Dalloz IP-IT : Cloud Act : des inquiétudes légitimes

07 février 2019
twitterlinkedinmailtwitterlinkedinmail

Pompe à data », « Per­mis officiel d’espion­nage industriel », « Arme commer­ciale », « Système de lutte contre l’intelligence économique » … L’adoption du Cloud Act (Clarifying Lawful Overseas Use of Data Act) ou, en français, la « loi clarifiant l’usage légal des données hébergées à l’étranger » a provoqué la parution de nombreux articles aux titres alarmistes.

Accusée d’avoir été votée en catimini par le Congrès américain et sans le moindre débat parlementaire, la loi a suscité des critiques dès sa promulgation par le Pré­sident Donald Trump, le 23 mars 2018.

Sur le fond, et en résumé, le Cloud Act permet aux autorités américaines d’ob­tenir de toute société « de droit améri­cain » détenant des data centers en de­hors des États-Unis la divulgation de données, dans le cadre d’investigations criminelles, en s’adressant directement aux sociétés traitant ou conservant ces données. Concrètement, la police, la « justice et l’administration américaines pourront avoir accès à des données sans considération du lieu où se trouvent celles-ci, dès lors que la société qui les conserve est « de droit américain » (une filiale européenne de société américaine par exemple), sans en informer la per­sonne concernée. Les sociétés concernées sont Microsoft, Google, IBM, AWS, Salesforce, Oracle, etc.

Naturellement, les organismes de défense des droits fondamentaux s’insurgent. Les critiques pleuvent : ingérence numérique et juridique, hégémonie américaine, at­teinte à la vie privée, loi liberticide…

De même, les entreprises ayant recours à des prestataires « de droit américain » pour héberger leurs données s’inquiètent de leur perte de contrôle sur les données de leurs clients, mais aussi de la confiden­tialité de leurs secrets d’affaires ainsi que d’une possible divulgation de leurs actifs incorporels.

Les partisans du Cloud Act arguent que le texte n’organise pas un droit d’accès abso­lu aux données et qu’il prévoit un contrôle systématique par un juge du bien-fondé de ces demandes de transmission de don­nées. Ils invoquent également la possibili­té pour les sociétés « de droit américain » de mettre en œuvre des mécanismes ju­ridiques permettant de s’opposer à ces demandes de transmission des données, dans le cas où le Cloud Act contreviendrait à la réglementation du pays dans lequel elles se trouvent.

Veuillez télécharger le lien pour lire la suite de l’article : 

Article rédigé par : Emmanuel Daoud et Flora Plénacoste