RGPD vs Cloud Act, nouveau cyber affrontement

Tandis que le RGPD entrait en vigueur le 25 mai dernier, à peine avait-il vu le jour en matière de protection des données personnelles que les Etats-Unis avaient auparavant adopté le Cloud Act destiné à contraindre les opérateurs technologiques américains à communiquer les données de citoyens américains, où que celles-ci soient hébergées. Il s’agit donc d’un nouvel acte extraterritorial à compétence universelle. https://portail-ie.fr/analysis/1902/cloud-act-loffensive-americaine-pour-contrer-le-rgpd

 

En réalité il s’agit d’un texte adopté – avec un consensus fort des démocrates et des républicains – le 23 mars 2018, lequel clarifie la portée d’une loi fédérale préexistante. La Cour suprême était en effet saisie d’un litige visant Microsoft qui résistait à la communication de données stockées en Irlande au bénéfice de la NSA et devait débattre de l’application de ce texte en dehors du territoire national. Le Clarifying Lawful Orverseas Use of Data Act (Cloud Act), intégré à la loi de finances et adopté le 23 mars se révèle être une nouvel acte d’ingérence numérique des USA après les précédents cas d’extraterritorialité que ce blog a déjà relayé et en partie objet de notre dernier ouvrage https://livre.fnac.com/a11768721/Olivier-De-Maison-Rouges-Penser-la-guerre-economique

 

Ce faisant, le Cloud Act est en opposition avec les dispositions de l’article 48 du RGPD sur les transferts de données personnelles dès lors qu’il donne le privilège extraordinaire aux USA d’accéder en tout endroit de la planète aux informations de personnes, sans que celles-ci n’en soient avisées et sans décision judiciaire (sur simple requête des autorités américaines).

Ce d’autant que suite à l’invalidation du Safe Harbor https://portail-ie.fr/analysis/1313/laffaire-safe-harbor-un-acte-dindependance-numerique l’UE et les USA avaient défini un nouvel acte transatlantique dénommé Privacy Shield qui sera évalué jusqu’au 1er septembre prochain, mais dont l’application semble de toute évidence avoir été écartée comme en témoigne l’affaire Facebook-Cambridge Analtytica http://www.europarl.europa.eu/news/fr/press-room/20180611IPR05527/les-etats-unis-doivent-se-conformer-au-privacy-shield-d-ici-le-1er-septembre

 

La question de souveraineté numérique est donc plus que jamais pertinente et devra convaincre les entreprises européennes à choisir des opérateurs européens. Notre tribune sur ce sujet : https://www.efcse.eu/fr-fr/news/20180511_[EFCSE.EU]_TRIBUNE_CHAMPION_EUROPEEN_NUMERIQUE_[FR].pdf Dans le cadre de la transposition de la directive sur le secret des affaires, nous avions apr ailleurs recommandé que les données relevant de ces informations stratégiques soient hébergées sur le sol européen. Le législateur n’a malheureusement pas repris cette idée.