Cloud Act et RGPD : peut-on héberger ses données dans le Cloud ?

Cloud Act et RGPD : peut-on héberger ses données dans le Cloud ?

L’utilisation que vous faites de services dans le Cloud vous conduit-elle à enfreindre le RGPD ? Pouvez-vous stocker vos données sur AWS, Azure, … tout en respectant le RGPD ? Le Cloud Act américain sème le doute et crée une incertitude juridique dont nous avons débattu avec Me. Jérôme Tassi, avocat au barreau de Paris.

Introduction

Le point de départ de cet article (et de la vidéo qui l’accompagne) est une réflexion qui m’a été soumise par un ami entrepreneur. Il s’inquiètait que les données de son entreprise soient stockées chez Microsoft, Google ou Amazon. A cause du Cloud Act sa peur était que ses données se retrouvent dans les mains de ses concurrents.

banner definition

Le Cloud Act : une législation américaine très intrusive

Le Cloud Act (« Clarifying Lawful Overseas Use of Data Act ») est une loi fédérale américaine votée en Mars 2018. Elle permet au gouvernement américain d’accéder aux données stockées par des entreprises américaines quelle que soit leur localisation géographique. Comme l’explique Me. Jérôme Tassi dans la vidéo, le Cloud Act naît d’un contentieux entre les autorités fédérales américaines et Microsoft. Cette dernière invoqua dans une affaire la localisation (en Irlande) des données pour refuser de les livrer au gouvernement américain.

Ainsi naquit le Cloud Act, de la volonté du gouvernement américain d’exercer un contrôle complet dépendant de la nationalité de l’entreprise plutôt que de sa localisation géographique. Sauf qu’en Europe nous sommes censés être protégés par le RGPD me direz-vous. Alors quel est le lien entre Cloud et RGPD ?


 

Le Cloud Act est-il vraiment incompatible avec le RGPD ?

L’article 48 du RGPD précise qu’un accord international est nécessaire pour transférer des données en dehors de l’Union Européenne. Sachant qu’il n’y en a -actuellement- pas entre les Etats-Unis et l’Europe, il ne reste qu’une seule possibilité : le mandat judiciaire. En d’autres termes, un tribunal américain doit être convaincu de l’existence d’un crime fédéral pour demander le transfert de données stockées en dehors des Etats-Unis par un fournisseur américain. Voilà qui réduit grandement les risques. Malgré tout, le flou juridique subsiste et en l’absence d’une jurisprudence, certaines règles s’imposent.


Que faire pour être en règle avec le RGPD sans craindre le Cloud Act ?

Me. Tassi recommande d’être prudent et dans la mesure du possible d’éviter d’héberger des données chez Google, Amazon ou Microsoft. L’Etat français a déjà pris les devants en publiant une doctrine appelée « Cloud au centre » qui prescrit le Cloud comme la pour loger les données des administrations françaises mais interdit l’utilisation de solutions qui ne bénéficient pas de la cetification « SecNumCloud ». Microsoft, Amazon et Google, qui détiennent 69% du marché du stockage Cloud, ne bénéficient pas de cette certification et sont donc exclus de facto de l’administration française.

Si donc vous voulez dormir sur vos deux oreilles, tournez-vous vers une des solutions qui bénéficie de la certification SecNumCloud. Il n’y a à ce jour que 3 prestataires de confiance : Odrive, Outscale et OVH.

Conseil : pensez à vérifier ce que font vos fournisseurs

Prendre les devants par rapport au Cloud Act et au RGPD c’est aussi vérifier la situation de vos fournisseurs. Rappelez-vous que la notion de responsabilité conjointe a été introduite par l’article 26 du RGPD.

Deux situations doivent être distinguées :

  • Si vous collaborez avec des sociétés terces et que vous définissez ensemble les finalités du traitement, assurez-vous de prendre les précautions nécessaires en matière d’hébergement des données
  • Si vous utilisez des services SaaS sensibles, demandez-leur où sont stockées leurs données. Il y a 9 chances sur 10 pour que ce soit sur un cloud américain et dans ce cas il serait opportun de leur faire lire cet article.

Le Cloud souverain

On parle actuellement beaucoup de « Cloud souverain », de « cloud de confiance » et on voit dernièrement de nombreuses actualités sur le sujet. Lentement mais sûrement, l’intérêt d’une indépendance numérique fait son chemin. La crise du Covid n’aura que trop montré notre dépendance à la Chine pour les composants électronique ; la situation est la même dans le digital vis-à-vis des Etats-Unis. Ainsi Deutsche Telekom est le premier acteur européen du Cloud avec 2% de part de marché; une broutille face aux 32% d’AWS (Amazon), 20% d’Azure (Microsoft) et aux 9% de Google.

Pour contrer la fronde européenne les acteurs américains s’organisent. Microsoft a annoncé le lancement de « Bleu » en partenariat avec Orange et Capgemini ; Google a signé avec Thales. C’est donc la technologie américaine qui va être implémentée sur des infrastructures européennes. On peut se demander si là est bien la solution car la dépendance à la techlogie de l’Oncle Sam sera toujours là. Or, ce qu’il faut à l’Europe c’est une souveraineté complète qui lui permette de s’affranchir, comme l’a fait la Chine, des coups de pression et des manipulations américaines.


Publié dans Data et IT.