Cloud Act et entreprises europeennes : les risques qu'on prefere ignorer
Posons le decor. Vous etes DSI d’une entreprise europeenne de 200 personnes. Vos equipes utilisent Microsoft 365 – emails, OneDrive, Teams, SharePoint. Un matin, Microsoft recoit un mandat (warrant) du Department of Justice americain demandant l’acces aux emails de votre directeur commercial. Microsoft s’execute, parce que le Cloud Act l’y oblige. Vous n’etes pas informe. Votre directeur commercial n’est pas informe. La demande peut inclure une clause de non-divulgation (gag order) qui interdit a Microsoft de vous prevenir. Si cette situation vous semble du domaine de la fiction, c’est parce que les entreprises concernees n’en parlent pas – precisement a cause de ces clauses. Si vous venez du guide sur la souverainete et le RGPD dans le cloud, vous savez que ce scenario est juridiquement banal.
Le Cloud Act (Clarifying Lawful Overseas Use of Data Act), vote en mars 2018, a une fonction tres precise : eliminer toute ambiguite sur l’obligation des entreprises americaines de fournir des donnees, ou que ces donnees soient stockees. Avant le Cloud Act, Microsoft avait refuse de fournir au FBI des emails heberges en Irlande (l’affaire Microsoft Corp. v. United States, 2016). Le Cloud Act a ete vote specifiquement pour que cette situation ne se reproduise plus.
Les trois risques que votre DPO sous-estime probablement
Le premier risque est juridique. Si une autorite americaine accede a des donnees personnelles de citoyens europeens via le Cloud Act, votre entreprise – en tant que responsable de traitement au sens du RGPD – est en infraction avec l’article 48. Pas votre fournisseur cloud. Vous. La nuance est cruciale : c’est le responsable de traitement qui prend l’amende, pas le sous-traitant. Et l’amende peut atteindre 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus eleve.
Le deuxieme risque est operationnel. Le Cloud Act ne se limite pas aux affaires criminelles. Les demandes peuvent provenir de toute autorite federale ou locale americaine – y compris dans le cadre d’enquetes de contre-espionnage (FISA Section 702) ou de litiges commerciaux entre entreprises americaines et europeennes. Imaginons qu’un concurrent americain vous attaque en justice aux Etats-Unis. Dans le cadre du discovery, il peut obtenir un subpoena qui force votre fournisseur cloud americain a produire vos documents internes. Vos plans strategiques, vos negotiations en cours, vos marges – tout est potentiellement accessible.
Le troisieme risque est reputationnel. Quand l’autorite autrichienne de protection des donnees a juge Google Analytics non conforme en janvier 2022, les entreprises qui l’utilisaient se sont retrouvees sous le feu des projecteurs. La meme logique s’applique au cloud : si une violation de donnees est rendue publique parce qu’un fournisseur americain a du se conformer a une injonction Cloud Act, la confiance de vos clients et partenaires en prend un coup.
L’arret Schrems II n’a pas resolu le conflit
L’arret Schrems II a invalide le Privacy Shield, mais il n’a pas cree de mecanisme pour resoudre le conflit entre le RGPD et le Cloud Act. Le Data Privacy Framework (2023) ne traite pas non plus du Cloud Act. Il traite de la surveillance gouvernementale (Section 702 du FISA), ce qui est un probleme connexe mais different. Le Cloud Act est un mecanisme de cooperation judiciaire, pas un programme de surveillance. La distinction juridique est importante, et elle explique pourquoi le DPF ne resout pas le probleme.
Les clauses contractuelles types (SCC) ne resolvent rien non plus. Microsoft, Google et Amazon proposent tous des DPA (Data Processing Agreements) exemplaires, rediges par des armees d’avocats. Mais un DPA est un contrat de droit prive. Le Cloud Act est une loi federale. En cas de conflit, la loi federale l’emporte – toujours. Votre fournisseur peut etre de bonne foi, avoir les meilleures intentions du monde, et etre quand meme dans l’impossibilite juridique de respecter ses engagements contractuels envers vous.
Le Patriot Act en embuscade : une couche supplementaire
Le Patriot Act ajoute une dimension supplementaire. La Section 215 (desormais encadree par le USA FREEDOM Act) et les National Security Letters permettent au FBI de demander des metadonnees – qui contacte qui, quand, combien de fois – sans passer par un juge. Les NSL incluent systematiquement une clause de non-divulgation. Votre fournisseur ne peut pas vous dire qu’il a recu une NSL, et vous ne pouvez pas savoir que vos metadonnees ont ete consultees.
Les chiffres sont parlants. Microsoft a recu entre 0 et 499 demandes FISA au premier semestre 2023 (la loi interdit de donner le chiffre exact – oui, vraiment). Google a recu dans la meme fourchette. Amazon ne publie meme pas ces chiffres. Le manque de transparence fait partie du design du systeme.
La solution n’est pas de negocier de meilleures clauses contractuelles avec votre fournisseur americain. C’est de choisir un fournisseur qui n’est pas soumis au Cloud Act. Un fournisseur suisse comme Infomaniak, ou un fournisseur europeen comme OVHcloud, ne peut pas recevoir d’injonction Cloud Act – parce que le Cloud Act ne s’applique qu’aux entreprises americaines et a leurs filiales. Ce n’est pas une question de technologie. C’est une question de juridiction. Et la juridiction, contrairement a une fonctionnalite logicielle, ne se negocie pas.