Le Cloud de confiance européen serait en réalité toujours soumis aux lois américaines

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 01 septembre 2022 à 12h45

L'Union européenne parviendra-t-elle à se défaire définitivement de la spirale du Cloud Act américain ? (© Shutterstock)

C'est à la demande du ministère néerlandais de la Justice que l'un des plus grands cabinets américains a confirmé, dans une étude rendue publique durant l'été, que les entités de l'Union européenne restent toujours soumises au Cloud Act américain, cassant un peu la promesse faite par le gouvernement français.

À l'heure où les dirigeants européens, dont le gouvernement français, vantent le principe des futures offres de Cloud de confiance comme les propositions S3ns de Google et Thalès et Bleu de Microsoft, Orange et Capgemini, l'étude publiée par le cabinet d'avocats américain Greenberg Traurig LLP, réputé pour être l'un des plus connus au monde, fait évidemment tache. Sa principale conclusion consiste à expliquer aux autorités néerlandaises, qui voulaient en avoir le cœur net, que les entités européennes mêmes basées hors des États-Unis continuent à être potentiellement soumises aux lois américaines comme le Cloud Act.

Dans certaines circonstances et malgré le RGPD, des entités européennes restent soumises au Cloud Act américain

Rappelons avant tout ce qu'est le Cloud Act. Le Clarifying Lawfly Overseas Use of Data Act, en son nom original, est un texte fédéral américain en vigueur depuis le 23 mars 2018 dont nous avons déjà plusieurs fois parlé sur Clubic. Il est venu mettre à jour le cadre juridique des demandes judiciaires de données détenues par les fournisseurs de services de communication. En d'autres termes, certains fournisseurs de Cloud commercial (Google, Microsoft, Amazon et autres) se voient imposer le transfert des données à caractère personnel aux autorités publiques américaines, en opposition au RGPD européen. Mais l'étude va plus loin que les seules entreprises américaines.

À la question « veuillez indiquer si une entité de l'Union européenne est visée par le Cloud Act, même si l'entité n'est pas située aux États-Unis » posée par les autorités néerlandaises, le cabinet Greenberg Traurig répond par l'affirmative.

« Oui, dans certaines circonstances, une entité de l'UE, qu'elle soit un fournisseur de services de communication électronique ou de services informatiques à distance, qui n'est pas située aux États-Unis, pourrait toujours être soumise au Cloud Act si l'entité de l'UE a suffisamment de contacts avec les États-Unis pour que la compétence personnelle puisse être exercée sur l'entité de l'UE », explique le cabinet.

Pour savoir si une entité de l'UE qui n'est pas basée aux États-Unis relève bien du Cloud Act, il faut d'abord étudier le type d'ordonnance émis, les faits et circonstances spécifiques. Les juristes rappellent que la justice américaine ne peut délivrer un mandat d'accès aux données que si elle démontre que les communications demandées établiront bien la preuve d'un crime. Et comme l'expliquait le cabinet Greenberg Traurig, il faut que l'entreprise ait une présence continue et systématique aux États-Unis.

Une entreprise européenne qui fournit des services aux États-Unis peut tomber sous le coup du Cloud Act

Donc contrairement à ce qu'affirment les gouvernements européens, dont celui de la France, il n'y a pas que les entreprises américaines présentes en Europe qui peuvent être soumises au Cloud Act. Dès lors qu'une entité de l'UE qui n'est pas située aux États-Unis offre des services ou des produits dans ce pays, oui, elle peut bien être soumise au texte américain. Les opérateurs d'importance vitale (OIV), dont la liste officielle n'est pas connue mais qui rassemblent des organisations considérées comme indispensables à la survie de la nation ; mais également les opérateurs de services essentiels (le secteur de l'énergie en comporte quelques-uns par exemple) et les administrations, invités en raison de la sensibilité de leurs activités à souscrire aux offres de Cloud de confiance, encourent donc un risque. Et ce dès lors que la promesse de protection des données et de leur transfert n'est pas pleinement assurée.

Outre le Cloud Act, d'autres lois américaines peuvent avoir un impact sur les sociétés européennes et autoriser le gouvernement ou les tribunaux des États-Unis à chercher à accéder aux données stockées par une entité de l'Union européenne au sein même de la zone. Mais alors, dans ce cas-là, l'entité de l'UE aurait la possibilité, selon Greenberg Traurig, de déposer une requête en annulation ou en modification d'une ordonnance pour des motifs de compétence.

Une partie loin d'être gagnée

Parmi les autres questions posées au cabinet, on retient celle qui consiste à savoir si les États-Unis peuvent obtenir des données d'une entreprise de l'Union européenne sur laquelle ils n'ont pas de pouvoir juridique, en ordonnant à un ressortissant américain qui a accès à des données de l'étranger de les transmettre à son pays, le tout en vertu du Cloud Act.

« En théorie, la réponse est 'non', mais en pratique, c'est très probablement 'oui' », répond-il. Car un amendement rattaché au Cloud Act précise que les fournisseurs de service doivent divulguer les données, et ce quel que soit l'endroit où ils les stockent. Pour obtenir ces données, il suffit à la justice américaine d'adresser à son ressortissant une citation à comparaître. Si celui-ci est mal conseillé et qu'il veut se protéger, il ne s'y opposera pas, même si en pratique, il peut le faire. « Dans le cas où le ressortissant américain ne s'est pas opposé à l'assignation à comparaître ou a échoué dans son objection, le ressortissant américain ne peut pas faire la distinction entre les informations enregistrées localement et les informations disponibles à distance ».

Le Cloud Act et tout ce qui se trouve autour constituent donc une vaste fourmilière faite de principes et d'exceptions qui ne font que renforcer le flou autour du Cloud de confiance. La tendance semble aujourd'hui être au « si les États-Unis veulent une donnée, ils peuvent l'avoir ». L'exemple de Microsoft est criant. La firme peut se prémunir du Cloud Act en chiffrant les données mais elle utilise des routeurs Cisco. Cisco (qui a accès aux données des clients et personnes concernés de l'UE) et les autorités pourraient donc accéder aux données via ces routeurs. Il en faudra donc plus pour rassurer les uns et les autres.

Source : NCSC, La Tribune

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Bureautique & productivité

Stockage en ligne

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

HAL1

Merveilleux concept que celui de l’extra-territorialité du droit américain…

nourdemars013

Nous sommes une colonie américaine nos élites sont soumises aux USA depuis l’après guerre sauf quelques dirigeants qui on tenu tête comme Chirac ou De Gaulle mais globalement toutes les élites françaises/dirigeants européens sont soumis.
Les demandes des usa sont des ordres, quand ont vois l’Espagne qui dispose d’avion de chasse via Eurofighters qui fait bosser leurs ouvriers en partie mais préfère acheter des avions de chasses américains qui font le meme taf… quel honte. Il y a Airbus qui voulait vendre et a signé un contrat historique avec le pentagone pour A400M une fois signé… 1 mois aprés le parlement a obligé le Pentagone a annulé le contrat pour prendres des avions US… nous sommes des dindes

nourdemars013

Nos élites sont clairement financé et acheté par les USA depuis un paquet d’années. Je vois pas comment l’europe acceptes ce genre de chose et comment ils sont pas capables de faire leurs propres cloud sans passé par amazon ou microsoft

utada_hikaru

C’est loin d’être la seule soumission que l’on a.

Et dès qu’ils peuvent nous la mettre(les sous marin par exemple) ils n’hésitent pas.

Popoulo

@nourdemars : l’europe sert juste à enrichir les gens qui la dirige. Le reste ils s’en balancent.

Orko

De même pour toutes multinationales utilisant le dollar pour leurs affaires …

« BNP Paribas avait dû payer près de 9 milliards de dollars d’amendes pour avoir violé les sanctions américaines et en 2008, Siemens a payé 800 millions de dollars, l’extraterritorialité du droit américain … »

https://www.iris-sup.org/le-dollar-lextraterritorialite-du-droit-americain-et-le-systeme-monetaire-international/

HAL1

Non.

_Troll

C’est comme la news d’hier qui parle de l’amende de plus de 900 millions qui disparait comme par magie avec des pretextes pas vraiment convainquant. L’entreprise americaine a bien ‹ achete › cette faveur aupres de la ou les bonnes personnes. Que ceux qui penseront le contraire restent un peu realiste du monde.

_Troll

Si ce n’est pas le cas, alors comment justifier la dependance envert les USA dans le monde de l’intenet ? Ne me dites pas que c’est la libre concurrence et que seul les Gafam sont assez intelligents pour creer leurs services et que les autres en sont incapable.

HAL1

Un peu décevant. J’ai connu des trolls plus inspirés…