Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi américaine adoptée en 2018, qui permet aux autorités américaines (FBI, NSA, etc.) d’accéder aux données stockées par des entreprises américaines, même si ces données sont hébergées en dehors des États-Unis.
L’objectif du Cloud Act est de faciliter l’accès aux données numériques dans le cadre d’enquêtes criminelles ou de sécurité nationale. Cependant, cette loi soulève des problèmes de souveraineté et de protection des données personnelles, notamment en Europe, où elle entre en conflit avec le RGPD (Règlement Général sur la Protection des Données).
Le Cloud Act s’applique :
Aux entreprises américaines (Microsoft, Google, Amazon, etc.), quel que soit le lieu de stockage des données.
Aux filiales étrangères de ces entreprises, même situées en dehors des États-Unis.
Aux services cloud qui hébergent ou traitent des données accessibles depuis les États-Unis.
Toute entreprise concernée doit fournir les données demandées par les autorités américaines, sous peine de sanctions.
Le Cloud Act est controversé car il entre en conflit avec plusieurs lois nationales et internationales :
Le RGPD (UE) : Protège les données des citoyens européens et impose des restrictions sur leur transfert en dehors de l’UE.
Le droit français (Loi Informatique et Libertés) : Réglemente l’accès aux données personnelles stockées en France.
Le Privacy Shield (invalidé en 2020) : Ancien accord encadrant le transfert de données entre l’UE et les États-Unis.
Certaines entreprises européennes ont cherché à contourner le Cloud Act en privilégiant des hébergeurs européens non soumis à la loi américaine.
Pour les entreprises
Risque d’obligation de divulgation des données à des autorités étrangères.
Conflit avec les réglementations locales sur la protection des données.
Nécessité de sécuriser l’hébergement en privilégiant des solutions souveraines.
Pour les utilisateurs
Moins de confidentialité pour les données stockées sur des services cloud américains.
Risque d’accès aux données sans notification ni consentement.
Importance de choisir des services conformes au RGPD pour protéger ses informations.
Critère | Cloud Act | RGPD |
Objectif | Accès aux données par les autorités américaines | Protection des données personnelles en Europe |
Champ d’application | Entreprises américaines, où que soient les données | Toutes les entreprises traitant des données de citoyens européens |
Contraintes | Obligation de fournir les données aux USA | Encadrement strict des transferts de données |
Le Cloud Act s’applique-t-il aux entreprises européennes ?
Oui, si elles utilisent des services cloud américains ou ont des liens avec des entreprises américaines.
Comment éviter le Cloud Act ?
En choisissant un hébergement 100 % européen non soumis aux lois américaines.
Les données des citoyens français sont-elles protégées ?
Oui, en théorie par le RGPD, mais elles peuvent être accessibles aux autorités américaines si stockées chez un prestataire soumis au Cloud Act.
Le Cloud Act représente un défi majeur pour la souveraineté numérique et la protection des données personnelles. Pour les entreprises et les utilisateurs soucieux de la confidentialité de leurs données, il est recommandé de choisir des solutions cloud européennes conformes au RGPD.
© 2024 Dreyfus – Création Agence Peach
