Avec la vague médiatique entourant la mise en oeuvre du RGPD en Europe, une information est restée un peu sous le radar des médias : le Cloud Act, une loi un tantinet liberticide validée discrètement par le congrès américain à l’occasion de la dernière loi de finance.
Cette disposition toute neuve est en fait une extension du Patriot Act, la loi adoptée à la suite du 11 septembre pour donner toute latitude aux autorités US sur les logiciels et services en ligne, dans le cadre de la lutte antiterroriste.
On le sait, que ce soit dans un cadre légal (injonction judiciaire) ou plus flou (NSA, CIA), les autorités américaines entendent pouvoir accéder aux données sur tous les clouds des GAFA.
Mais jusqu’à maintenant ces injonctions n’étaient valables que pour les données stockées sur le territoire américain.
Pour simplifier, si votre compte Microsoft était hébergé sur le sol américain, vous étiez susceptible d’être contrôlé, mais pas si vos données étaient hébergées sur un autre datacenter, disons à Dublin.
C’est cet exemple précis qui a conduit à la mise en œuvre du Cloud Act. En 2013, Microsoft a refusé de communiquer des données d’email exactement pour ce cas de figure, ce qui a enclenché la mise en œuvre de la mesure.
Une nouvelle qui fait mal pour les grands acteurs
Depuis quelques années, les grands acteurs du Cloud (Microsoft, Google, Amazon…) ont considérablement investi dans la localisation de leurs centres de données, notamment en prévision de l’entrée en vigueur du RGPD.
Il est possible depuis quelque temps déjà de choisir le lieu d’hébergement de ses données (quoique les garanties d’étanchéité parfaite ne soient quasiment jamais atteintes).
C’est donc un coup très dur que le Cloud Act porte à ces acteurs : combien de millions dépensés pour apporter des garanties retirées d’un trait de plume par le congrès américain ?
Bien entendu, la réponse est déjà préparée : “ Le Cloud Act ne concerne que des réquisitions judiciaires… “.
Mais bien entendu, au regard du passé récent et des révélations d’Edward Snowden sur le système PRISM de la NSA, le doute est franchement de mise.
Le prétexte du terrorisme est-il aussi l’occasion de procéder à de nouvelles formes de guerre économique ? Quand on voit les positions du Président Trump sur le commerce en général et sa politique “America First”, on peut sérieusement en douter.
Une incompatibilité fondamentale avec le RGPD
Faute de concertation internationale, le Cloud Act vient directement contredire le RGPD, puisqu’il permet à la justice américaine (et aux agences de renseignement potentiellement) de réquisitionner des données personnelles complètement en dehors du cadre du règlement.
C’est clairement un problème pour toutes les entreprises qui ont déjà investi des moyens importants pour s’y conformer : quel intérêt de gérer les données personnelles au cordeau si c’est pour qu’elles finissent dans un service américain soumis au Cloud Act ?
Il était déjà compliqué de faire le tri dans ses fournisseurs, mais cette disposition ajoute encore tout un niveau de complexité.
Quand on y regarde de près, de très nombreux services américains servent d’ores et déjà à gérer des données personnelles : CRM, emailing, marketing automation. Suivez mon regard.
Un avantage concurrentiel important pour les solutions européennes
Quand nous avons créé Sellsy il y a 8 ans, nous avons directement fait le choix d’avoir nos propres serveurs, hébergés en France et sous notre entière responsabilité.
Bien entendu les serveurs ne sont pas dans la salle à café, mais bien dans un data center ultra sécurisé au cœur de Paris, mais ce sont nos machines.
La seule autorité qui pourrait nous obliger à divulguer des données est l’autorité judiciaire française, point à la ligne.
Au cours de ces années, nous avons eu de nombreuses remarques du style “Vos propres serveurs ? Mais vous devriez être sur AWS ou Google Cloud, c’est plus ceci, plus cela…”.
Autant d’arguments que nous avons toujours refusé d’écouter et à bon escient quand on voit la situation actuelle et notamment les nombreuses entreprises SaaS en France obligées de migrer en catastrophe de leurs services US non compatibles RGPD.
Avec le Cloud Act, c’est le niveau supérieur : même si le service en question a mis en place une démarche RGPD compatible, s’il est américain il tombe sous le coup du Cloud Act, quoiqu’il advienne.
Le futur de l’applicatif sera RGPD en Europe ou ne sera pas
Contrairement aux idées reçues et aux nombreux commentaires que suscite le RGPD, le règlement est plutôt bien accueilli par les PME.
On peut saluer ici l’énorme travail d’évangélisation et d’explication fourni par la CNIL depuis deux ou trois ans.
Après tout, les dispositions paraissent logiques et chacun en comprend les motifs à titre individuel : “ne pas faire ce qu’on n’aimerait pas pour soi-même”. Rien de bien complexe, juste du bon sens.
C’est pourquoi une disposition comme le Cloud Act, dans toute sa dimension belliqueuse, ne peut s’accorder aux motifs finalement humanistes qui ont donné naissance au RGPD.