Vous travaillez dans la tech, le cloud, le cyber et vous essayez de rester à jour sur l’actualité digitale, notamment légale, qui ne cesse de changer. Le RGPD c’est le nerf de la guerre n’est ce pas ? Ok, on vous fait un résumé pour que vous sachiez où se trouvent les risques concernant les données de votre entreprise. Soyez attentif 🙂

RGPD, la base

Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.

Ce règlement européen, entré en vigueur en 2018, a pour vocation de redonner à l’individu, le contrôle de ses données.
My Data My Choice !

Il harmonise les règles, en Europe, en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

➡️Le RGPD c’est le contrat de confiance instauré entre l’utilisateur et le professionnel du digital.

Et concrètement ça donne quoi ?

Le texte précise que toute entreprise, européenne ou non mais qui manipule des données d’utilisateurs européens, est soumise au RGPD. Pour un transfert de données européennes en dehors du continent, l’article 48 du RGPD stipule qu’un accord entre les deux pays est nécessaire.

Ex : Facebook, entreprise américaine, est soumise au RGPD pour ses utilisateurs en Europe👍

Cloud Act, la menace fantôme

La même année, en 2018, aux USA, Donald Trump adopte le Cloud Act.

Il décrète que si cela est jugé nécessaire (la necessité étant unilatéralement décidée par les Etats-Unis et sans justification), les Etats-Unis pourront faire fi de notre RGPD, en Europe, et récupérer de manière légale ET sans procédure, des données localisées dans les datacenters d’entreprises américaines, situés aux États-Unis et à l’étranger, sans que l’utilisateur concerné n’en soit informé.

➡️Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est né.

1 condition reste néanmoins requise, le fournisseur de cloud qui officie en Europe doit :

  • soit être une entreprise américaine, en totalité ou en partie (consortium, joint venture, filiale);
  • soit faire du business avec une entreprise américaine.

Quels impacts sur notre système RGPD ?

Depuis 2018, les fournisseurs de cloud se sont donc, avec plus ou moins d’empressement, intéressés à cette question.

  • Devront-ils, ou non, fournir leurs données aux américains sur simple demande ?
  • Quelle est la valeur juridique de cette loi américaine face à la loi européenne ?
  • Devront-ils rompre le lien de confiance créé avec leur client ?

Pour l’heure, si aucune demande n’a encore été faite en France, faudra-t-il s’en inquiéter une fois le cas présenté ?
Le fournisseur de solutions cloud et donc l’hébergeur de données, passe pourtant un contrat avec son client pour ne jamais divulguer les données de celui ci. Il convient donc à ce fournisseur, de trouver une solution pour contrer cette loi extraterritoriale, le Cloud Act, qui permettrait aux USA de « prendre des données » comme bon leur semble.

Le FISA, la menace sans fin !

En 2008, les Etats-Unis amendent une ancienne loi de 1978, le FISA devient : le FISA Amendments Act of 2008 qui autorise l’administration américaine à collecter, utiliser et partager des données personnelles étrangères, stockées sur des serveurs américains. Seule restriction : les personnes ciblées ne doivent pas être américaines.

➡️Le FISA (Foreign Intelligence Surveillance Act), ou quand les Etats-Unis peuvent récuperer des données en Europe ET les partager avec d’autres pays étrangers...

L’Executive Order 12333, du fond des océans…

Pour que vous ayez tous les éléments en main, sachez qu’il existe aussi l’Executive Order 12333, dont on parle moins, qui est un décret exécutif du Président des Etats-Unis, permettant aux services de renseignement d’intercepter et d’analyser toute donnée entrant aux Etats-Unis. Cette collecte se fait via « interception », notamment via les câbles sous marins qui permettent le transfert de données, de l’Europe vers les Etats-Unis. Heureusement des mesures de sécurité techniques solides, permettent le chiffrement de bout en bout des données transférées et ainsi assurent la confidentialité des informations.

Les américains se sont dotés de plusieurs leviers pour récupérer les données qui sont hors de leur territoire… Dès lors que celles ci sont traitées par une entreprise, américaine ou ayant des liens avec une entreprise américaine… Ils peuvent aussi partager ces données collectées, avec des pays, sans en demander la permission à quiconque.

Malgré cela, en France, il existe un « bouclier », SecNumCloud. L’avenir de la souveraineté des données se trouve dans cette qualification. Lancée par l’ANSSI en 2016, elle s’est dotée, depuis sa dernière version, de véritables remparts contre les lois extraterritoriales.

Pour aller plus loin on vous conseille : My Data My Privacy My Choice, de Rohit Srivastwa