Le CLOUD ACT est une Loi américaine (H.R.4943) votée par le 115ème Congrès américain et promulguée le 23 Mars 2018 par le Président Donald Trump. Il s’agit d’une Loi bipartisane (votée par les Démocrates et les Républicains). Son titre est un acronyme qui signifie « Clarifying Lawful Overseas Use of Data » pour CLOUD. C’est une Loi nationale certes, mais dont les effets extra-territoriaux sont affirmés dès le titre (« Overseas » signifie hors des États-Unis). Dès lors qu’il existe un lien suffisant avec les États-Unis, la loi américaine s’applique.
(Note : cet article s’inspire largement du document « HEXATRUST-Livre-Blanc-Cloud-ACT-WEB » téléchargeable gratuitement ici . Ainsi que d’un article de « l’usine digitale » consultable intégralement ici )
L’objectif premier qui a amené au vote du CLOUD ACT est d’améliorer le travail des autorités d’enquêtes et de poursuites américaines, fédérales ou locales, dans leur quête de données numériques hors des États-Unis. Egalement, de permettre aux acteurs numériques américains de se déterminer sur une demande d’un gouvernement étranger fondée sur sa loi locale, en fonction de leur loi nationale.
Le CLOUD ACT permet donc aux autorités américaines de demander l’accès à toute donnée numérique placée sous le contrôle du fournisseur de service susceptible de les intéresser dans le cadre d’une enquête. INDÉPENDAMMENT DE LA NATURE DE LA DONNÉE. INDÉPENDAMMENT DE LA NATIONALITÉ DU PROPRIÉTAIRE / UTILISATEUR DE LA DONNÉE. INDÉPENDAMMENT DE LA LOCALISATION DE LA DONNÉE. SANS OBLIGATION D’INFORMER LE PROPRIÉTAIRE / UTILISATEUR.
L’utilisateur se retrouve donc tributaire de l’attitude adoptée par le fournisseur de services, qui pourra décider d’une part de contester ou non la demande des autorités américaines, et d’autre part de l’avertir ou non qu’il fait l’objet d’une enquête.
Le CLOUD ACT pourrait permettre de donner accès à ses données, directement ou indirectement, à des concurrents. L’espionnage industriel avec ou sans l’intervention des autorités américaines est un risque concret. Ce sont ici des risques de fuite de données, mais également d’incidents de sûreté. La conservation des données par la justice américaine peut être soumise à un accident, une cyberattaque, une fraude interne ou à un détournement des droits d’accès (ce que le Sénat américain a appelé le LOVINT c’est-à-dire détournement des accès par des agents, par amour ou par intérêts).
Les principaux acteurs américains du numérique, conscients de la défiance de leurs clients européens vis-à-vis de cette ingérence, ne sont pas disposés à collaborer. Dans un billet publié sur son blog en octobre 2019, Google a annoncé qu’il allait désormais signaler le nombre de demandes gouvernementales qu’il reçoit sur la divulgation de données clients de la Google Cloud Platform et de G Suite. La raison est simple : « nos clients sont propriétaire de leurs données et ont le droit de contrôler leurs accès », affirme la firme de Mountain View.
La plupart des géants technologiques ont pris les mêmes engagements. « Nous ne divulguons pas les informations de nos clients en réponse aux demandes gouvernementales, à moins que nous ne soyons obligés à le faire pour nous conformer à une demande juridiquement valable et contraignante », est-il écrit sur le site d’Amazon. Microsoft avait suivi le même chemin en publiant six principes que doivent suivre les gouvernements, dans un billet publié sur son blog en septembre 2018. Parmi ces règles, on trouve le droit universel de notification, l’autorisation judiciaire préalable indépendante et présentation minimale requise, ou encore une notification claire des motifs de contestation.
Leur démarche est logique. Une étude produite par IBM, publiée en 2018, indiquait que 75 % des consommateurs n’achèteraient pas un produit s’ils ne sont pas assez confiants dans la protection de leurs données. Comment correctement vendre un service cloud lorsque les consommateurs n’ont aucune garantie que leurs données soient totalement protégées ?
Pour en savoir plus sur la sécurité de vos données, contactez-nous !