22 Avril 2021 - Guides

Cloud Act, Patriot Act, RGPD : à quelle législation vos données sont-elles soumises ?

En choisissant un hébergeur Web, vous choisissez également à quelle législation vos données seront soumises. Or trop souvent, cette réflexion sur le traitement des données n’est pas aussi aboutie qu’elle devrait l’être et la tentation est grande d’opter pour des solutions proposées par des grands acteurs du cloud étranger. Depuis plusieurs années, la notion de sécurité des données est primordiale. Il est donc crucial de bien choisir sa solution d’hébergement.

En choisissant un hébergeur Web, vous choisissez également à quelle législation vos données seront soumises. Or trop souvent, cette réflexion sur le traitement des données n’est pas aussi aboutie qu’elle devrait l’être et la tentation est grande d’opter pour des solutions proposées par des grands acteurs du cloud étranger. Depuis plusieurs années, la notion de sécurité des données est primordiale. Il est donc crucial de bien choisir sa solution d’hébergement.

Si vous confiez vos données personnelles à un prestataire américain ou bien un prestataire européen avec un hébergement de vos données sur le territoire américain, vous pouvez directement vous retrouver confrontés aux lois américaines (Cloud Act et Patriot Act). Seul un acteur de droit français ou européen, n’hébergeant pas vos données aux États-Unis, est à même de garantir un très haut niveau de protection de la confidentialité des données personnelles de vos clients, sociétaires ou administrés que vous traitez au moyen de ses offres. Et ce, même indirectement via une entité juridiquement et opérationnellement distincte de la maison mère. Pour vous éclairer sur les véritables enjeux du choix d’une solution d’hébergement, nous avons fait appel à Maître Alexandre Archambault, avocat au barreau de Paris et fin connaisseur du numérique.

Si vous confiez vos données personnelles à un prestataire américain ou bien un prestataire européen avec un hébergement de vos données sur le territoire américain, vous pouvez directement vous retrouver confrontés aux lois américaines (Cloud Act et Patriot Act). Seul un acteur de droit français ou européen, n’hébergeant pas vos données aux États-Unis, est à même de garantir un très haut niveau de protection de la confidentialité des données personnelles de vos clients, sociétaires ou administrés que vous traitez au moyen de ses offres. Et ce, même indirectement via une entité juridiquement et opérationnellement distincte de la maison mère. Pour vous éclairer sur les véritables enjeux du choix d’une solution d’hébergement, nous avons fait appel à Maître Alexandre Archambault, avocat au barreau de Paris et fin connaisseur du numérique.

Interview

Qu’est-ce que le Patriot Act et quelle est son influence sur la protection des données ?

« Adopté au lendemain des attentats du 11 septembre 2001, le USA Patriot Act (pour Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism) est un texte pivot central de la lutte des autorités fédérales américaines contre le terrorisme. Conçu à l'origine pour ne durer que quelques années, ce texte a été rendu permanent depuis 2005. Le Patriot Act permet aux agences fédérales américaines (le FBI, la CIA, la NSA, l'armée, le fisc…) d’obtenir des informations dans le cadre d’une enquête relative à des actes de terrorisme, au moyen d’injonctions destinées à rester secrètes compte tenu de la sensibilité du sujet. C’est d’ailleurs également le cas pour les demandes formulées sur ce sujet par les autorités françaises qui disposent d’un arsenal législatif en ce sens via notamment les dispositions du Code de la Sécurité Intérieure. »

« Adopté au lendemain des attentats du 11 septembre 2001, le USA Patriot Act (pour Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism) est un texte pivot central de la lutte des autorités fédérales américaines contre le terrorisme. Conçu à l'origine pour ne durer que quelques années, ce texte a été rendu permanent depuis 2005. Le Patriot Act permet aux agences fédérales américaines (le FBI, la CIA, la NSA, l'armée, le fisc…) d’obtenir des informations dans le cadre d’une enquête relative à des actes de terrorisme, au moyen d’injonctions destinées à rester secrètes compte tenu de la sensibilité du sujet. C’est d’ailleurs également le cas pour les demandes formulées sur ce sujet par les autorités françaises qui disposent d’un arsenal législatif en ce sens via notamment les dispositions du Code de la Sécurité Intérieure. »

Qu’est-ce que le Cloud Act ?

« Certains ont présenté le Cloud Act comme l’application au Cloud du Patriot Act. Il s’agit d’une loi fédérale américaine datant de 2018 qui est avant tout une loi de procédure, qui ne vise pas spécifiquement les acteurs du Cloud (ici Cloud est entendu par Clarifying Lawful Overseas Use of Data Act). Critiquée par de nombreuses associations de défense de la vie privée, mais également des Parlementaires, cette Loi permet notamment aux autorités américaines de solliciter les données d’une personne *, après autorisation judiciaire auprès des fournisseurs de services relevant des lois des États-Unis. »

« Certains ont présenté le Cloud Act comme l’application au Cloud du Patriot Act. Il s’agit d’une loi fédérale américaine datant de 2018 qui est avant tout une loi de procédure, qui ne vise pas spécifiquement les acteurs du Cloud (ici Cloud est entendu par Clarifying Lawful Overseas Use of Data Act). Critiquée par de nombreuses associations de défense de la vie privée, mais également des Parlementaires, cette Loi permet notamment aux autorités américaines de solliciter les données d’une personne *, après autorisation judiciaire auprès des fournisseurs de services relevant des lois des États-Unis. »

*Qu’elle soit physique ou morale et sans considération du lieu où sont stockées les données. Sans que la personne en question en soit informée, tout comme son pays de résidence, ou même le pays où sont stockées ces données.

*Qu’elle soit physique ou morale et sans considération du lieu où sont stockées les données. Sans que la personne en question en soit informée, tout comme son pays de résidence, ou même le pays où sont stockées ces données.

Pourquoi avoir créé le Cloud Act ?

« Le Cloud Act est la réponse des autorités fédérales américaines à certains acteurs du numérique américains qui avaient contesté, et obtenu gain de cause, devant les juridictions fédérales des demandes de données personnelles formulées par les autorités américaines. En particulier dans le cadre de poursuites engagées aux États-Unis, visant des citoyens non américains dont les données sont hébergées en Europe par des acteurs américains. »

« Le Cloud Act est la réponse des autorités fédérales américaines à certains acteurs du numérique américains qui avaient contesté, et obtenu gain de cause, devant les juridictions fédérales des demandes de données personnelles formulées par les autorités américaines. En particulier dans le cadre de poursuites engagées aux États-Unis, visant des citoyens non américains dont les données sont hébergées en Europe par des acteurs américains. »

Qu’est ce que cette loi implique concrètement ?

« Le Cloud Act est articulé autour de deux axes :

« Le Cloud Act est articulé autour de deux axes :

  • Il prévoit que toute société américaine au sens du droit américain (c’est-à-dire une société incorporée aux États-Unis, peu importe la nationalité des actionnaires ou de la maison-mère, ainsi que les sociétés contrôlées par elle) doit communiquer aux autorités américaines, sur leur demande et après autorisation d’un juge américain, les données de communication placées sous son contrôle sans considération du lieu où ces données se trouvent stockées. Ce qui peut donc entrer en conflit avec la souveraineté juridique des autres pays à raison du lieu de stockage des données ;
  • Également, il prévoit la possibilité pour le gouvernement des États-Unis de signer avec des gouvernements étrangers des accords internationaux. Ils permettent aux autorités respectives de chaque pays de demander directement aux fournisseurs de services de communication le traitement et stockage électronique de données de communication les intéressant. Cela sans avoir à passer par les procédures beaucoup plus complexes des commissions rogatoires internationales. »

Quel est l’objectif de cette loi ?

« L’objectif affiché est de coller à l’échelle de temps du numérique, où ce qui prenait plusieurs mois n’est plus acceptable à l’heure du tout connecté à l’échelle mondiale. Notons par ailleurs que cet objectif est partagé par les autorités européennes et françaises dans le cadre de leurs demandes de retrait de contenus en quelques heures, et qu’une version européenne du Cloud Act est en projet (E-evidence). »

« L’objectif affiché est de coller à l’échelle de temps du numérique, où ce qui prenait plusieurs mois n’est plus acceptable à l’heure du tout connecté à l’échelle mondiale. Notons par ailleurs que cet objectif est partagé par les autorités européennes et françaises dans le cadre de leurs demandes de retrait de contenus en quelques heures, et qu’une version européenne du Cloud Act est en projet (E-evidence). »

Est-ce qu’il est vrai qu’avec le Cloud Act les données ne sont plus en sécurité ?

« Contrairement à ce qu’on a pu lire ici ou là, le Cloud Act n’est pas synonyme d’open-bar pour les autorités américaines. En premier lieu, les autorités doivent toujours obtenir une autorisation d’un juge américain pour formuler de telles demandes. En second lieu, le fournisseur requis dispose de la possibilité de contester devant une juridiction l’ordre qui lui a été remis de divulguer aux autorités américaines les données personnelles qui lui ont été confiées.

« Contrairement à ce qu’on a pu lire ici ou là, le Cloud Act n’est pas synonyme d’open-bar pour les autorités américaines. En premier lieu, les autorités doivent toujours obtenir une autorisation d’un juge américain pour formuler de telles demandes. En second lieu, le fournisseur requis dispose de la possibilité de contester devant une juridiction l’ordre qui lui a été remis de divulguer aux autorités américaines les données personnelles qui lui ont été confiées.

Ensuite, c’est oublier qu’en Europe nous disposons du RGPD, texte pionnier et fondateur de la souveraineté des données en Europe puisque le champ d’application ne dépend pas du fournisseur, mais de la personne dont les données personnelles sont collectées, traitées ou stockées. S’il s’agit d’un citoyen européen, qu’il soit personne physique ou morale, le RGPD s’applique, quel que soit le lieu d’établissement du responsable de traitement ou celui de stockage des données.

Ensuite, c’est oublier qu’en Europe nous disposons du RGPD, texte pionnier et fondateur de la souveraineté des données en Europe puisque le champ d’application ne dépend pas du fournisseur, mais de la personne dont les données personnelles sont collectées, traitées ou stockées. S’il s’agit d’un citoyen européen, qu’il soit personne physique ou morale, le RGPD s’applique, quel que soit le lieu d’établissement du responsable de traitement ou celui de stockage des données.

Par ailleurs, le RGPD a ainsi prévu la situation où des données à caractère personnel peuvent être transférées vers des pays tiers ou à des organisations internationales, en les règlementant strictement.

Par ailleurs, le RGPD a ainsi prévu la situation où des données à caractère personnel peuvent être transférées vers des pays tiers ou à des organisations internationales, en les règlementant strictement.

Par plusieurs arrêts (le dernier date du mois dernier), les juridictions européennes ont rappelé la nécessaire conciliation à opérer entre la lutte contre le terrorisme, la criminalité grave et la protection des données personnelles, ainsi que le fait qu’on ne pouvait imposer aux acteurs du numérique des obligations intrusives pour leurs clients sans sérieuses garanties. D'ailleurs, très récemment, le Conseil d’État a été amené à se prononcer sur la conformité du cadre national français.

Par plusieurs arrêts (le dernier date du mois dernier), les juridictions européennes ont rappelé la nécessaire conciliation à opérer entre la lutte contre le terrorisme, la criminalité grave et la protection des données personnelles, ainsi que le fait qu’on ne pouvait imposer aux acteurs du numérique des obligations intrusives pour leurs clients sans sérieuses garanties. D'ailleurs, très récemment, le Conseil d’État a été amené à se prononcer sur la conformité du cadre national français.

Toutefois, la conciliation à opérer entre Patriot Act, Cloud Act d’une part et RGPD ainsi que ePrivacy (qui est toujours à l’état de projet, si bien que concernant le numérique c’est le RGPD qui s’applique) d’autre part, reste une chose complexe par les sociétés américaines, si bien qu’à ce jour il n’y a pas de consensus qui puisse se dégager : récemment auditionnés par le Parlement, les représentants d’IBM estiment que le Cloud Act ne s’applique pas tandis que ceux d’Amazon estimaient qu’au contraire ils étaient tenus par le Cloud Act pour leurs activités françaises. »

Toutefois, la conciliation à opérer entre Patriot Act, Cloud Act d’une part et RGPD ainsi que ePrivacy (qui est toujours à l’état de projet, si bien que concernant le numérique c’est le RGPD qui s’applique) d’autre part, reste une chose complexe par les sociétés américaines, si bien qu’à ce jour il n’y a pas de consensus qui puisse se dégager : récemment auditionnés par le Parlement, les représentants d’IBM estiment que le Cloud Act ne s’applique pas tandis que ceux d’Amazon estimaient qu’au contraire ils étaient tenus par le Cloud Act pour leurs activités françaises. »

Existe-t-il en Europe une loi similaire au Cloud Act ?

« Un projet de règlement Européen E-evidence, ayant la même finalité que le Cloud Act, est en cours de discussion depuis plusieurs années. Ce projet donnerait la possibilité pour les autorités d’obtenir la divulgation des données hébergées par les acteurs du numérique les intéressant dans le cadre de leurs investigations. Les discussions sont toujours en cours et achoppent sur les adaptations à effectuer pour tenir compte des principes rappelés par les décisions de justice à l’échelle européenne.»

« Un projet de règlement Européen E-evidence, ayant la même finalité que le Cloud Act, est en cours de discussion depuis plusieurs années. Ce projet donnerait la possibilité pour les autorités d’obtenir la divulgation des données hébergées par les acteurs du numérique les intéressant dans le cadre de leurs investigations. Les discussions sont toujours en cours et achoppent sur les adaptations à effectuer pour tenir compte des principes rappelés par les décisions de justice à l’échelle européenne.»

Pour un acteur économique européen, quelles sont les conséquences du choix de son hébergeur pour la confidentialité de ses données ?

« Quelques exemples :

« Quelques exemples :

  • Hébergement des données sur le territoire américain par un acteur américain, ou étranger, mais détenu par une société de droit américain : pas de doute, Patriot Act et Cloud Act s’appliquent pleinement. Même si les données concernent une société, une association, une collectivité française.
  • Hébergement des données sur le territoire Américain par une structure de droit américain détenu par une société de droit européen : pas de doute, Patriot Act et Cloud Act s’appliquent pleinement. Même si les données concernent une société, une association, une collectivité française.
  • Hébergement des données en Europe par un acteur américain, ou étranger, mais détenu par une société de droit américain : c’est compliqué. Les autorités américaines vous diront que Patriot Act et Cloud Act s’appliquent, les autorités européennes vous diront que le RGPD prime, l’hébergeur étant placé quant à lui entre le marteau et l’enclume.
  • Hébergement des données sur le territoire Européen par une structure de droit Européen, détenue par une société de droit européen : pas de doute, le RGPD prime. Tout manquement au RGPD est susceptible de déboucher sur une sanction allant jusqu’à 4% du chiffre d’affaires réalisé au niveau mondial.»

Quel type de solution d’hébergement faut-il privilégier ?

« D’une manière générale, en ce qui concerne la sécurité informatique : le risque 0 n’existera jamais ! Par contre, avec une bonne réflexion en amont (le cas échéant, n’hésitez pas à solliciter votre conseil) et en sachant s’appuyer sur les bons prestataires, vous disposez des moyens de contenir le risque et d’en limiter l’impact pour vos clients, vos sociétaires, vos administrés.

« D’une manière générale, en ce qui concerne la sécurité informatique : le risque 0 n’existera jamais ! Par contre, avec une bonne réflexion en amont (le cas échéant, n’hésitez pas à solliciter votre conseil) et en sachant s’appuyer sur les bons prestataires, vous disposez des moyens de contenir le risque et d’en limiter l’impact pour vos clients, vos sociétaires, vos administrés.

Il vaut mieux privilégier un prestataire mettant en place une organisation souple avec des procédures réactives permettant de minimiser l’impact, de favoriser des interventions rapides pour corriger les brèches, en tirer tous les enseignements pour améliorer ses procédures et gagner en résilience.

Il vaut mieux privilégier un prestataire mettant en place une organisation souple avec des procédures réactives permettant de minimiser l’impact, de favoriser des interventions rapides pour corriger les brèches, en tirer tous les enseignements pour améliorer ses procédures et gagner en résilience.

Par exemple, en privilégiant le recours à une structure localisée en France, dont l’actionnariat est connu, stable et composé d’entrepreneurs impliqués au quotidien dans le numérique français et européen. Et ce ne sont pas les acteurs qui manquent, entre les gros acteurs nationaux et les acteurs à taille humaine situés en Île-de-France ou en régions. Quelle que soit leur taille ou leur localisation, ils ont tous un point en commun : ce sont des entrepreneurs passionnés par le numérique, disposant d’une véritable connaissance des enjeux, et d’une solide compétence technique. La plupart maitrisent en effet leur propre infrastructure, répondant aux normes les plus exigeantes. »

Par exemple, en privilégiant le recours à une structure localisée en France, dont l’actionnariat est connu, stable et composé d’entrepreneurs impliqués au quotidien dans le numérique français et européen. Et ce ne sont pas les acteurs qui manquent, entre les gros acteurs nationaux et les acteurs à taille humaine situés en Île-de-France ou en régions. Quelle que soit leur taille ou leur localisation, ils ont tous un point en commun : ce sont des entrepreneurs passionnés par le numérique, disposant d’une véritable connaissance des enjeux, et d’une solide compétence technique. La plupart maitrisent en effet leur propre infrastructure, répondant aux normes les plus exigeantes. »

Ainsi, Aqua Ray répond parfaitement aux critères de choix rappelés par Maître Archambault :

Ainsi, Aqua Ray répond parfaitement aux critères de choix rappelés par Maître Archambault :

  • Aqua Ray est une structure française localisée en France, dont l’actionnariat stable est composé d’entrepreneurs passionnés, disposant d’une solide expérience dans la construction et l’exploitation d’infrastructures numériques ;
  • Notre entreprise maitrise son infrastructure, tant physique que logique puisqu’Aqua Ray possède son propre data center, récemment certifié par l'Uptime Institute, situé en région Parisienne où les techniciens peuvent intervenir H24 7J/7 ;
  • Aqua Ray privilégie le recours à des briques logicielles Open Source intégrées grâce à une équipe de développeurs compétents. De ce fait, pas de sous-traitance auprès de prestataires s’appuyant sur des acteurs établis dans des pays à bas coûts ou peu sensibilisés aux problématiques de sécurité informatique, la garantie de voir appliqués les correctifs de sécurité dans les meilleurs délais.

Contactez-nous

Contactez-nous

Vous avez une question ? Un doute ? Une demande particulière ? N'hésitez pas à nous contacter en cliquant sur le bouton ci-dessus, nous vous répondrons dans les meilleurs délais.

Vous avez une question ? Un doute ? Une demande particulière ? N'hésitez pas à nous contacter en cliquant sur le bouton ci-dessus, nous vous répondrons dans les meilleurs délais.

Vous aimez cet article ? Vous pourriez aimer

30
Août

Tutoriel : Connexion à un serveur à distance

Guides

Avez-vous déjà essayé de vous connecter à distance à votre serveur infogéré ? Lors de la manipulation, il est possible que le serveur refuse la connexion. Découvrez dans cet article tutoriel quelques indications pour comprendre la source de l’erreur.

Lire la suite
26
Jui

Tutoriel : Comment générer une clé SSH ?

Guides

Secure Shell ou SSH donne la possibilité de se connecter à distance, via un terminal, sur un serveur. Comment faire pour se connecter avec une clé SSH ? Dans cet article tutoriel simplifié, retrouvez toutes les étapes nécessaires pour générer une clé.

Lire la suite
30
Août

Tutoriel : Connexion à un serveur à distance

Guides

Avez-vous déjà essayé de vous connecter à distance à votre serveur infogéré ? Lors de la manipulation, il est possible que le serveur refuse la connexion. Découvrez dans cet article tutoriel quelques indications pour comprendre la source de l’erreur.

Lire la suite
26
Jui

Tutoriel : Comment générer une clé SSH ?

Guides

Secure Shell ou SSH donne la possibilité de se connecter à distance, via un terminal, sur un serveur. Comment faire pour se connecter avec une clé SSH ? Dans cet article tutoriel simplifié, retrouvez toutes les étapes nécessaires pour générer une clé.

Lire la suite
30
Août

Tutoriel : Connexion à un serveur à distance

Guides

Avez-vous déjà essayé de vous connecter à distance à votre serveur infogéré ? Lors de la manipulation, il est possible que le serveur refuse la connexion. Découvrez dans cet article tutoriel quelques indications pour comprendre la source de l’erreur.

Lire la suite
26
Jui

Tutoriel : Comment générer une clé SSH ?

Guides

Secure Shell ou SSH donne la possibilité de se connecter à distance, via un terminal, sur un serveur. Comment faire pour se connecter avec une clé SSH ? Dans cet article tutoriel simplifié, retrouvez toutes les étapes nécessaires pour générer une clé.

Lire la suite
Besoin d'aide ? Appelez-nous maintenant !
Appelez-nous maintenant ! 01 84 04 04 05
Appelez-nous maintenant ! 01 84 04 04 05
AWS Certified
DC Tier IV