité du sujet. C’est d’ailleurs également le cas pour les demandes formulées sur ce sujet par les autorités françaises qui disposent d’un arsenal législatif en ce sens via notamment les dispositions du Code de la Sécurité Intérieure. »

« Certains ont présenté le Cloud Act comme l’application au Cloud du Patriot Act. Il s’agit d’une loi fédérale américaine datant de 2018 qui est avant tout une loi de procédure, qui ne vise pas spécifiquement les acteurs du Cloud (ici Cloud est entendu par Clarifying Lawful Overseas Use of Data Act). Critiquée par de nombreuses associations de défense de la vie privée, mais également des Parlementaires, cette Loi permet notamment aux autorités américaines de solliciter les données d’une personne *, après autorisation judiciaire auprès des fournisseurs de services relevant des lois des États-Unis. »

« Certains ont présenté le Cloud Act comme l’application au Cloud du Patriot Act. Il s’agit d’une loi fédérale américaine datant de 2018 qui est avant tout une loi de procédure, qui ne vise pas spécifiquement les acteurs du Cloud (ici Cloud est entendu par Clarifying Lawful Overseas Use of Data Act). Critiquée par de nombreuses associations de défense de la vie privée, mais également des Parlementaires, cette Loi permet notamment aux autorités américaines de solliciter les données d’une personne *, après autorisation judiciaire auprès des fournisseurs de services relevant des lois des États-Unis. »

*Qu’elle soit physique ou morale et sans considération du lieu où sont stockées les données. Sans que la personne en question en soit informée, tout comme son pays de résidence, ou même le pays où sont stockées ces données.

*Qu’elle soit physique ou morale et sans considération du lieu où sont stockées les données. Sans que la personne en question en soit informée, tout comme son pays de résidence, ou même le pays où sont stockées ces données.

« Le Cloud Act est la réponse des autorités fédérales américaines à certains acteurs du numérique américains qui avaient contesté, et obtenu gain de cause, devant les juridictions fédérales des demandes de données personnelles formulées par les autorités américaines. En particulier dans le cadre de poursuites engagées aux États-Unis, visant des citoyens non américains dont les données sont hébergées en Europe par des acteurs américains. »

« Le Cloud Act est la réponse des autorités fédérales américaines à certains acteurs du numérique américains qui avaient contesté, et obtenu gain de cause, devant les juridictions fédérales des demandes de données personnelles formulées par les autorités américaines. En particulier dans le cadre de poursuites engagées aux États-Unis, visant des citoyens non américains dont les données sont hébergées en Europe par des acteurs américains. »

« Le Cloud Act est articulé autour de deux axes :

« Le Cloud Act est articulé autour de deux axes :

« L’objectif affiché est de coller à l’échelle de temps du numérique, où ce qui prenait plusieurs mois n’est plus acceptable à l’heure du tout connecté à l’échelle mondiale. Notons par ailleurs que cet objectif est partagé par les autorités européennes et françaises dans le cadre de leurs demandes de retrait de contenus en quelques heures, et qu’une version européenne du Cloud Act est en projet (E-evidence). »

« L’objectif affiché est de coller à l’échelle de temps du numérique, où ce qui prenait plusieurs mois n’est plus acceptable à l’heure du tout connecté à l’échelle mondiale. Notons par ailleurs que cet objectif est partagé par les autorités européennes et françaises dans le cadre de leurs demandes de retrait de contenus en quelques heures, et qu’une version européenne du Cloud Act est en projet (E-evidence). »

« Contrairement à ce qu’on a pu lire ici ou là, le Cloud Act n’est pas synonyme d’open-bar pour les autorités américaines. En premier lieu, les autorités doivent toujours obtenir une autorisation d’un juge américain pour formuler de telles demandes. En second lieu, le fournisseur requis dispose de la possibilité de contester devant une juridiction l’ordre qui lui a été remis de divulguer aux autorités américaines les données personnelles qui lui ont été confiées.

« Contrairement à ce qu’on a pu lire ici ou là, le Cloud Act n’est pas synonyme d’open-bar pour les autorités américaines. En premier lieu, les autorités doivent toujours obtenir une autorisation d’un juge américain pour formuler de telles demandes. En second lieu, le fournisseur requis dispose de la possibilité de contester devant une juridiction l’ordre qui lui a été remis de divulguer aux autorités américaines les données personnelles qui lui ont été confiées.

Ensuite, c’est oublier qu’en Europe nous disposons du RGPD, texte pionnier et fondateur de la souveraineté des données en Europe puisque le champ d’application ne dépend pas du fournisseur, mais de la personne dont les données personnelles sont collectées, traitées ou stockées. S’il s’agit d’un citoyen européen, qu’il soit personne physique ou morale, le RGPD s’applique, quel que soit le lieu d’établissement du responsable de traitement ou celui de stockage des données.

Ensuite, c’est oublier qu’en Europe nous disposons du RGPD, texte pionnier et fondateur de la souveraineté des données en Europe puisque le champ d’application ne dépend pas du fournisseur, mais de la personne dont les données personnelles sont collectées, traitées ou stockées. S’il s’agit d’un citoyen européen, qu’il soit personne physique ou morale, le RGPD s’applique, quel que soit le lieu d’établissement du responsable de traitement ou celui de stockage des données.

Par ailleurs, le RGPD a ainsi prévu la situation où des données à caractère personnel peuvent être transférées vers des pays tiers ou à des organisations internationales, en les règlementant strictement.

Par ailleurs, le RGPD a ainsi prévu la situation où des données à caractère personnel peuvent être transférées vers des pays tiers ou à des organisations internationales, en les règlementant strictement.

Par plusieurs arrêts (le dernier date du mois dernier), les juridictions européennes ont rappelé la nécessaire conciliation à opérer entre la lutte contre le terrorisme, la criminalité grave et la protection des données personnelles, ainsi que le fait qu’on ne pouvait imposer aux acteurs du numérique des obligations intrusives pour leurs clients sans sérieuses garanties. D'ailleurs, très récemment, le Conseil d’État a été amené à se prononcer sur la conformité du cadre national français.

Par plusieurs arrêts (le dernier date du mois dernier), les juridictions européennes ont rappelé la nécessaire conciliation à opérer entre la lutte contre le terrorisme, la criminalité grave et la protection des données personnelles, ainsi que le fait qu’on ne pouvait imposer aux acteurs du numérique des obligations intrusives pour leurs clients sans sérieuses garanties. D'ailleurs, très récemment, le Conseil d’État a été amené à se prononcer sur la conformité du cadre national français.

Toutefois, la conciliation à opérer entre Patriot Act, Cloud Act d’une part et RGPD ainsi que ePrivacy (qui est toujours à l’état de projet, si bien que concernant le numérique c’est le RGPD qui s’applique) d’autre part, reste une chose complexe par les sociétés américaines, si bien qu’à ce jour il n’y a pas de consensus qui puisse se dégager : récemment auditionnés par le Parlement, les représentants d’IBM estiment que le Cloud Act ne s’applique pas tandis que ceux d’Amazon estimaient qu’au contraire ils étaient tenus par le Cloud Act pour leurs activités françaises. »

Toutefois, la conciliation à opérer entre Patriot Act, Cloud Act d’une part et RGPD ainsi que ePrivacy (qui est toujours à l’état de projet, si bien que concernant le numérique c’est le RGPD qui s’applique) d’autre part, reste une chose complexe par les sociétés américaines, si bien qu’à ce jour il n’y a pas de consensus qui puisse se dégager : récemment auditionnés par le Parlement, les représentants d’IBM estiment que le Cloud Act ne s’applique pas tandis que ceux d’Amazon estimaient qu’au contraire ils étaient tenus par le Cloud Act pour leurs activités françaises. »

« Un projet de règlement Européen E-evidence, ayant la même finalité que le Cloud Act, est en cours de discussion depuis plusieurs années. Ce projet donnerait la possibilité pour les autorités d’obtenir la divulgation des données hébergées par les acteurs du numérique les intéressant dans le cadre de leurs investigations. Les discussions sont toujours en cours et achoppent sur les adaptations à effectuer pour tenir compte des principes rappelés par les décisions de justice à l’échelle européenne.»

« Un projet de règlement Européen E-evidence, ayant la même finalité que le Cloud Act, est en cours de discussion depuis plusieurs années. Ce projet donnerait la possibilité pour les autorités d’obtenir la divulgation des données hébergées par les acteurs du numérique les intéressant dans le cadre de leurs investigations. Les discussions sont toujours en cours et achoppent sur les adaptations à effectuer pour tenir compte des principes rappelés par les décisions de justice à l’échelle européenne.»

« Quelques exemples :

« Quelques exemples :

« D’une manière générale, en ce qui concerne la sécurité informatique : le risque 0 n’existera jamais ! Par contre, avec une bonne réflexion en amont (le cas échéant, n’hésitez pas à solliciter votre conseil) et en sachant s’appuyer sur les bons prestataires, vous disposez des moyens de contenir le risque et d’en limiter l’impact pour vos clients, vos sociétaires, vos administrés.

« D’une manière générale, en ce qui concerne la sécurité informatique : le risque 0 n’existera jamais ! Par contre, avec une bonne réflexion en amont (le cas échéant, n’hésitez pas à solliciter votre conseil) et en sachant s’appuyer sur les bons prestataires, vous disposez des moyens de contenir le risque et d’en limiter l’impact pour vos clients, vos sociétaires, vos administrés.

Il vaut mieux privilégier un prestataire mettant en place une organisation souple avec des procédures réactives permettant de minimiser l’impact, de favoriser des interventions rapides pour corriger les brèches, en tirer tous les enseignements pour améliorer ses procédures et gagner en résilience.

Il vaut mieux privilégier un prestataire mettant en place une organisation souple avec des procédures réactives permettant de minimiser l’impact, de favoriser des interventions rapides pour corriger les brèches, en tirer tous les enseignements pour améliorer ses procédures et gagner en résilience.

Par exemple, en privilégiant le recours à une structure localisée en France, dont l’actionnariat est connu, stable et composé d’entrepreneurs impliqués au quotidien dans le numérique français et européen. Et ce ne sont pas les acteurs qui manquent, entre les gros acteurs nationaux et les acteurs à taille humaine situés en Île-de-France ou en régions. Quelle que soit leur taille ou leur localisation, ils ont tous un point en commun : ce sont des entrepreneurs passionnés par le numérique, disposant d’une véritable connaissance des enjeux, et d’une solide compétence technique. La plupart maitrisent en effet leur propre infrastructure, répondant aux normes les plus exigeantes. »

Par exemple, en privilégiant le recours à une structure localisée en France, dont l’actionnariat est connu, stable et composé d’entrepreneurs impliqués au quotidien dans le numérique français et européen. Et ce ne sont pas les acteurs qui manquent, entre les gros acteurs nationaux et les acteurs à taille humaine situés en Île-de-France ou en régions. Quelle que soit leur taille ou leur localisation, ils ont tous un point en commun : ce sont des entrepreneurs passionnés par le numérique, disposant d’une véritable connaissance des enjeux, et d’une solide compétence technique. La plupart maitrisent en effet leur propre infrastructure, répondant aux normes les plus exigeantes. »

Ainsi, Aqua Ray répond parfaitement aux critères de choix rappelés par Maître Archambault :

Ainsi, Aqua Ray répond parfaitement aux critères de choix rappelés par Maître Archambault :

Vous avez une question ? Un doute ? Une demande particulière ? N'hésitez pas à nous contacter en cliquant sur le bouton ci-dessus, nous vous répondrons dans les meilleurs délais.

Vous avez une question ? Un doute ? Une demande particulière ? N'hésitez pas à nous contacter en cliquant sur le bouton ci-dessus, nous vous répondrons dans les meilleurs délais.