Cette réglementation donne carte blanche aux autorités fédérales pour réclamer les données personnelles collectées par les entreprises américaines aux États-Unis et dans le reste du monde. (Illustration: pe3check)

Cette réglementation donne carte blanche aux autorités fédérales pour réclamer les données personnelles collectées par les entreprises américaines aux États-Unis et dans le reste du monde. (Illustration: pe3check)

Promulguée par Donald Trump le 23 mars 2018 et adoptée presque sans débat par le Congrès, cette réglementation donne un blanc-seing aux autorités fédérales pour réclamer les données personnelles collectées par les entreprises américaines aux États-Unis, mais aussi dans le reste du monde. Inutile d’être un fin analyste des enjeux liés aux datas pour comprendre que le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est bien peu en accord avec l’esprit de notre RGPD européen!

La réalité du Cloud Act

Si le texte de cette réglementation occupe une dizaine de pages, on peut en résumer l’esprit en deux dispositions majeures. La première prévoit que toute société américaine, ainsi que ses filiales et toutes les entreprises qu’elle contrôle, fournisse sur injonction des autorités américaines toutes les données de communication dont elle dispose, et ce quel que soit le pays où les informations sont stockées.

La seconde mesure-clé porte sur la possibilité pour le gouvernement des États-Unis de signer des accords internationaux de coopération croisée avec des états étrangers pour simplifier et accélérer les procédures d’obtention de données auprès des fournisseurs de services qui relèvent de leur juridiction (des accords de ce type existent déjà, mais leur mise en œuvre était longue et complexe).

Quels risques pour nos données personnelles?

Google, Facebook, Amazon, la plupart des géants du web sont des entreprises américaines et donc directement concernées par le Cloud Act, y compris pour les données qu’elles collectent sur leurs utilisateurs luxembourgeois. Faut-il s’en inquiéter? Dans l’esprit, le Cloud Act semble représenter une nouvelle atteinte à la vie privée. Dans les faits, toutefois, il existe déjà des accords internationaux permettant aux autorités américaines d’exiger de telles informations.

Le Cloud Act ne donne pas carte blanche aux autorités américaines pour accéder sans aucune condition ni aucun contrôle à l’ensemble des données.

Maître Simon Dumontel, cabinet August Debouzy

Par ailleurs, le Cloud Act permet aux entreprises sollicitées de contester la requête face à une juridiction compétente. Il existe donc des garde-fous. Comme l’explique Maître Simon Dumontel, avocat au sein du cabinet August Debouzy, «Le Cloud Act ne donne pas carte blanche aux autorités américaines pour accéder sans aucune condition ni aucun contrôle à l’ensemble des données confiées aux fournisseurs de services de communication, traitement et stockage électroniques de données placés sous la juridiction des États-Unis».

Et le juriste de rappeler que des lois européennes sont susceptibles de faire obstacle au Cloud Act, notamment les articles 44 et suivants du RGPD qui réglementent les conditions dans lesquelles des données à caractère personnel peuvent être transférées vers des pays tiers ou à des organisations internationales. La portée du Cloud Act dépendra en grande partie de la façon dont les autorités européennes réagiront face aux injonctions des instances américaines et protégeront les données personnelles des citoyens de l’UE.

Articles Associés