CLOUD Act : entre le marteau et l’enclume
Dans cet article, le Directeur général de Talan Labs analyse la dissonance juridique dans laquelle se trouvent les entreprises européennes clientes des clouds américains. Il appelle de ses vœux une régulation mondiale de la donnée.
À l’heure où le gouvernement français décide de créer un label pour garantir la protection des données dans le cloud avec un enjeu majeur de souveraineté, les enjeux juridiques complexes liés à la protection des données sont-ils garantis face à l’American CLOUD Act ?
Avec le CLOUD Act, dès qu’une entreprise ou sa maison mère sont soumises au droit américain, elles doivent répondre à des exigences qui imposent, notamment, de communiquer aux autorités américaines toutes les données, y compris personnelles, que celles-ci exigeraient, et ce même si ces données sont stockées dans un pays soumis au RGPD.
Les opérateurs américains de cloud (AWS, MS Azure, GCP, etc.) sont donc soumis à cette loi américaine extraterritoriale.
Dans le même temps, selon le RGPD, un tel transfert n’est pas autorisé. Il exposerait donc la société qui a collecté les données, même si elle est simplement cliente du fournisseur de services cloud, à des sanctions.
Des droits contradictoires et incompatibles
Prenons l’exemple d’une entreprise française qui utilise un service de cloud américain hébergé en France via sa filiale française.
Supposons qu’elle ait établi des clauses contractuelles qui prévoient des pénalités avec le fournisseur de cloud pour bloquer la sortie des données du territoire, conformément à la fois au RGPD et à sa politique de gestion des données de ses clients.
Si les autorités américaines demandent au fournisseur américain, via sa filiale française, de transmettre les données – comme cela est imposé par le CLOUD Act – l’entreprise cliente peut-elle obtenir gain de cause et des pénalités deviennent-elles applicables ?
Devant un tribunal européen, oui : les pénalités étant liées à des clauses contractuelles favorisant le respect du RGPD, elles sont dues à la société française par la filiale américaine.
Mais devant un tribunal américain, ce n’est pas le cas. Un contrat privé ne peut jamais prévaloir sur la loi américaine, dont le CLOUD Act. Et donc les pénalités sont sans fondement juridique.
Tant qu’il n’existe pas une loi globale sur le cloud et une cour internationale pour la faire appliquer, chaque juge applique la loi de son pays. À ce titre, le juge américain ne prendra en compte que la loi américaine, dont le CLOUD Act, tandis qu’un juge français sera contraint aux lois françaises et européennes, dont le RGPD.
En conséquence, s’il décide de procéder à une saisie de données hébergées en France par une filiale de société américaine, un juge américain ne se sentira pas concerné par le RGPD.
Il nous reste alors à espérer que les motifs poussant un juge à exiger ces données seront justifiés (motifs dits de « felony »), et que jamais le pouvoir judiciaire américain ne pourrait être influencé par un membre du pouvoir exécutif. Ce qui est hélas déjà arrivé par le passé.
Le chiffrement est aussi souvent invoqué comme une protection possible contre le CLOUD Act. Mais au regard de la loi américaine (et française), le prestataire a obligation de remettre les clefs de chiffrement avec les données au moment de la saisie. Si le prestataire n’a pas les clefs, il se tournera à juste titre vers l’entreprise cliente qui, si elle ne fournit pas la clef, se mettra hors la loi. Le chiffrement n’est donc pas une solution viable dans ce cas, ne faisant qu’aggraver la situation de l’entreprise cliente.
Pour prendre une image : cela serait comme mettre des objets volés dans un coffre et de ne pas donner la clef ou le code aux autorités qui viennent faire la perquisition. C’est une obstruction, donc une circonstance aggravante.
Vers un droit international de la data ?
Par conséquent, minimiser la portée de l’extraterritorialité du CLOUD Act revient à poser des options :
Option 1 : les États-Unis et l’Europe parviennent à un accord dans un délai court, par exemple une délégation du CLOUD Act auprès d’un tribunal européen. Cela signifierait que les États-Unis accepteraient que l’Europe traite sur son sol les injonctions liées au CLOUD Act en renvoyant uniquement les conclusions et les pièces à conviction. Il faut alors que cet accord ne soit pas dénoncé par l’une ou l’autre partie (cas du Privacy Shield).
Option 2 : une décision de cour américaine donne raison à une société française qui fait valoir la prévalence du RGPD sur le CLOUD Act dans le cas d’un stockage local. Peu probable.
Option 3 : une faille dans l’expression du CLOUD Act est trouvée, concernant la manière dont sont liés la société américaine et sa filiale, ou sa franchise, ou son partenaire, en France. Il faudra alors espérer que le CLOUD Act ne soit pas modifié.
Option 4 : la Cour Internationale de Justice de l’ONU rend un arrêt qui prévaut sur le CLOUD Act, le RGPD et tous les équivalents chinois ou russes, mettant fin à cette tension sur la data. Il faudra alors espérer que les États-Unis respectent les décisions de l’ONU.
Option 4’ : l’ONU crée une Cour Internationale des Décisions sur les Données.
En l’absence de cas concret concernant ces options, il faut pouvoir trancher, dès aujourd’hui. Et bien qu’il ne faille être ni naïf ni imprudent, le danger semble être à modérer.
Les GAFAM envoient un message à la Maison-Blanche
En France le RGPD prévaut, et c’est sur cet aspect qu’il faut signer des contrats. Privilégier des acteurs français est un point important, mais les offres des hyperscalers sont techniquement convaincantes et encore en avance.
Les dernières annonces du gouvernement sur le cloud souverain mettent bien en évidence la nécessité de passer par des mécanismes de licences technologiques d’acteurs comme Microsoft ou Google, pour profiter de tout ou partie de leur technologie, permettant aux acteurs européens de développer des nouvelles solutions de confiance.
En dehors de toute naïveté, il faut surtout saisir les autorités françaises et européennes a priori, pour que des accords soient passés avec les différents États.
De la même manière, les sociétés doivent être conscientes du type de données hébergées dans le cloud, afin de se prémunir contre les problèmes les plus graves. Par exemple, envoyer des données personnelles ou confidentielles aux États-Unis, sans s’en rendre compte, à des simples fins d’exécution d’un service du cloud est passible d’amende.
Cela pose également la question de la crédibilité des États et de leur exposition médiatique.
Si une société était prise en étau entre le CLOUD Act et le RGPD, combien de temps faudrait-il pour que les médias européens s’emparent du dossier ? Le mouvement de refus des hyperscalers (AWS, Azure, GCP) pourrait leur être fatal. Il n’y a d’ailleurs à ce sujet aucune procédure judiciaire connue à date.
Les communications récentes des filiales européennes d’AWS et de Microsoft vont dans ce sens : il s’agit de stocker les données en Europe pour qu’elles y restent. Ces messages qualifiés plus haut de marketing sont probablement tout autant à destination de la Maison-Blanche (« Desserrez l’étau du CLOUD Act on va perdre des parts de marché »).
Il est temps que l’Europe s’empare du dossier
Néanmoins, il est important pour les clients européens de se poser la question : l’Europe, sur une initiative qui pourrait être menée par Thierry Breton, peut-elle aussi prendre une position forte pour influencer un amendement du CLOUD Act ?
Doit-elle aussi renforcer la part des clouds « souverains » dans la répartition du marché, en profitant de cette menace du CLOUD Act ?
La réponse sera composite, mais ne passera pas sans des accords internationaux de haut niveau.
Demain, le CLOUD Act sera secondé par les équivalents en Russie ou encore en Chine. Ainsi, face à cette nouvelle forme de guerre, faire appel à l’ONU peut avoir une importance.
La timide annonce ces derniers jours du gouvernement pour tenter de garantir une forme de protection des données est un premier pas, mais il reste encore beaucoup de chemin à parcourir pour assurer une forme de réciprocité entre les grandes puissances pour qu’elles convergent vers une meilleure indépendance des données des acteurs économiques.
L’auteur : Thibault Ducray, directeur général de Talan Labs. Talan conseille les entreprises et les administrations, et les accompagne pour mettre en œuvre leurs projets de transformation en France et à l’international. Présent sur cinq continents, le groupe ambitionne de réaliser 350 M€ de CA en 2021 et vise à dépasser la barre du milliard d’€ de CA à horizon 2024. Talan emploie 3 500 consultants et consultantes.