Pompe à data », « Permis officiel d’espionnage industriel », « Arme commerciale », « Système de lutte contre l’intelligence économique » … L’adoption du Cloud Act (Clarifying Lawful Overseas Use of Data Act) ou, en français, la « loi clarifiant l’usage légal des données hébergées à l’étranger » a provoqué la parution de nombreux articles aux titres alarmistes.
Accusée d’avoir été votée en catimini par le Congrès américain et sans le moindre débat parlementaire, la loi a suscité des critiques dès sa promulgation par le Président Donald Trump, le 23 mars 2018.
Sur le fond, et en résumé, le Cloud Act permet aux autorités américaines d’obtenir de toute société « de droit américain » détenant des data centers en dehors des États-Unis la divulgation de données, dans le cadre d’investigations criminelles, en s’adressant directement aux sociétés traitant ou conservant ces données. Concrètement, la police, la “justice et l’administration américaines pourront avoir accès à des données sans considération du lieu où se trouvent celles-ci, dès lors que la société qui les conserve est « de droit américain » (une filiale européenne de société américaine par exemple), sans en informer la personne concernée. Les sociétés concernées sont Microsoft, Google, IBM, AWS, Salesforce, Oracle, etc.
Naturellement, les organismes de défense des droits fondamentaux s’insurgent. Les critiques pleuvent : ingérence numérique et juridique, hégémonie américaine, atteinte à la vie privée, loi liberticide…
De même, les entreprises ayant recours à des prestataires « de droit américain » pour héberger leurs données s’inquiètent de leur perte de contrôle sur les données de leurs clients, mais aussi de la confidentialité de leurs secrets d’affaires ainsi que d’une possible divulgation de leurs actifs incorporels.
Les partisans du Cloud Act arguent que le texte n’organise pas un droit d’accès absolu aux données et qu’il prévoit un contrôle systématique par un juge du bien-fondé de ces demandes de transmission de données. Ils invoquent également la possibilité pour les sociétés « de droit américain » de mettre en œuvre des mécanismes juridiques permettant de s’opposer à ces demandes de transmission des données, dans le cas où le Cloud Act contreviendrait à la réglementation du pays dans lequel elles se trouvent.
Veuillez télécharger le lien pour lire la suite de l’article :