Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi votée par le Congrès américain afin de faciliter l’obtention pour l’administration américaine de données stockées ou transitant à l’étranger, via notamment les opérateurs et fournisseurs de services en ligne. Il intervient à quelques jours de l’entrée en vigueur du RGPD et a été joint au projet de loi sur le budget fédéral (le Consolidated Appropriations Act, 2018). Il est adopté sans examen spécifique (c’est-à-dire directement intégré dans le texte de la loi de finances), avant d’être promulgué le 23 mars 2018.
Le Département de la Justice, dans l’affaire qui l’oppose à Microsoft concernant l’exploitation du contenu d’une boîte email d’un utilisateur en Irlande, a invoqué l’adoption du CLOUD Act pour réquisitionner de fait ces données. Cette décision inédite, qui oblige désormais les entreprises américaines à fournir les données de leurs utilisateurs stockées à l’étranger a reçu un accueil favorable chez Microsoft, comme chez d’autres géants du web, qui se sont tous réjouis de l’avènement d’un tel paradigme législatif.
Le CLOUD Act entre ainsi en contradiction avec les dispositions du RGPD (Règlement UE 2016/679), notamment les articles 44 et suivants et spécialement l’article 48 sur les « Transferts ou divulgations non autorisés par le droit de l’Union » qui dispose que « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international […] ».
Dans un contexte grandissant de protection des données personnelles et de la promotion d’un Cloud de Confiance européen, le CLOUD Act marque un retour en arrière et une forme d’ingérence numérique que nul ne peut désormais ignorer.
Clairement, le CLOUD Act donne la possibilité à une puissance étrangère, en l’occurrence les Etats-Unis d’Amérique, d’accéder aux données dès lors qu’elles sont hébergées par des Cloud Providers américains, sans que les utilisateurs en soient informés, quand bien même ces données seraient stockées en France ou concerneraient un ressortissant européen, et ce sans passer par les tribunaux.
Cette situation est alarmante et dénoncée par de nombreuses organisations comme Electronic Frontier Foundation, American Civil Liberties Union, Amnesty International et Human Rights Watch6. Elle entraine des risques liés à l’Espionnage industriel, la sécurité nationale, la propriété intellectuelle, la protection des données personnelles et doit donc être connue du grand public et des utilisateurs.
Dans ce cadre, le stockage comme brique essentielle de la maitrise de la chaîne de confiance de la donnée ne peut pas être aveuglément laissé à des acteurs soumis à des législations en contradiction avec les lois et valeurs européennes. La solution est simple, se tourner vers les nombreux acteurs offrant des alternatives souveraines, c’est-à-dire non seulement implantées en France, mais aussi et surtout de droit français.
