Cloud Act et lois extraterritoriales une menace pour les données des entreprises européennes

Que contient le Cloud Act ?

Le Cloud Act est une loi américaine votée le 23 mars 2018. Le Cloud Act prévoit que toute société américaine au sens du droit américain et ses filiales indépendamment de leurs localisations doivent communiquer aux autorités américaines les données qu’elles contrôlent sans considération du lieu où ses données se trouvent stockées. Le Cloud Act offre la possibilité pour le gouvernement américain de signer avec des gouvernements étrangers des accords bilatéraux, et ce sans passage par le Congrès, contrairement aux MLAT, destinés à offrir un cadre plus fluide et rapide aux demandes de communications que celui de l’entraide judiciaire internationale traditionnelle (MLAT).

Aucun accord bilatéral n’est signé à ce jour.

Le Cloud Act prévoit explicitement que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer, si cette communication implique la violation de la législation d’un pays étranger.

Cette possibilité n’est valable que si un accord bilatéral existe, or aucun accord existe à ce jour donc il n’y a pas de recours ou de possibilité de refus de la part du prestataire.

En cas d’accord bilatéral, la demande d’opposition doit être formulée dans les 14 jours, et la Cour doit exercer une balance des intérêts selon des critères fixés par le Cloud Act comme l’intérêt des Etats-Unis, l’importance des moyens déployés dans les investigations, le lien de la personne visée avec les États-Unis, etc. En l’absence d’accord bilatéral, les juges devront également opérer une balance des intérêts entre celui des États-Unis et des autres pays mais sans critères définis par la loi, sur le seul principe de la courtoisie internationale, ce qui est moins protecteur…

D’autre part, il prévoit qu’à la réciproque, les autorités étrangères pourraient contraindre directement les entreprises américaines à leur fournir des données dès lors que leur pays d’origine a conclu un Executive Agreement avec les Etats-Unis.

Le Cloud Act est-il conforme avec les lois européennes ?

Le Cloud Act n’est pas compatible avec la réglementation européenne, à savoir le GDPR (« General Data Protection Regulation »), tout comme c’était le cas des textes antérieurs au Cloud Act. En effet, à titre d’exemple, le FISA, qui est largement utilisé, permet de mettre en place une surveillance sur les données d’étrangers (aux US), même hébergées hors US. Il n’est pas exigé que cela soit justifié par une enquête en cours. Le but de la surveillance peut être purement politique et/ou commercial. A ce niveau-là, il n’y pas donc pas de changement : la législation américaine était déjà et reste incompatible avec le droit européen.

Par conséquent, la législation américaine n’est pas reconnue comme une législation assurant un niveau de protection adéquat par rapport aux textes européens en matière de protection des données. Pour transférer des données aux USA, il convient donc de démontrer la mise en place de garanties appropriées (clauses contractuelles type, Binding Corporate Rules, etc.). Un mécanisme de garanties appropriées, le « Privacy Shield » (également appelé « Bouclier de protection »), a été mis en place spécifiquement pour les échanges de données avec les USA : les entreprises destinataires des données s’inscrivent sur un registre auprès de l’administration US et s’engagent à respecter un certain nombre de principes. En pratique ce n’est pas sérieux, car il s’agit d’un mécanisme d’auto-certification (d’ailleurs la version précédente, le Safe Harbour, a été invalidée) mais il est nécessaire de pouvoir échanger des données avec les USA.

Cas d’intelligence économique : rachat d’Alstom par GE, le levier judiciaire à l’œuvre

Dans le cadre du Rachat d’Alstom par GE, un précédant judiciaire a amené Alstom à négocier un règlement à l’amiable, puis obtenu un délai de paiement de ce règlement en attendant la vente d’Alstom au groupe GE. De fortes suspicions subsistent sur une coordination des démarches juridiques afin d’arriver aux résultats de la vente d’Alstom à GE comme présenté dans cet article et vidéo de France Inter. Dans ce cas des suspicions de corruption ont été utilisés pour mettre sous pression les dirigeants et l’entreprise. Après 4 ans d’enquêtes, le FBI disposait à priori d’éléments suffisant pour engager un procès. Devant les risques inhérents, la société Alstom a préféré négocier un règlement à l’amiable pour arrêter le litige, or l’entreprise Alstom ne disposait pas de la trésorerie pour honorer ce règlement. L’entreprise a donc été contrainte de chercher un repreneur pour une partie de ses activités afin de disposer des liquidités nécessaires.

Une interrogation : ce cas est-il transposable avec le Cloud Act ?

Comme le présente cet article de France Culture, les États-Unis ont un lourd passif d’utilisation de leur arsenal juridique à des fins de guerre économique. En effet on peut considérer que le Cloud Act est la version concernant les données de la loi anticorruption FCPA qui a d’ores et déjà prouvé sa rentabilité pour les États-Unis. Les déséquilibres apportés par le Cloud Act viennent donc en renforcement de cet arsenal juridique existant en couvrant le nouvel or : les données.

Franck Decloquement, expert en intelligence économique et stratégique, dans la vidéo de son intervention lors du colloque « Sanctions extraterritoriales américaines et indépendance des Etats » à l’Assemblée Nationale résume les enjeux de cette loi et de son exploitation dans le cadre d’une stratégie plus large de conquête par les États-Unis de l’espace numérique.

Un cas d’exploitation fictif

Dans un déroulé similaire à l’histoire du rachat d’Alstom par le groupe GE, l’on pourrait imaginer l’histoire suivante :

Une entreprise française des sciences de la vie utilise des systèmes d’informations disponibles en SaaS souscrit auprès ou ayant recours à des prestataires américains.

Celle-ci se développe dans un environnement concurrentiel et internationalisé, elle commercialise ses produits sur plusieurs continents. Un concurrent aux États-Unis saisi un procureur pour dénoncer des problèmes de qualité, de fiabilité ou d’effets secondaires des produits commercialisés aux États-Unis ou dans d’autres pays. Par diverses sources, le concurrent apprend que les données de l’entreprise sont gérées par des acteurs américains. Il sollicite alors le procureur pour que soient obtenues les données de l’entreprise auprès des hébergeurs ou prestataires SaaS américains ou de leur filiale.

L’exploitation approfondie des données permet d’identifier des manquements suffisants pour envisager un procès. L’entreprise préfère alors éviter la mauvaise presse d’un procès qui ferait irrémédiablement baisser ses ventes et sa réputation. Elle entre alors en négociation d’une amende. Le montant de l’amende et l’annonce de son attribution affaiblisse la position sur le marché de l’entreprise qui se voit contrainte d’envisager de nouveaux partenariats ou de vendre certaines de ses activités.

GxpManager : un choix responsable

Conscient des possibilités d’exploitation des données de nos clients, des risques juridiques et financier associés, GxpManager a fait le choix de retenir un acteur européen, non soumis à des législations extraterritoriales.

Notre solution SaaS est donc hébergée par un acteur français, en savoir plus sur notre Cloud.

GxpManager est un éditeur de logiciels spécialisé dans le traitement conforme des données critiques pour les acteurs des Sciences de la Vie et des autres secteurs réglementés également.