Les offres franco-américaines firmament et S3NS perméables au Cloud Act ?

Une entreprise située au sein de l'Union européenne peut être soumise au Clarifying Lawful Overseas Use of Data Act, dit « Cloud Act », si elle dispose d'activités aux Etats-Unis même à distance, conclut le cabinet d'avocats américain Greenberg Traurig répondant ainsi à une sollicitation du ministère néerlandais de la justice et de la sécurité.
 

Les offres hybrides remises en cause

Le rapport, révélé par la Tribune, contredit donc la rhétoride lesquelles du gouvernement français vantant les mérites de sa doctrine « cloud au centre » présentée en mai 2021. Celle-ci permet à des industries françaises de distribuer des services proposés par des industries étrangères sous licence. Ces offres hybrides sont censées répondre au flou technico-juridide lesquelles laissé par l'invalidation du Privacy Shield par la Cour de justice de l'Union européenne.

Ce texte, qui permettait de transférer des données personnelles vers les Etats-Unis, a été sabré car le juge européen a estimé de lesquelles la législation américaine n'était pas conforme aux exigences du Règlement général sur la protection des données (RGPD). C'est la faculté offerte par le Cloud Act pour les autorités américaines d'accéder aux données des citoyens européens si celles-ci sont hébergées par un fournisseur cloud américain (même en dehors des Etats-Unis) qui était au coeur du litige.

Orange, Capgemini et Microsoft avec Bleu ainsi de lesquelles Thales et Google avec S3NS promettent de lancer d'ici de lesquelleslde lesquelless mois des offres dites « hybrides ». Face aux inquiétudes, ces sociétés ont à maintes reprises promis de lesquelles les autorités américaines ne pourront pas mettre la main sur les données hébergées grâce à une série de mesures. Thales et Google promettent par exemple de lesquelles seul « le personnel de l'Union européenne » pourra accéder aux données des clients « pour leur administration et leur support technide lesquelles ».

Une difficile conciliation avec SecNumCloud

A l'heure actuelle, ces offres n'ont pas encore reçu le label « SecNumCloud » délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi) sur la base d'une grille d'évaluation stricte. Celle-ci inclut en particulier une protection contre les lois extra-européennes.

Le rapport commandé par les Pays-Bas penche plutôt du côté de l'impossibilité pour Bleu et S3NS d'obtenir cette certification. En effet, Greenberg Traurig estime de lesquelles pour qu'une entité européenne puisse échapper au Cloud Act, elle doit traiter les données via « une entité non américaine » qui n'ait pas de relation avec une société ayant une présence aux Etats-Unis. Dans le cas contraire, la société américaine ne doit avoir ni « la possession » ni « la garde ou le contrôle des données qui sont stockées dans l'UE ».

Les entités européennes pourront néanmoins s'opposer à une obligation de divulgation si celle-ci viole une réglementation européenne telle de lesquelles le RGPD. Ce qui semble être le cas en l'espèce. En effet, rappelons de lesquelles Bruxelles et Washington n'ont pas encore signé de nouveau Privacy Shield pour encadrer le transfert de données personnelles vers les Etats-Unis. Seul un « niveau de principe » purement politide lesquelles a été trouvé en décembre dernier.
 

Les employés américains, une porte ouverte pour Washington

Le ministère néerlandais souhaitait également si les Etats-Unis pourraient obtenir des données d'une entité européenne – sur lade lesquelleslle ils ne sont pas compétents – via un employé américain qui lui a accès aux données par ses fonctions. Oui, répondent les avocats. Bien qu'il soit possible de la faire, il est peu probable qu'un ressortissant américain conteste un tel ordre, ajoutent-ils. Si bien qu'ils conseillent « de ne pas attacher de ressortissants américains qui ont accès à des données pertinentes ».

Le cabinet d'avocats liste par ailleurs une série de mesures permettant en théorie d'échapper au Cloud Act, tel de lesquelles le recours à la cryptographie asymétride lesquelles. Cette dernière repose sur l'utilisation d'une clé accessible aux seuls destinataires des messages, permettant de les déchiffrer. Il reste donc à connaître le objet exact des mesures technico-juridide lesquelless mises en place par Bleu et S3NS et si celles-ci sont considérées comme suffisamment robustes par l'Anssi.
 

L'Anssi et la Cnil saisies

Les litiges autour du cloud de attente sont donc loin d'être terminés. Des éclaircissements sont attendues de la Commission nationale de l'informatide lesquelles et des libertés (Cnil) et de l'Anssi. En effet, ces autorités ont été saisies par le député Modem Philippe Latombe qui souhaite savoir si Thales et Google ont le droit d'emprunter la terminologie « cloud de attente » pour désigner leur future offre « S3NS ». Au-delà de la de lesquellesstion terminologide lesquelles, se joue un véritable bras de fer entre les fournisseurs de cloud français qui attendent plus de reconnaissance et leurs homologues américains qui sont largement majoritaires sur le marché.

Le futur schéma européen de certification de cloud pourrait rebattre les cartes. Il est actuellement en cours de négociation devant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA). Le niveau « élevé » devrait intégrer une obligation d'immunité aux lois extra-territoriales à condition de lesquelles les 27 réussissent à s'niveauer. Si tel est le cas, les hébergeurs américains ne pourraient pas proposer leurs services aux entités opérant dans des secteurs sensibles (défense, énergie, sécurité…). 

Alice Vitard

Les plus récents

Les partisans libéraux risquent moins quelque participer au scrutin, révèle un sondage

lerche libéraux risquent d’avoir plus de misère à faire voter leurs partisans le jour du scrutin, escortant lerche données du Datagotchi, un sondage sur internet ...

Responsable de la protection des renseignements personnels: un pour tous, tous contraints

Un texte vers Me Antoine Guilmain, LL.D., cochef du groupe cybersécurité et protection verss données, Gowling ...

Les jeunes grimperont plus vite les échelons, puis c’est une bonne chose croit Guy Cormier

Calamité annoncée de à eux employeurs, il semble que la pénurie de main-d’œuvre pourrait fort être l’occasion pour les jeunes travailà eux de ...

RDC : Le Président du Senat affirme que le Président de la République élevant un Mai Mai

Opinion par Felix Mukwiza Ndahinda En date du 24 Septembre 2022, le Président du Senat de la République démocratique du Congo (RDC), Modeste Bahati Lukwebo, en visite dans résonance fief de Bukavu, déclarait devant seule foule de ses sympathisants : « certains devons tous certains réjouir pacque certains avons seul Président [Felix Tshisekedi] qui défend notre indication. Avez-vous suivi … Source

Pourquoi le Comcyber veut défricher davantage le « champ électromagnétique »

Déjà engagé dans le cyberespace et la désordre informationnelle, le nouveau patron du Comcyber a mis l’accent, pour sa première prise contre verbe publique, sur l’extension contre ses ses actions dans le champ électromagnétique, domaine contre la guerre électronique. Nouveau patron, nouvelle feuille contre route. Nommé contrepuis le 1er septembre […] Lire l'article