Prochain salon, VivaTech • 14–17 juin • Paris Expo Porte de Versailles

Actualités / Cloud Act, une menace pour les données des entreprises européennes

Actualité

Cloud Act, une menace pour les données des entreprises européennes

Visuel représentant un nuage dans lequel se trouve un drapeau américain et les mots cloud act

Que contient le Cloud Act ?

 

Le Cloud Act est une loi américaine votée le 23 mars 2018. Le Cloud Act prévoit que toute société américaine au sens du droit américain et ses filiales indépendamment de leurs localisations doivent communiquer aux autorités américaines les données qu’elles contrôlent sans considération du lieu où ses données se trouvent stockées. Le Cloud Act offre la possibilité pour le gouvernement américain de signer avec des gouvernements étrangers des accords bilatéraux, et ce sans passage par le Congrès, contrairement aux MLAT, destinés à offrir un cadre plus fluide et rapide aux demandes de communications que celui de l’entraide judiciaire internationale traditionnelle (MLAT).

Aucun accord bilatéral n’est signé à ce jour.

Le Cloud Act prévoit explicitement que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer, si cette communication implique la violation de la législation d’un pays étranger.

Cette possibilité n’est valable que si un accord bilatéral existe, or aucun accord existe à ce jour donc il n’y a pas de recours ou de possibilité de refus de la part du prestataire.

En cas d’accord bilatéral, la demande d’opposition doit être formulée dans les 14 jours, et la Cour doit exercer une balance des intérêts selon des critères fixés par le Cloud Act comme l’intérêt des Etats-Unis, l’importance des moyens déployés dans les investigations, le lien de la personne visée avec les États-Unis, etc. En l’absence d’accord bilatéral, les juges devront également opérer une balance des intérêts entre celui des États-Unis et des autres pays mais sans critères définis par la loi, sur le seul principe de la courtoisie internationale, ce qui est moins protecteur…

D’autre part, il prévoit qu’à la réciproque, les autorités étrangères pourraient contraindre directement les entreprises américaines à leur fournir des données dès lors que leur pays d’origine a conclu un Executive Agreement avec les Etats-Unis.

Le Cloud Act est-il conforme avec les lois européennes ?

 

Le Cloud Act n’est pas compatible avec la réglementation européenne, à savoir le GDPR (« General Data Protection Regulation »), tout comme c’était le cas des textes antérieurs au Cloud Act. En effet, à titre d’exemple, le FISA, qui est largement utilisé, permet de mettre en place une surveillance sur les données d’étrangers (aux US), même hébergées hors US. Il n’est pas exigé que cela soit justifié par une enquête en cours. Le but de la surveillance peut être purement politique et/ou commercial. A ce niveau-là, il n’y pas donc pas de changement : la législation américaine était déjà et reste incompatible avec le droit européen.

Par conséquent, la législation américaine n’est pas reconnue comme une législation assurant un niveau de protection adéquat par rapport aux textes européens en matière de protection des données. Pour transférer des données aux USA, il convient donc de démontrer la mise en place de garanties appropriées (clauses contractuelles type, Binding Corporate Rules, etc.). Un mécanisme de garanties appropriées, le « Privacy Shield » (également appelé « Bouclier de protection »), a été mis en place spécifiquement pour les échanges de données avec les USA : les entreprises destinataires des données s’inscrivent sur un registre auprès de l’administration US et s’engagent à respecter un certain nombre de principes. En pratique ce n’est pas sérieux, car il s’agit d’un mécanisme d’auto-certification (d’ailleurs la version précédente, le Safe Harbour, a été invalidée) mais il est nécessaire de pouvoir échanger des données avec les USA.


Cas d’intelligence économique : rachat d’Alstom par GE, le levier judiciaire à l’œuvre

 

Dans le cadre du Rachat d’Alstom par GE, un précédant judiciaire a amené Alstom à négocier un règlement à l’amiable, puis obtenu un délai de paiement de ce règlement en attendant la vente d’Alstom au groupe GE. De fortes suspicions subsistent sur une coordination des démarches juridiques afin d’arriver aux résultats de la vente d’Alstom à GE comme présenté dans cet article et vidéo de France Inter. Dans ce cas des suspicions de corruption ont été utilisés pour mettre sous pression les dirigeants et l’entreprise. Après 4 ans d’enquêtes, le FBI disposait à priori d’éléments suffisant pour engager un procès. Devant les risques inhérents, la société Alstom a préféré négocier un règlement à l’amiable pour arrêter le litige, or l’entreprise Alstom ne disposait pas de la trésorerie pour honorer ce règlement. L’entreprise a donc été contrainte de chercher un repreneur pour une partie de ses activités afin de disposer des liquidités nécessaires.


Une interrogation : ce cas est-il transposable avec le Cloud Act ?

 

Comme le présente cet article de France Culture, les États-Unis ont un lourd passif d’utilisation de leur arsenal juridique à des fins de guerre économique. En effet on peut considérer que le Cloud Act est la version concernant les données de la loi anticorruption FCPA qui a d’ores et déjà prouvé sa rentabilité pour les États-Unis. Les déséquilibres apportés par le Cloud Act viennent donc en renforcement de cet arsenal juridique existant en couvrant le nouvel or : les données.

Franck Decloquement, expert en intelligence économique et stratégique, dans la vidéo de son intervention lors du colloque « Sanctions extraterritoriales américaines et indépendance des Etats » à l’Assemblée Nationale résume les enjeux de cette loi et de son exploitation dans le cadre d’une stratégie plus large de conquête par les États-Unis de l’espace numérique.


Un cas d’exploitation fictif

 

Dans un déroulé similaire à l’histoire du rachat d’Alstom par le groupe GE, l’on pourrait imaginer l’histoire suivante :

Une entreprise française des sciences de la vie utilise des systèmes d’informations disponibles en SaaS souscrit auprès ou ayant recours à des prestataires américains.

Celle-ci se développe dans un environnement concurrentiel et internationalisé, elle commercialise ses produits sur plusieurs continents. Un concurrent aux États-Unis saisi un procureur pour dénoncer des problèmes de qualité, de fiabilité ou d’effets secondaires des produits commercialisés aux États-Unis ou dans d’autres pays. Par diverses sources, le concurrent apprend que les données de l’entreprise sont gérées par des acteurs américains. Il sollicite alors le procureur pour que soient obtenues les données de l’entreprise auprès des hébergeurs ou prestataires SaaS américains ou de leur filiale.

L’exploitation approfondie des données permet d’identifier des manquements suffisants pour envisager un procès. L’entreprise préfère alors éviter la mauvaise presse d’un procès qui ferait irrémédiablement baisser ses ventes et sa réputation. Elle entre alors en négociation d’une amende. Le montant de l’amende et l’annonce de son attribution affaiblisse la position sur le marché de l’entreprise qui se voit contrainte d’envisager de nouveaux partenariats ou de vendre certaines de ses activités.


GxpManager : un choix responsable

 

Conscient des possibilités d’exploitation des données de nos clients, des risques juridiques et financier associés, GxpManager a fait le choix de retenir un acteur européen, non soumis à des législations extraterritoriales.

Notre solution SaaS est donc hébergée par un acteur français, en savoir plus sur notre Cloud.

GxpManager est un éditeur de logiciels spécialisé dans le traitement conforme des données critiques pour les acteurs des Sciences de la Vie et des autres secteurs réglementés également.

Autres actualités

Article
Numériser ses données critiques de manière sécurisée et conforme

Pour répondre aux exigences règlementaires d’intégrité et de traçabilité des données critiques, GxpManager propose aux fabricants de dispositifs médicaux une plateforme de digitalisation reposant sur un concept Low code No code…

Lire la suite
Article
Salon Swiss Biotech Day

Ces 24 et 25 avril se tenait le salon Swiss Biotech. Organisé par l’Association suisse des biotechnologies (Swiss Biotech Association), il a eu lieu à Bâle, la ville suisse considérée comme la capitale européenne de l’industrie pharmaceutique.

Lire la suite
Article
Une collaboration qui se renforce : COLCA MS

GxpManager a récemment signé avec Colca, et a mis en place un système de qualité grâce à l’application QMS-4-SME.

Lire la suite
Article
GxpManager obtient la certification ISO 9001

GxpManager est certifié ISO 9001 depuis le 29 mars 2023.

Lire la suite
Article
Salon Forum Labo Paris

Du 28 au 30 mars a eu lieu le salon Forum Labo Paris. Pendant ces 3 jours, Elisabeth et Marc y étaient pour présenter la plateforme GxpManager !

Lire la suite
Article
Salon Global Industrie Lyon

Du mardi 7 au vendredi 10 Mars 2023, notre équipe commerciale se trouvait au Salon Global Industrie à Eurexpo. Ce salon est l'un des plus grands événements industriels en France et en Europe.

Lire la suite
Article
La digitalisation des données en conformité avec la norme 21 CFR Part 11 de la FDA

La digitalisation des données critiques est devenue un impératif pour les entreprises du secteur des sciences de la vie. Les entreprises doivent garantir la sécurité, la fiabilité et l'intégrité des données…

Lire la suite
Article
Les 5 points clés de la digitalisation des formulaires pour les entreprises dans les secteurs réglementées.

Découvrez les avantages environnementaux, de réduction de coûts, de productivité et de rentabilité, de sécurité et d'intégrité des données, qu'offre la digitalisation des formulaires.

Lire la suite
Article
GxpManager participe à de nombreux salons en 2023

GxpManager sera présent sur différents salons spécialisés : Sciences de la Vie, biotechnologies, industries…

Lire la suite