WEBINAIRE | Gestion des risques pour les Dispositifs Médicaux : Conformité, traçabilité et sécurité des données – Replay disponible ICI

Actualités / Cloud Act, une menace pour les données des entreprises européennes

Actualité

Cloud Act, une menace pour les données des entreprises européennes

Visuel représentant un nuage dans lequel se trouve un drapeau américain et les mots cloud act

Que contient le Cloud Act ?

Le Cloud Act est une loi américaine votée le 23 mars 2018. Le Cloud Act prévoit que toute société américaine au sens du droit américain et ses filiales indépendamment de leurs localisations doivent communiquer aux autorités américaines les données qu’elles contrôlent sans considération du lieu où ses données se trouvent stockées. Le Cloud Act offre la possibilité pour le gouvernement américain de signer avec des gouvernements étrangers des accords bilatéraux, et ce sans passage par le Congrès, contrairement aux MLAT, destinés à offrir un cadre plus fluide et rapide aux demandes de communications que celui de l’entraide judiciaire internationale traditionnelle (MLAT).

Aucun accord bilatéral n’est signé à ce jour.

Le Cloud Act prévoit explicitement que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer, si cette communication implique la violation de la législation d’un pays étranger.

Cette possibilité n’est valable que si un accord bilatéral existe, or aucun accord existe à ce jour donc il n’y a pas de recours ou de possibilité de refus de la part du prestataire.

En cas d’accord bilatéral, la demande d’opposition doit être formulée dans les 14 jours, et la Cour doit exercer une balance des intérêts selon des critères fixés par le Cloud Act comme l’intérêt des Etats-Unis, l’importance des moyens déployés dans les investigations, le lien de la personne visée avec les États-Unis, etc. En l’absence d’accord bilatéral, les juges devront également opérer une balance des intérêts entre celui des États-Unis et des autres pays mais sans critères définis par la loi, sur le seul principe de la courtoisie internationale, ce qui est moins protecteur…

D’autre part, il prévoit qu’à la réciproque, les autorités étrangères pourraient contraindre directement les entreprises américaines à leur fournir des données dès lors que leur pays d’origine a conclu un Executive Agreement avec les Etats-Unis.

 

Le Cloud Act est-il conforme avec les lois européennes ?

Le Cloud Act n’est pas compatible avec la réglementation européenne, à savoir le GDPR (« General Data Protection Regulation »), tout comme c’était le cas des textes antérieurs au Cloud Act. En effet, à titre d’exemple, le FISA, qui est largement utilisé, permet de mettre en place une surveillance sur les données d’étrangers (aux US), même hébergées hors US. Il n’est pas exigé que cela soit justifié par une enquête en cours. Le but de la surveillance peut être purement politique et/ou commercial. A ce niveau-là, il n’y pas donc pas de changement : la législation américaine était déjà et reste incompatible avec le droit européen.

Par conséquent, la législation américaine n’est pas reconnue comme une législation assurant un niveau de protection adéquat par rapport aux textes européens en matière de protection des données. Pour transférer des données aux USA, il convient donc de démontrer la mise en place de garanties appropriées (clauses contractuelles type, Binding Corporate Rules, etc.). Un mécanisme de garanties appropriées, le « Privacy Shield » (également appelé « Bouclier de protection »), a été mis en place spécifiquement pour les échanges de données avec les USA : les entreprises destinataires des données s’inscrivent sur un registre auprès de l’administration US et s’engagent à respecter un certain nombre de principes. En pratique ce n’est pas sérieux, car il s’agit d’un mécanisme d’auto-certification (d’ailleurs la version précédente, le Safe Harbour, a été invalidée) mais il est nécessaire de pouvoir échanger des données avec les USA.

Cas d’intelligence économique : rachat d’Alstom par GE, le levier judiciaire à l’œuvre

Dans le cadre du Rachat d’Alstom par GE, un précédant judiciaire a amené Alstom à négocier un règlement à l’amiable, puis obtenu un délai de paiement de ce règlement en attendant la vente d’Alstom au groupe GE. De fortes suspicions subsistent sur une coordination des démarches juridiques afin d’arriver aux résultats de la vente d’Alstom à GE comme présenté dans cet article et vidéo de France Inter. Dans ce cas des suspicions de corruption ont été utilisés pour mettre sous pression les dirigeants et l’entreprise. Après 4 ans d’enquêtes, le FBI disposait à priori d’éléments suffisant pour engager un procès. Devant les risques inhérents, la société Alstom a préféré négocier un règlement à l’amiable pour arrêter le litige, or l’entreprise Alstom ne disposait pas de la trésorerie pour honorer ce règlement. L’entreprise a donc été contrainte de chercher un repreneur pour une partie de ses activités afin de disposer des liquidités nécessaires.

Une interrogation : ce cas est-il transposable avec le Cloud Act ?

Comme le présente cet article de France Culture, les États-Unis ont un lourd passif d’utilisation de leur arsenal juridique à des fins de guerre économique. En effet on peut considérer que le Cloud Act est la version concernant les données de la loi anticorruption FCPA qui a d’ores et déjà prouvé sa rentabilité pour les États-Unis. Les déséquilibres apportés par le Cloud Act viennent donc en renforcement de cet arsenal juridique existant en couvrant le nouvel or : les données.

Franck Decloquement, expert en intelligence économique et stratégique, dans la vidéo de son intervention lors du colloque « Sanctions extraterritoriales américaines et indépendance des Etats » à l’Assemblée Nationale résume les enjeux de cette loi et de son exploitation dans le cadre d’une stratégie plus large de conquête par les États-Unis de l’espace numérique.

Un cas d’exploitation fictif

Dans un déroulé similaire à l’histoire du rachat d’Alstom par le groupe GE, l’on pourrait imaginer l’histoire suivante :

Une entreprise française des sciences de la vie utilise des systèmes d’informations disponibles en SaaS souscrit auprès ou ayant recours à des prestataires américains.

Celle-ci se développe dans un environnement concurrentiel et internationalisé, elle commercialise ses produits sur plusieurs continents. Un concurrent aux États-Unis saisi un procureur pour dénoncer des problèmes de qualité, de fiabilité ou d’effets secondaires des produits commercialisés aux États-Unis ou dans d’autres pays. Par diverses sources, le concurrent apprend que les données de l’entreprise sont gérées par des acteurs américains. Il sollicite alors le procureur pour que soient obtenues les données de l’entreprise auprès des hébergeurs ou prestataires SaaS américains ou de leur filiale.

L’exploitation approfondie des données permet d’identifier des manquements suffisants pour envisager un procès. L’entreprise préfère alors éviter la mauvaise presse d’un procès qui ferait irrémédiablement baisser ses ventes et sa réputation. Elle entre alors en négociation d’une amende. Le montant de l’amende et l’annonce de son attribution affaiblisse la position sur le marché de l’entreprise qui se voit contrainte d’envisager de nouveaux partenariats ou de vendre certaines de ses activités.

GxpManager : un choix responsable

Conscient des possibilités d’exploitation des données de nos clients, des risques juridiques et financier associés, GxpManager a fait le choix de retenir un acteur européen, non soumis à des législations extraterritoriales.

Notre solution SaaS est donc hébergée par un acteur français, en savoir plus sur notre Cloud.

GxpManager est un éditeur de logiciels spécialisé dans le traitement conforme des données critiques pour les acteurs des Sciences de la Vie et des autres secteurs réglementés également.

Autres actualités

Article
GxpManager : La solution de conformité des données

GxpManager est une plateforme innovante conçue pour simplifier et accélérer la mise en conformité des entreprises régulées selon les normes ISO, GMP et FDA. Gagnez du temps, réduisez la complexité et assurez la sécurité de vos données critiques avec une solution adaptée aux secteurs hautement réglementés.

Lire la suite
Article
La rentrée du DM, 12ème édition

GxpManager sera présent au stand 12 lors de la 12ème édition de La Rentrée du DM à Besançon, les 8 et 9 octobre 2024 ! Venez découvrir nos solutions innovantes pour la gestion de conformité, l’analyse de risques et la digitalisation des processus métiers. Nos experts vous attendent pour échanger sur vos défis réglementaires et vous présenter des outils personnalisés pour optimiser vos systèmes qualité.

Lire la suite
Article
Pourquoi digitaliser la gestion de vos artworks : 7 raisons essentielles

La digitalisation de ce processus offre non seulement des gains d'efficacité, mais elle réduit également les erreurs coûteuses et assure une conformité réglementaire stricte.

Lire la suite
Article
GxpManager participe au Digital Transformation week 2024

Venez nous rendre visite au stand 262 les 1er et 2 octobre au RAI Amsterdam Convention Centre. Découvrez nos solutions innovantes No Code Low Code pour la conformité et la transformation digitale. Échangez avec nos experts et découvrez comment nous pouvons optimiser vos processus métier !

Lire la suite
Article
6 avantages à digitaliser la gestion des audits

La digitalisation permet d'améliorer l'efficacité et la sécurité des audits, de renforcer la transparence et la traçabilité des données.

Lire la suite
Article
Industrie cosmétique : qualité et conformité

Les entreprises cherchent des solutions pour améliorer la qualité, la traçabilité et la digitalisation de leurs processus.

Lire la suite
Article
Digital Enterprise Show 2024 à Málaga, Espagne

Retrouvez-nous au stand 1G756 pour discuter des stratégies de données afin que votre entreprise respecte les réglementations de votre secteur.

Lire la suite
Article
GxpManager à la journée start-up DM 2024 du SNITEM

Retrouvez GxpManager, au stand S11, à la 9e journée start-up innovantes du dispositif médical, organisé par le SNITEM, qui se déroule le 4 juin 2024, à Lyon, au centre des Congrès

Lire la suite
Article
Modernisation de la Réglementation des Cosmétiques aux États-Unis

La MoCRA introduit des changements essentiels dans l'industrie cosmétique américaine.

Lire la suite