Avis d'Expert : Cloud Act et Choix Stratégiques sur l'infogérance

CEO-Vision SAS, éditeur de la plateforme collaborative GoFAST n'est pas un cabinet juridique néanmoins le travail ci-dessous se base sur une analyse importante des textes et analyses du Cloud Act (télécharger le PDF).


Beaucoup d’encre a déjà coulé sur le Cloud Act, voté au printemps 2018. Néanmoins les approximations, récupérations en tout genre nous ont motivé pour écrire notre propre analyse, aussi factuelle et précise que possible.

Cette loi prend acte que les données sont de plus en plus disséminées dans le monde entier et que cela complique, ralentit, voire empêche certaines enquêtes criminelles américaines.

Les limites de la loi « Stored Communications Act (SCA) » en vigueur depuis 1986, sont apparues au grand jour avec la procédure entre Microsoft et les Etats-Unis d'Amérique pour son refus de fournir des emails stockés en Irlande dans le cas d’un trafic de drogue, procédure qui a fini devant la Cour Suprême des Etats-Unis.

Le Cloud Act, subtilement inséré dans les 2232 pages de la loi budgétaire américaine qui devait impérativement être votée pour éviter un nouveau shutdown du gouvernement américain, permet donc, sous certaines conditions et uniquement dans le cas d'acte criminel grave supposé, la saisie et/ou l’interception de données stockées hors des Etats-Unis par les forces de l'ordre américaine, et dans certains cas l'inverse (si un accord mutuel « Executive Agreement » a été signé). Cette demande est faite aux entreprises de télécommunication ou d'infogérance (CSP - Communication Service Provider ou RSP Remote Service Provider).

A noter que ce texte est arrivé lors d'une activité juridique très importante autour des données personnelles, entrée en vigueur du « RGPD - Règlement Général sur la Protection des Données », renouvellement aux US pour 5 ans du « FISA - Foreign Intelligence Surveillance Act », production d'une 1ère version du texte « e-Evidence » par la Commission Européenne. Tout cela sans parler du « Privacy Shield » de 2016 entre l'UE et la Suisse d'une part, et les Etats-Unis d'autre part.

Quelques années après le scandale des dérives des écoutes de la National Security Agency (NSA) révélées par E.Snowden et malgré l'abolition des clauses les plus critiquées du « Patriot Act », le Cloud Act a fait bondir certains défenseurs des droits privés individuels, de même que l’extra-territorialités a fait bondir les pourfendeurs de l’hégémonie américaine, chacun tirant les conclusions qui les arrangent par exemple :

  1. Que potentiellement ce texte est un risque pour la confidentialité des données personnelles

Plutôt inexact : Le Cloud Act ne concerne que les enquêtes pour activités criminelles majeures supposées incluant le terrorisme. Les forces de l'ordre américaine doivent obtenir un mandat pour pouvoir déclencher la demande. 

A noter de plus, que ce texte ne régit pas les activités de renseignement et ne concerne donc ni la NSA, ni la CIA

  1. Que seules les sociétés américaines ayant une présence à l’étranger sont concernées

Inexact. Contrairement à ce que des hébergeurs européens laissent penser, ceci n’est pas exact. Les sociétés européennes devront s’y conformer si elles ont une présence aux Etats-Unis avec accès aux données européennes.

  1. Que les citoyens Européens ne sont pas concernés

Inexact. Les requêtes peuvent concerner des "non "US persons". Plus inquiétant, si le pays n'a pas signé d'Executive Agreement, l'hébergeur (Américain ou Européen avec une présence aux U.S./accès aux données E.U.), ne pourra contester la demande.

Globalement notre interprétation nous amène aux analyses suivantes :

  • l'hébergement onpremise/colocation n'est pas concerné
  • que les datacenters en Europe d'AWS, Microsoft ou Google ne protègent en rien juridiquement les données d'une requête judiciaire américaine, tout du moins tant qu'un Executive Agreement n'est pas en vigueur entre les États-Unis et l'UE ou la France.
  • que pour les sociétés d'infogérance et de télécommunication concernées par le Cloud Act (américaines ou européenne à présence U.S./accès aux données E.U.), refuser de transmettre les informations demandées sans qu'un Executive Agreement soit en place, leur font courir le risque d'une procédure aux États-Unis.
  • que l'UE a, à priori intérêt à négocier pour tous ses États membres un Executive Agreement pour bénéficier de réciprocité et de recours pour les demandes concernant les citoyens Européens. Néanmoins ceci demandera certainement d'amender le RGPD, ce qui rend la probabilité faible.
  • que le Cloud Act n’est pas totalement contraire au RGPD stipulant (art.48) qu’aucune donnée ne peut être transmise à un pays tiers en dehors d’un accord international tel qu’un traité d'entraide mutuel (MTLA – « Mutual legal assistance treaty »), procédure en vigueur avant le CloudAct, car l’article 49 introduit des exceptions sans parler de l’article 25 qui permet des exceptions nationales.
  • que malgré certaines références indiquant qu'il deviendrait interdit de fournir des backdoors aux forces de l'ordre, nous n'avons rien trouvé en ce sens dans le texte (par ailleurs le projet de loi présenté au Congrès en 2018 à ce sujet, le « Secure Data Act » n’a jamais abouti). Les requêtes judiciaires demandant des données devront bien sûr être fournies décryptées par l’infogérant si celui-ci fait un cryptage. Si un cryptage applicatif est réalisé (donc par le Client ciblé), il sera intéressant de voir l’issue.

On constate que "dans un monde idéal" (aucune dérive) et dans un cadre de la lutte contre la criminalité et le terrorisme international, ce texte semble à peu près équilibré si un « Executive Agreement »  a été signé ce qui n’est pas le cas avec U.E., ni avec la France.

Dans le cas actuel, les problématiques sont :

  • une portée sur les citoyens non américains/non-résidents, sans réciprocité et sans notification des autorités judiciaires du pays d'origine de l'utilisateur visé 
  • la non-définition de « Serious crime » (à noter qu’enfreindre des embargos américains entre à priori dans cette catégorie, point très important[1])
  • l’impossibilité par le CSP de contester la demande sauf à invoquer le « common law comity principles », éventuellement indiquant une certaine contradiction avec le RGPD mais avec une issue totalement incertaine

D’une façon générale, la conservation des données sensibles pour une société européenne sera la moins problématique :

  • Onpremise (tout en assurant le même niveau de sécurité que les infogérants professionnels)
  • En colocation chez un infogérant européen sur le territoire européen

Concernant le Cloud (l'organisation n'est pas propriétaire de l'infrastructure) :

  • Dans un Cloud privé (dédié) souverain (société E.U sans présence U.S avec accès données E.U)

En conclusion, il semble donc très prudent d’éviter la souscription de tout service hébergé de société américaine comme AWS, Google (G-Suite, ...) et Microsoft (incluant Office 365[2]) même proposant un  hébergement en France ou en Europe, tout du moins en attendant que la jurisprudence autour de CloudAct et du RGPD commence à être connue.  A noter que pour Office 365 la problématique concerne le stockage des données (OneDrive, Teams, Sharepoint Online) et non les applications bureautiques en elle-même.

Article rédigé par Christopher Potter, CEO-Vision S.A.S

 

[1] Pour rappel BNP a écopé d’une amende de 9 Milliards $ pour avoir contourné les embargos avec Cuba, la Libye, l’Iran et le Soudan 

[2] pour ceux qui veulent un parc récent d’Office, s’orienter vers les licences Office 2019 Pro ou le très bon OnlyOffice (à ne pas confondre avec OpenOffice)


Références Bibliographiques RGPD et Cloud Act

« Cloud Act », U.S. Senate :
https://www.congress.gov/bill/115th-congress/senate-bill/2383/text

« RGPD », Parlement Européen :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:02016R0679-20160504

« Forecasting the Impact of the New US CLOUD Act », Dechert LLP https://www.dechert.com/content/dam/dechert%20files/knowledge/publication/2018/4/White%20paper%20-%20Cybersecurity%20-%20Cloud%20Act%20-%2004-18.pdf

« European Data Protection Authorities Explore U.S. CLOUD Act’s Potential Impact on the GDPR », Cleary Gottlieb
https://www.clearygottlieb.com/-/media/files/alert-memos-2019/us-cloud-acts-potential-impact-on-the-gdpr.pdf

« CLOUD Act Establishes Framework To Access Overseas Stored Electronic Communications», Cleary Gottlieb
https://www.clearygottlieb.com/-/media/files/alert-memos-2018/cloud-act-establishes-framework-to-access-overseas-stored-electronic-communications.pdf

« SOMETHING OLD, SOMETHING NEW, AND SOMETHING MOOT: THE PRIVACY CRISIS UNDER THE CLOUD ACT »,
Harvard Journal of Law & Technology Volume 32, Number 1 Fall 2018 https://jolt.law.harvard.edu/assets/articlePDFs/v32/32HarvJLTech321.pdf

« The CLOUD Act, Explained », Orrick, Herrington & Sutcliffe LLP
https://www.orrick.com/Insights/2018/04/The-CLOUD-Act-Explained

« The CLOUD Act and its consequences », Legal ICT
https://legalict.com/2018/11/08/the-cloud-act-and-its-consequences/

« Cloud Act Implementation Issues », Lawfare
https://www.lawfareblog.com/cloud-act-implementation-issues

« Frequently Asked Questions about the U.S. CLOUD Act », CBDF Cross Border Data Forum
https://www.crossborderdataforum.org/frequently-asked-questions-about-the-u-s-cloud-act/

« Setting the Record Straight: The CLOUD Act and the Reach of Wiretapping Authority Under US Law », CBDF Cross Border Data Forum
https://www.crossborderdataforum.org/setting-the-record-straight-the-clo...

« Demystifying the U.S. CLOUD Act: Assessing the law’s compatibility with international norms and the GDPR », Hogan Lovells, January 2019
https://www.hoganlovells.com/~/media/hogan-lovells/pdf/2019/2019_01_15_whitepaper_demystifying_the_us_cloud_act.pdf

« GDPR Exemptions: Who is Exempt from GDPR Requirements? », HIPAA Journal, May 11, 2018
https://www.hipaajournal.com/gdpr-exemptions-who-is-exempt-from-gdpr/

« What are executive agreements under the Cloud Act ? », Avocats Mathias
https://www.avocats-mathias.com/actualites/executive-agreements-cloud-act

« Quelles différences entre CLOUD Act et PATRIOT Act (et quels impacts sur les entreprises françaises) », LeMagIT, 21 Aout 2018
https://www.lemagit.fr/conseil/Quelles-differences-entre-CLOUD-Act-et-PARTIOT-Act-et-quels-impacts-sur-les-entreprises-francaises