Le point de vue d'un intervenant

Cloud Act

Faut-il avoir peur du Cloud Act ?

Promulguée par Donald Trump le 23 mars 2018, Cloud Act est une Loi américaine destinée à lutter plus efficacement contre la criminalité dans le monde. Elle vient combler le vide juridique du Stored Communication Act (SCA) mis en lumière par l’affaire qui opposait depuis 2013 Microsoft à la justice US pour l’accès aux mails d’un présumé trafiquant de drogue stockés en Irlande.

Le Cloud Act prévoit que les gouvernements étrangers puissent s’engager avec le gouvernement américain par le biais d’accords bilatéraux (executive agreement) afin de « fluidifier » l’accès aux données. Grâce à ce mécanisme et sous réserve que la cible ne soit pas un citoyen américain, l’entraide judiciaire se substitue aux accords d’assistance mutuelle classiques MLAT (Mutual Legal Assistance Treaty) qui demandent d’attendre plusieurs mois avant de pouvoir accéder à des données à l’étranger.

La Loi prévoit également qu’un fournisseur US puisse s’opposer à une telle demande si cette divulgation l’oblige à enfreindre la réglementation du pays hébergeant les données. Sa demande est alors portée devant un tribunal américain qui doit statuer selon les arguments avancés par les parties (Police US vs Fournisseur US).

Deux questions fondamentales et pour l’instant sans réponse se posent alors :
- Le Cloud Act sera-t-il toujours utilisé exclusivement pour lutter contre la criminalité et en aucun cas pour de la surveillance à des fin politiques, stratégiques ou économiques ?
- L’article 48 du RGPD, parfois appelé bouclier Anti NSA, sera-t-il suffisamment protecteur pour empêcher les services américains d’accéder librement aux données des fournisseurs américains situées au sein de l’UE ?

Boris Motylewski

Les séminaires animés par Boris Motylewski

L'essentiel de la Cybersécurité pour les Managers

Cybersécurité : la synthèse technique

Sécurité du Cloud : l’état de l’art

Cybercriminalité et Cyberguerre