Face à l’émergence du cloud computing, la question de la confidentialité et de la sécurité des données est primordiale. Les informations stockées et traitées dans un cloud américain sont soumises à la législation des États-Unis et notamment au Cloud Act. Pour les entreprises européennes, cela pose de nouveaux défis et risques quant au stockage et transfert de leurs données.
Les origines du Cloud Act
Né d’un contentieux entre Microsoft et le gouvernement des États-Unis, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine adoptée en 2018. Cette loi régit l’accès aux données disponibles sur un espace de stockage par des fournisseurs de services américains. Et cela, même lorsque ces données se trouvent en dehors des États-Unis.
À l’instar de nombreuses lois américaines à portée extraterritoriale, le Cloud Act prévaut sur les législations locales. Il offre ainsi la liberté au gouvernement américain d’accéder aux données d’individus et d’entreprises à l’étranger. Malgré certaines conditions, il ne nécessite pas d’informer les parties concernées ni de suivre les procédures judiciaires locales.
Les risques et enjeux pour les entreprises européennes
Le Cloud Act s’oppose au RGPD
Le Cloud Act suscite de vives préoccupations en matière de protection de la vie privée et de souveraineté des documents confidentiels. En effet, le RGPD (Règlement général sur la protection des données) de l’Union Européenne accorde une protection forte quant aux données personnelles des individus. Le Cloud Act, en revanche, permet aux autorités américaines d’obtenir des informations sensibles sans nécessairement respecter les mêmes normes.
Conséquences pour les entreprises européennes
De nombreuses entreprises sont soumises au Cloud Act en raison des liens omniprésents avec les États-Unis. Elles n’en sont parfois, même pas conscientes. Il est aujourd’hui difficile d’échapper à l’extraterritorialité du droit américain, principalement à cause de la domination des GAFAM (Google, Apple, Facebook, Amazon et Microsoft) dans nos vies personnelles et professionnelles. Nous avons notamment étudié lors d’un webinaire, le sujet des risques que comporte le stockage de données chez les GAFAM.
Dans ce contexte, le Cloud Act représente une menace réelle pour la souveraineté des entreprises françaises. La France souhaite notamment mettre en place un dispositif permettant aux entreprises françaises d’avoir connaissance des accès de leurs données sur des serveurs américains. Depuis la signature de la loi par Donald Trump, un état d’alerte a été lancé. En effet, il souligne les préoccupations quant aux droits du gouvernement américain sur la gestion des données des entreprises européennes.
Les alternatives et bonnes pratiques
Sélectionner ses partenaires souverains et sécurisés
Les entreprises européennes peuvent prendre des mesures pour se conformer au RGPD. Elles peuvent par exemple choisir des fournisseurs et prestataires de services cloud basés en France comme NetExplorer.
Depuis 2007, NetExplorer accompagne plus de 300 000 utilisateurs au quotidien. En tant qu’éditeur de logiciel français, nous avons développé des solutions de partage et stockage de fichiers sécurisés et souveraines. Vos documents sont hébergés et infogérés en France dans deux data centers. Certifiés ISO 9001, ISO 27001 et HDS (Hébergeur de Données de Santé), nos exigences de sécurité garantissent la protection de vos données.
S’assurer du chiffrement de vos données
Le chiffrement des données est une mesure efficace contre les effets du Cloud Act. Il rend ainsi les données illisibles aux autorités américaines et protège ainsi les intérêts des entreprises européennes. Les entreprises peuvent chiffrer les données sensibles avant de les déposer dans leur espace de stockage. Chez NetExplorer, nous assurons la protection vos informations avec un système de chiffrement AES.
Intégrer des clauses contractuelles face au Cloud Act
Les entreprises peuvent également mettre en place des clauses contractuelles spécifiques pour se protéger du Cloud Act et renforcer les mesures afin de prévenir les attaques visant à compromettre leur sécurité.
Dans un monde de plus en plus interconnecté, il est essentiel que les utilisateurs de services cloud comprennent les enjeux du Cloud Act et soient en mesure d’en évaluer les implications et d’explorer les alternatives possibles. Le choix des sous-traitants et l’hébergement des données sont des décisions cruciales pour garantir la protection des données tout en respectant les droits et les intérêts de chacun.