Actualité

Cloud Act, une menace pour les données des entreprises européennes

Visuel représentant un nuage dans lequel se trouve un drapeau américain et les mots cloud act

Que contient le Cloud Act ?

 

Le Cloud Act est une loi américaine votée le 23 mars 2018. Le Cloud Act prévoit que toute société américaine au sens du droit américain et ses filiales indépendamment de leurs localisations doivent communiquer aux autorités américaines les données qu’elles contrôlent sans considération du lieu où ses données se trouvent stockées. Le Cloud Act offre la possibilité pour le gouvernement américain de signer avec des gouvernements étrangers des accords bilatéraux, et ce sans passage par le Congrès, contrairement aux MLAT, destinés à offrir un cadre plus fluide et rapide aux demandes de communications que celui de l’entraide judiciaire internationale traditionnelle (MLAT).

Aucun accord bilatéral n’est signé à ce jour.

Le Cloud Act prévoit explicitement que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer, si cette communication implique la violation de la législation d’un pays étranger.

Cette possibilité n’est valable que si un accord bilatéral existe, or aucun accord existe à ce jour donc il n’y a pas de recours ou de possibilité de refus de la part du prestataire.

En cas d’accord bilatéral, la demande d’opposition doit être formulée dans les 14 jours, et la Cour doit exercer une balance des intérêts selon des critères fixés par le Cloud Act comme l’intérêt des Etats-Unis, l’importance des moyens déployés dans les investigations, le lien de la personne visée avec les États-Unis, etc. En l’absence d’accord bilatéral, les juges devront également opérer une balance des intérêts entre celui des États-Unis et des autres pays mais sans critères définis par la loi, sur le seul principe de la courtoisie internationale, ce qui est moins protecteur…

D’autre part, il prévoit qu’à la réciproque, les autorités étrangères pourraient contraindre directement les entreprises américaines à leur fournir des données dès lors que leur pays d’origine a conclu un Executive Agreement avec les Etats-Unis.

Le Cloud Act est-il conforme avec les lois européennes ?

 

Le Cloud Act n’est pas compatible avec la réglementation européenne, à savoir le GDPR (« General Data Protection Regulation »), tout comme c’était le cas des textes antérieurs au Cloud Act. En effet, à titre d’exemple, le FISA, qui est largement utilisé, permet de mettre en place une surveillance sur les données d’étrangers (aux US), même hébergées hors US. Il n’est pas exigé que cela soit justifié par une enquête en cours. Le but de la surveillance peut être purement politique et/ou commercial. A ce niveau-là, il n’y pas donc pas de changement : la législation américaine était déjà et reste incompatible avec le droit européen.

Par conséquent, la législation américaine n’est pas reconnue comme une législation assurant un niveau de protection adéquat par rapport aux textes européens en matière de protection des données. Pour transférer des données aux USA, il convient donc de démontrer la mise en place de garanties appropriées (clauses contractuelles type, Binding Corporate Rules, etc.). Un mécanisme de garanties appropriées, le « Privacy Shield » (également appelé « Bouclier de protection »), a été mis en place spécifiquement pour les échanges de données avec les USA : les entreprises destinataires des données s’inscrivent sur un registre auprès de l’administration US et s’engagent à respecter un certain nombre de principes. En pratique ce n’est pas sérieux, car il s’agit d’un mécanisme d’auto-certification (d’ailleurs la version précédente, le Safe Harbour, a été invalidée) mais il est nécessaire de pouvoir échanger des données avec les USA.


Cas d’intelligence économique : rachat d’Alstom par GE, le levier judiciaire à l’œuvre

 

Dans le cadre du Rachat d’Alstom par GE, un précédant judiciaire a amené Alstom à négocier un règlement à l’amiable, puis obtenu un délai de paiement de ce règlement en attendant la vente d’Alstom au groupe GE. De fortes suspicions subsistent sur une coordination des démarches juridiques afin d’arriver aux résultats de la vente d’Alstom à GE comme présenté dans cet article et vidéo de France Inter. Dans ce cas des suspicions de corruption ont été utilisés pour mettre sous pression les dirigeants et l’entreprise. Après 4 ans d’enquêtes, le FBI disposait à priori d’éléments suffisant pour engager un procès. Devant les risques inhérents, la société Alstom a préféré négocier un règlement à l’amiable pour arrêter le litige, or l’entreprise Alstom ne disposait pas de la trésorerie pour honorer ce règlement. L’entreprise a donc été contrainte de chercher un repreneur pour une partie de ses activités afin de disposer des liquidités nécessaires.


Une interrogation : ce cas est-il transposable avec le Cloud Act ?

 

Comme le présente cet article de France Culture, les États-Unis ont un lourd passif d’utilisation de leur arsenal juridique à des fins de guerre économique. En effet on peut considérer que le Cloud Act est la version concernant les données de la loi anticorruption FCPA qui a d’ores et déjà prouvé sa rentabilité pour les États-Unis. Les déséquilibres apportés par le Cloud Act viennent donc en renforcement de cet arsenal juridique existant en couvrant le nouvel or : les données.

Franck Decloquement, expert en intelligence économique et stratégique, dans la vidéo de son intervention lors du colloque « Sanctions extraterritoriales américaines et indépendance des Etats » à l’Assemblée Nationale résume les enjeux de cette loi et de son exploitation dans le cadre d’une stratégie plus large de conquête par les États-Unis de l’espace numérique.


Un cas d’exploitation fictif

 

Dans un déroulé similaire à l’histoire du rachat d’Alstom par le groupe GE, l’on pourrait imaginer l’histoire suivante :

Une entreprise française des sciences de la vie utilise des systèmes d’informations disponibles en SaaS souscrit auprès ou ayant recours à des prestataires américains.

Celle-ci se développe dans un environnement concurrentiel et internationalisé, elle commercialise ses produits sur plusieurs continents. Un concurrent aux États-Unis saisi un procureur pour dénoncer des problèmes de qualité, de fiabilité ou d’effets secondaires des produits commercialisés aux États-Unis ou dans d’autres pays. Par diverses sources, le concurrent apprend que les données de l’entreprise sont gérées par des acteurs américains. Il sollicite alors le procureur pour que soient obtenues les données de l’entreprise auprès des hébergeurs ou prestataires SaaS américains ou de leur filiale.

L’exploitation approfondie des données permet d’identifier des manquements suffisants pour envisager un procès. L’entreprise préfère alors éviter la mauvaise presse d’un procès qui ferait irrémédiablement baisser ses ventes et sa réputation. Elle entre alors en négociation d’une amende. Le montant de l’amende et l’annonce de son attribution affaiblisse la position sur le marché de l’entreprise qui se voit contrainte d’envisager de nouveaux partenariats ou de vendre certaines de ses activités.


GxpManager : un choix responsable

 

Conscient des possibilités d’exploitation des données de nos clients, des risques juridiques et financier associés, GxpManager a fait le choix de retenir un acteur européen, non soumis à des législations extraterritoriales.

Notre solution SaaS est donc hébergée par un acteur français, en savoir plus sur notre Cloud.

GxpManager est un éditeur de logiciels spécialisé dans le traitement conforme des données critiques pour les acteurs des Sciences de la Vie et des autres secteurs réglementés également.

Autres actualités

Actualité
PCH Meetings Lyon 2022

Les 29 et 30 Novembre 2022, la 18ème édition des rendez-vous d’affaires internationaux des industries Pharmaceutiques, Chimiques et Pétrochimiques se tenait à l’espace Tête d’Or à Lyon.

Lire la suite
Actualité
Salon A3P Belgique

Jeudi 17 novembre, le salon A3P se tenait en Belgique sur le thème de la digitalisation. Notre équipe commerciale était présente.

Lire la suite
Actualité
Salon ILMAC Lausanne 2022

Elisabeth et Marc ont visité le salon ILMAC ce mercredi 28 septembre 2022, afin d’aller à la rencontre des acteurs des industries de la chimie et des sciences de la vie présents en Suisse et Europe.

Lire la suite
Actualité
BFM BUSINESS : Replay Focus PME

Jérôme Tomaselli, lors de l'émission Focus PME sur BFM business du 25 juin 2022.

Lire la suite
Actualité
La référence en digitalisation des données critiques

En ce début d’année 2022, ils ont décidé d’accorder leur confiance à l’éditeur GxpManager

Lire la suite
Actualité
Concilier fin des documents papier et mise en conformité

GxpManager a mis au point une plateforme qui regroupe un ensemble d'applications spécifiques aux dispositifs médicaux prêtes à l'emploi…

Lire la suite
Actualité
Digitalisation des données : de la GreenIT à la Data integrity

Expert en traitement des données critiques, GxpManager nous livre ici sa vision de la digitalisation…

Lire la suite
Actualité
LE GRAND ENTRETIEN

Jérôme Tomaselli, lors de l'émission Le Grand Entretien du 24 février 2022 sur B-Smart, répond à cinq questions posées par Michel Denisot…

Lire la suite
Actualité
Prophac fait confiance à GxpManager

En ce début d’année 2022, ils ont décidé d’accorder leur confiance à l’éditeur GxpManager

Lire la suite