Lexique IT
Cloud Act
Le Cloud Act ou Clarifying Lawful Overseas Use of Data Act, est une loi fédérale des États-Unis adoptée le 23 mars 2018 et permettant aux autorités américaines de mener des enquêtes en ordonnant aux fournisseurs de services de communication électroniques et aux fournisseurs de services de cloud computing de collecter, de conserver et de divulguer le contenu des messages électroniques et de toutes autres données à caractère personnel ou métadonnées en relation avec un client ou un abonné en leur possession.
Le Cloud Act entend s’appliquer de manière extraterritoriale, indépendamment du fait que l’information recherchée par les autorités américaines soit hébergée à l’intérieur ou à l’extérieur du territoire des Etats-Unis.
Ce texte peut donc entrer directement en conflit avec l’application du RGPD, en particulier sur le territoire de l’Union européenne.
En effet, le RGPD prévoit expressément que toute décision d’une juridiction ou d’une autorité administrative exigeant d’un responsable de traitement ou d’un sous-traitant soumis au RGPD qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire qu’à la condition qu’elle soit fondée sur un accord international, ce qui n’est pas le cas concernant les demandes résultant de l’application du Cloud Act par les autorités américaines.
Par ailleurs, les atteintes portées à la vie privée des personnes concernées dont les données sont traitées par les entreprises faisant suite à une demande des autorités fondée sur le Cloud Act sont disproportionnées au regard des exigences de la Charte européenne des Droits Fondamentaux. En particulier, les voies de recours, y compris juridictionnelles, dont disposent les personnes concernées à l’égard du traitement de leurs données sont insuffisantes.
En conséquence, l’application du Cloud Act par des responsables de traitement ou sous-traitants entrant dans le champ d’application du RGPD peut constituer une violation du RGPD.
Point RGPD
« L’accès en temps utile aux données électroniques détenues par les fournisseurs de services de communications est un élément essentiel des efforts déployés par le gouvernement pour protéger la sécurité publique et lutter contre la grande criminalité, y compris le terrorisme.
Ces efforts du gouvernement des États-Unis sont entravés par l’impossibilité d’accéder aux données stockées en dehors des États-Unis, qui sont sous la garde, le contrôle ou la possession des fournisseurs de services de communication soumis à la juridiction des États-Unis. »
Cloud Act, Section 2. 1. à 2.2.
Point jurisprudence
La Cour administrative de Wiesbaden (Allemagne) a pu considérer que « en vertu du Cloud Act, les agences gouvernementales américaines pourraient demander des données personnelles aux entreprises américaines de manière unilatérale, sans décision de justice et sans accord d’assistance juridique mutuelle. Ceci est en contradiction avec les articles 7, 8, 11 et 52 (1) de la Charte des droits fondamentaux de l’Union européenne et l’interprétation de ces normes par la CJCE, selon laquelle l’accès officiel aux données relatives au trafic n’est autorisé qu’en cas de suspicion de crime grave et est soumis à la réserve du juge ou d’une autorité indépendante. La situation juridique américaine, en revanche, permet de se contenter du soupçon initial de n’importe quel crime. Ainsi, le défendeur, en tant que responsable du traitement, a exposé les données à caractère personnel du requérant au risque d’un accès non autorisé, ce qui a constitué une violation de la confidentialité au sens de l’article 32, paragraphe 1, sous b), du GDPR. ».
Verwaltungsgericht Wiesbaden, 1er décembre 2021, n°6 L 738/21.WI
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.