RGPD contre Cloud Act : qui est le plus fort ?
En installant leurs datacenters en France, AWS, Microsoft et consors tentent de rassurer les clients français en leur apportant toutes les garanties qu'ils attendent en termes de sécurité et de conformité RGPD. Oui mais voilà, le Congrès étasunien vient de promulguer le Cloud Act (pour Clarifying Lawful Overseas Use of Data ou, en bon français : clarification de l'utilisation légale des données à l'étranger) une nouvelle législation qui précise les règles s’appliquant aux données personnelles détenues par les entreprises étasuniennes en dehors du territoire national.
Nous avons voulu savoir quelles pouvaient être les implications de ce Cloud Act pour les clients français ayant confié leurs données à un cloud provider d’origine étasunienne comme AWS ou Microsoft. Nous avons posé la question aux entreprises précitées mais également à des experts de la protection des données et à des fournisseurs de services hébergés locaux. Si nous n’avons pas reçu de réponse de Microsoft et AWS à ce jour, plusieurs des experts (DPO Consulting) et services providers (Jaguar Network, Outscale et Nerim) que nous avons sollicités ont accepté de partager leur éclairage. Le voici.
Channelnews : Le Cloud Act, qui autorise la justice US à saisir des données hors du territoire national, est-il compatible avec l’article 48 du RGPD, qui proscrit les transferts ou divulgations de données hors de l’UE ?
Kevin Polizzi, PDG de Jaguar Network : Le Cloud Act vise à faciliter l’accès par les autorités américaines aux données stockées à l’étranger par des entreprises américaines dans le cadre exclusif d’une procédure judiciaire. Sachant que le RGPD ne protège pas les individus contre l’accès à leurs données par les autorités dans le cadre d’une enquête et que l’accès aux données s’inscrit dans le cadre d’un mécanisme de coopération judiciaire, l’Union européenne n’y voit rien à redire. D’autant que Cloud Act prévoit en retour un accès par les gouvernements étrangers aux données stockées par des entreprises américaines. L’Union européenne devait d’ailleurs présenter ce 17 avril un texte destiné profiter de cette possibilité offerte par Cloud Act pour faciliter l’accès des autorités européennes aux données stockées par les entreprises de l’UE aux USA ou les US dans l’UE.
Marine Brogli, PDG de DPO Consulting : De mon point de vue le Cloud Act est en lui-même une réponse politique au RGPD.
Tout d’abord, il faut rappeler quelque peu le contexte général de ce sujet : les difficultés d’accord sur la protection des données personnelles avec les Etats-Unis ne datent pas d’hier et sont un sujet récurrent. Les US ne sont pas considérés par la Commission Européenne comme un pays présentant un niveau de protection adéquat du point de vue des données personnelles. L’invalidation de l’accord Safe Harbor par la Cour de Justice de l’Union en octobre 2015 avait déjà mis un coup d’arrêt aux transferts de données de l’UE vers les USA. Puis le Privacy Shield avait été adopté mais vivement critiqué par le G29 et la Commission Européenne. Encore aujourd’hui, il demeure fragile et ne permet pas un transfert facile de données vers les USA. Les entreprises américaines n’ont donc pas vraiment le choix, elles sont contraintes de se conformer au RGPD et de revoir leur modèle économique. C’est pourquoi des entreprises comme Microsoft se retrouvent à annoncer l’ouverture de deux data centers en France. Les données hébergées en Europe des européens leur permettent ainsi de s’éviter un casse-tête juridique et administratif.
Par ailleurs, le RGPD était en négociation depuis 2012. Les pressions exercées par les lobbyistes ont été très importantes et ont porté leur fruit jusqu’à l’affaire Snowden. Le scandale provoqué par cette affaire a accéléré la validation du RGPD en 2015. Voté un peu dans l’urgence en avril 2016, le RGPD a un champ d’application territoriale extrêmement large : il s’applique non seulement à toutes les entreprises basées sur le territoire de l’Union Européenne mais également à toutes entreprises étrangères qui traitent des données à caractère personnel de résidents ou citoyens de l’Union Européenne, peu importe que le bien ou service proposé par l’entreprise soit gratuit ou payant. Dès lors, il sera possible pour les autorités européennes de protection des données de prononcer des sanctions administratives (jusqu’à 4% du chiffre d’affaires mondial consolidé) à l’encontre de sociétés américaines n’ayant aucun établissement en France et ne proposant qu’une simple application mobile pour smartphone. Le message politique envers les américains est fort : vous souhaitez traiter des données de citoyens de l’UE, c’est possible mais à nos conditions.
David Chassan, Chief Communication Officer chez Outscale : Le Cloud Act fait clairement peser une menace et un risque sur nos données, notre propriété intellectuelle et notre sécurité. Peu importe où se trouve le datacenter. Toutes les données d'un cloud provider américain sont disponibles pour un l’Etat fédéral américain.
Olivier Itéanu et Servane Augier, administrateurs d'Hexatrust : Non. En permettant à l’administration américaine de réquisitionner les données de ressortissants non américains stockées ou transitant à l’étranger dès lors que ces données sont hébergées par des cloud providers américains, et ceci sans que les utilisateurs en soient informés et sans qu’il soit nécessaire de passer par les tribunaux, le Cloud Act va à l’encontre du RGPD. Notamment de ses articles 44 et suivants et spécialement l'article 48 sur les « Transferts ou divulgations non autorisés par le droit de l'Union » qui dispose que « Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international […] ». Or, Si le Cloud Act prévoit des recours possibles, ils sont ouverts exclusivement aux prestataires (opérateurs et fournisseurs de services en ligne), pas aux utilisateurs. Ce qui entre là encore en contradiction avec la philosophie du RGPD.
Dans ce contexte, quelles sont les marges de manœuvres qui s’offrent aux clients européens qui hébergent leurs données dans le datacenter d’un Cloud provider US mais qui veulent rester conformes au RGPD ?
Kevin Polizzi, PDG de Jaguar Network : Les entreprises traitant les données demandées par les autorités américaines pourront opposer un recours devant la justice américaine sur la base du droit en vigueur dans le pays où les données sont stockées. Concrètement, Google pourra s’opposer à transmettre des données situées en Irlande sur la base du RGPD, dès lors qu’il trouve la demande disproportionnée ou contraire aux obligations découlant du RGPD. Autre garde-fou, cela ne s’applique en principe qu’aux données des citoyens américains ou résidents américains. Le Cloud Act prévoit ainsi qu' « un service provider peut déposer une requête en modification ou en annulation du processus judiciaire s'il croit raisonnablement que 1) “le client ou l'abonné n'est pas un ressortissant américain et ne réside pas aux États-Unis” et 2) “la divulgation créerait un risque important de violation des lois d'un gouvernement étranger”. »
Il faut différencier l’accès aux données dans le cadre d’une procédure et les renseignements récupérés à l’insu des utilisateurs par les entreprises ou gouvernement. Ça c’est illégal, Cloud Act ou non. Néanmoins on ne peut pas s’en assurer à 100%. Là, le principe de précaution peut s’appliquer. Mais, même Jaguar Network doit, dans le cadre d’une procédure judiciaire, fournir les données dès lors qu’une décision de justice le lui ordonne.
Dans le cadre du droit de la concurrence, il est possible de demander une mesure de clémence auprès de l’institution européenne. Mais toute la procédure doit rester vocale pour ne pas avoir à produire d’écrits en cas d’injonction des Etats-Unis. On a d’ailleurs identifié une faiblesse dans ce système, dans la mesure où le personnel des institutions européennes utilise Google calendar, une application d’origine US, pour gérer agendas et rendez-vous. Des données susceptibles d’être saisies en vertu du Cloud Act.
Marine Brogli : D’une manière générale, en droit international, il ne suffit pas qu’une décision soit rendue par un juge pour qu’elle soit exécutoire. Pour être exécutable, il est nécessaire qu’un accord de coopération judiciaire existe entre les deux états (ici entre l’UE et les US). A défaut, il est possible de mettre en place des procédures d’exéquatur. Dans les deux cas, le processus est long et compliqué. L’article 48 du RGPD exclut la seconde option pour ne conserver que la possibilité de transférer des données en dehors de l’UE, sous réserve qu’il s’agisse d’une décision administrative ou judiciaire, et qu’un accord international d’entraide judiciaire soit conclu.
En pratique, si l’administration américaine décide que Microsoft doit transférer des données personnelles aux services de renseignements américains, Microsoft peut effectivement s’y opposer dans l’attente qu’un juge européen rende ladite décision exécutoire. Ça, c’est pour la théorie. En réalité, il est fort probable qu’en fonction des circonstances géopolitiques (attaques terroristes imminentes, etc.) Microsoft décidera ou non d’exécuter la décision : le risque pour son image si l’entreprise était désignée comme responsable du fait de ne pas avoir transmis des données en temps et en heure qui auraient pu éviter une attaque terroriste étant bien trop importants.
Dans ce contexte, je recommande vivement aux entreprises françaises d’héberger leurs données chez des fournisseurs européens, et ce malgré toutes les garanties qu’offrent maintenant les providers américains.
David Chassan : Les décideurs et dirigeants doivent prendre conscience qu’ils ne doivent pas confier leurs données à des Cloud providers américains qui ont pour argument d'avoir des data centers sur le sol français. Nous voyons bien que cet argument ne tient pas. On peut se féliciter que de plus en plus de dirigeants prennent leurs responsabilités face à ces risques. Nous n'avons pas à rougir et n'avons aucun complexe face à nos confrères américains : nous fournissons des services très fiables, très performants et d'un haut niveau de sécurité.
Bernard Lemoine, président de Nerim : À mon avis, les marges de manœuvre sont extrêmement faibles, notamment en cas de litiges sérieux d’un de nos clients avec l’administration américaine. La seule garantie consiste à n’utiliser que des cloud providers à capitaux européens pour les clients « critiques ».
Olivier Itéanu et Servane Augier : « Dans un contexte grandissant de protection des données personnelles et de promotion d'un Cloud de confiance européen, le Cloud Act marque un retour en arrière et une forme d'ingérence numérique que nul ne peut désormais ignorer, écrivent Servane Augier et Olivier Iteanu. Cette situation est alarmante et dénoncée par de nombreuses organisations comme Electronic Frontier Foundation, American Civil Liberties Union, Amnesty International et Human Rights Watch6. Elle entraine des risques liés à l'Espionnage industriel, la sécurité nationale, la propriété intellectuelle, la protection des données personnelles et doit donc être connue du grand public et des utilisateurs. Dans ce contexte, le stockage comme brique essentielle de la maitrise de la chaine de confiance de la donnée ne peut pas être aveuglément laissé à des acteurs soumis à des législations en contradiction avec les lois et valeurs européennes ». Et de conclure : « La solution est simple, se tourner vers les nombreux acteurs offrant des alternatives souveraines, c'est-à-dire non seulement implantées en France, mais aussi et surtout de droit français. »