Cloud Act et RGPD : peut-on héberger ses données dans le Cloud ?

L’utilisation que vous faites de services dans le Cloud vous conduit-elle à enfreindre le RGPD ? Pouvez-vous stocker vos données sur AWS, Azure, … tout en respectant le RGPD ? Le Cloud Act américain sème le doute et crée une incertitude juridique dont nous avons débattu avec Me. Jérôme Tassi, avocat au barreau de Paris.

Introduction

Le point de départ de cet article (et de la vidéo qui l’accompagne) est une réflexion qui m’a été soumise par un ami entrepreneur. Il s’inquiètait que les données de son entreprise soient stockées chez Microsoft, Google ou Amazon. A cause du Cloud Act sa peur était que ses données se retrouvent dans les mains de ses concurrents.

Le Cloud Act : une législation américaine très intrusive

Le Cloud Act (« Clarifying Lawful Overseas Use of Data Act ») est une loi fédérale américaine votée en Mars 2018. Elle permet au gouvernement américain d’accéder aux données stockées par des entreprises américaines quelle que soit leur localisation géographique. Comme l’explique Me. Jérôme Tassi dans la vidéo, le Cloud Act naît d’un contentieux entre les autorités fédérales américaines et Microsoft. Cette dernière invoqua dans une affaire la localisation (en Irlande) des données pour refuser de les livrer au gouvernement américain.

Ainsi naquit le Cloud Act, de la volonté du gouvernement américain d’exercer un contrôle complet dépendant de la nationalité de l’entreprise plutôt que de sa localisation géographique. Sauf qu’en Europe nous sommes censés être protégés par le RGPD me direz-vous. Alors quel est le lien entre Cloud et RGPD ?

Le Cloud Act est-il vraiment incompatible avec le RGPD ?

L’article 48 du RGPD précise qu’un accord international est nécessaire pour transférer des données en dehors de l’Union Européenne. Sachant qu’il n’y en a -actuellement- pas entre les Etats-Unis et l’Europe, il ne reste qu’une seule possibilité : le mandat judiciaire. En d’autres termes, un tribunal américain doit être convaincu de l’existence d’un crime fédéral pour demander le transfert de données stockées en dehors des Etats-Unis par un fournisseur américain. Voilà qui réduit grandement les risques.
Malgré tout, le flou juridique subsiste et en l’absence d’une jurisprudence, certaines règles s’imposent.

Que faire pour être en règle avec le RGPD sans craindre le Cloud Act ?

Me. Tassi recommande d’être prudent et dans la mesure du possible d’éviter d’héberger des données chez Google, Amazon ou Microsoft. L’Etat français a déjà pris les devants en publiant une doctrine appelée « Cloud au centre » qui prescrit le Cloud comme la pour loger les données des administrations françaises mais interdit l’utilisation de solutions qui ne bénéficient pas de la cetification « SecNumCloud ». Microsoft, Amazon et Google, qui détiennent 69% du marché du stockage Cloud, ne bénéficient pas de cette certification et sont donc exclus de facto de l’administration française.

Si donc vous voulez dormir sur vos deux oreilles, tournez-vous vers une des solutions qui bénéficie de la certification SecNumCloud. Il n’y a à ce jour que 3 prestataires de confiance : Odrive, Outscale et OVH.

Le Cloud souverain

On parle actuellement beaucoup de « Cloud souverain », de « cloud de confiance » et on voit dernièrement de nombreuses actualités sur le sujet. Lentement mais sûrement, l’intérêt d’une indépendance numérique fait son chemin. La crise du Covid n’aura que trop montré notre dépendance à la Chine pour les composants électronique ; la situation est la même dans le digital vis-à-vis des Etats-Unis. Ainsi Deutsche Telekom est le premier acteur européen du Cloud avec 2% de part de marché; une broutille face aux 32% d’AWS (Amazon), 20% d’Azure (Microsoft) et aux 9% de Google.

Pour contrer la fronde européenne les acteurs américains s’organisent. Microsoft a annoncé le lancement de « Bleu » en partenariat avec Orange et Capgemini ; Google a signé avec Thales. C’est donc la technologie américaine qui va être implémentée sur des infrastructures européennes. On peut se demander si là est bien la solution car la dépendance à la techlogie de l’Oncle Sam sera toujours là. Or, ce qu’il faut à l’Europe c’est une souveraineté complète qui lui permette de s’affranchir, comme l’a fait la Chine, des coups de pression et des manipulations américaines.

Par Pierre-Nicolas Schwab Pierre-Nicolas est Docteur en Marketing et dirige l'agence d'études de marché IntoTheMinds. Ses domaines de prédilection sont le BigData l'e-commerce, le commerce de proximité, l'HoReCa et la logistique. Il est également chercheur en marketing à l'Université Libre de Bruxelles et sert de coach et formateur à plusieurs organisations et institutions publiques. Il peut être contacté par email, Linkedin ou par téléphone (+32 486 42 79 42)