Qu’est-ce que le CLOUD Act ?
Juste au moment où les chefs d’entreprise pensaient pouvoir se calmer et reprendre les procédures opérationnelles standard après avoir atteint la conformité au GDPR et avoir mis en place leurs systèmes de suivi des données pour le CCPA, arrivent encore plus de politiques, de réglementations et de lois liées à la confidentialité des données pour continuer à garder tout le monde sur le qui-vive.
Vous pouvez certainement compter le CLOUD Act (la Loi) parmi les nouvelles lois les plus compliquées que les professionnels de la technologie doivent analyser et déterminer comment gérer pour leurs organisations.
La loi permet à tout ordre d’application de la loi américaine émis en vertu du Stored Communications Act (SCA) d’accéder à certaines données situées dans d’autres pays. À un moment où les outils d’application de la loi et les lois sur la protection de la vie privée existants pour répondre aux demandes de preuves à l’ère du cloud computing sont clairement limités, le CLOUD Act établit un ensemble de processus et de procédures pour fournir des outils permettant aux services répressifs américains de travailler avec d’autres pays lorsqu’il s’agit de partager des preuves basées sur des informations électroniques.
Voici quelques-unes des dispositions les plus importantes du CLOUD Act :
1. La loi permet aux ordres d’application de la loi américains émis en vertu de la SCA d’avoir accès à certaines données stockées dans d’autres pays. 2.
2. La loi prévoit également d’autoriser certains gouvernements étrangers à conclure des accords bilatéraux avec les États-Unis, ce qui leur permet de présenter des demandes d’application de la loi directement aux États-Unis, sans avoir à conclure de traité d’assistance juridique mutuelle. Tout cela sert à rationaliser la conformité avec les demandes d’information des services répressifs étrangers.
3. La loi permet aux entreprises de contester toute demande d’application de la loi qu’elles considèrent comme une atteinte à la vie privée.
4. La loi répond aux préoccupations relatives à la liberté civile et à la vie privée en imposant certaines limites aux demandes des forces de l’ordre.
Quel est l’historique de la loi CLOUD Act ?
Les travaux préparatoires du CLOUD Act sont en cours depuis plusieurs années, notamment depuis 2013 dans le cadre d’une enquête sur le trafic de drogue. Le FBI a émis un mandat SCA pour obtenir les courriels qu’un citoyen américain avait stockés sur l’un des serveurs distants de Microsoft, basé en Irlande.
Microsoft a refusé de donner accès à l’information, ce qui a finalement conduit à l’audition de l’affaire par la Cour suprême des États-Unis dans l’affaire Microsoft Corp v. United States. L’argument principal était que, selon le FBI, puisque Microsoft avait le plein contrôle des données, la société devait être obligée de les fournir en réponse au mandat. Toutefois, Microsoft a soutenu que le SCA ne couvrait pas les données stockées dans des installations situées en dehors des États-Unis.
Pendant un certain temps, Microsoft et le gouvernement ont convenu de suivre l’évolution de l’affaire, mais avec l’adoption du CLOUD Act, ce n’est plus nécessaire puisque les faits tombent bien dans les paramètres de la loi.
Le sénateur de l’Utah Orrin Hatch a pris l’initiative de modifier le SCA pour qu’il ressemble davantage à ce qui allait devenir le CLOUD Act, avec l’affaire Microsoft en tête de ses réflexions, en ce qui concerne les droits étrangers à la vie privée. Cette loi est en fait l’aboutissement de deux textes législatifs qui ont échoué, à savoir la loi LEADS (Law Enforcement Access to Data Stored Abroad Act) de 2015 et la loi ICPA (International Communications Privacy Act) de 2017.
Le CLOUD Act qui en résulte affirme que tous les fournisseurs de données et de communications américains doivent fournir les données stockées appartenant à des citoyens américains, sur tout serveur qu’ils possèdent et exploitent, lorsqu’un mandat leur est présenté. Toutefois, elle prévoit des mécanismes permettant aux entreprises ou aux tribunaux de contester ou de rejeter le mandat si l’organisation estime que la demande viole les droits à la vie privée du pays étranger dans lequel les données sont stockées.
Comment diverses organisations ont-elles réagi à la promulgation de la loi ?
Il n’est peut-être pas surprenant que le CLOUD Act ait reçu le soutien de grandes entreprises technologiques comme Google, Microsoft et Apple. Le ministère de la justice a également manifesté un soutien clair à cette loi.
Des organisations telles que l’American Civil Liberties Union, Amnesty International et Human Rights Watch se sont opposées à la nouvelle loi. Ces groupes affirment que la loi porte atteinte aux droits du quatrième amendement qui visent à protéger les citoyens contre les perquisitions et les saisies abusives, d’autant plus que la loi peut permettre au gouvernement de conclure des accords de partage des droits sur les données avec des pays étrangers afin de contourner les tribunaux américains et la Constitution. Tout cela pourrait se faire sans que les utilisateurs concernés soient informés de l’émission de ces mandats. Une grande partie de la loi laisse les citoyens ouverts à une variété d’actes potentiels de mauvaise foi.
Le CLOUD Act aura-t-il un impact sur votre entreprise ?
Il est difficile de savoir si le CLOUD Act peut toucher une entreprise en particulier, car il réagit en grande partie aux demandes d’information. Toutefois, toute entreprise peut être invitée à fournir des informations à tout moment.
Si vous êtes un fournisseur de services de cloud, un propriétaire d’installations de données ou d’entrepôts de colocation, un client-serveur, un fournisseur d’accès à Internet ou toute autre entité travaillant avec des clients et leurs données, vous avez plus de chances d’être confronté à un scénario basé sur le cloud que les entreprises qui ne conservent pas de données en masse.
Bien entendu, tout le monde se préoccupe de la protection des droits et de la vie privée de ses clients comme d’un pont vers la confiance mutuelle et le respect de la Constitution. La réponse et les retombées du CLOUD Act deviennent encore plus compliquées si l’on y ajoute le GDPR et le CCPA, dans lesquels les droits des clients sont censés occuper le devant de la scène. La loi et ces règlements relativement récents semblent être diamétralement opposés l’un à l’autre.
Avec tout cela à prendre en compte, de nombreuses entreprises et organismes gouvernementaux peuvent avoir besoin de conseils pour naviguer dans ces préoccupations contradictoires.
Avez-vous d’autres questions sur le CLOUD Act et vos responsabilités en la matière ?
Vous souhaitez obtenir plus d’informations sur le CLOUD Act et sur l’impact qu’il pourrait avoir sur votre entreprise ? Notre équipe I.S. Partners, LLC. a suivi de près l’élaboration de la loi, ainsi que tous les faits et événements qui ont conduit à sa promulgation. Nous pouvons vous aider à déterminer la meilleure voie à suivre pour protéger vos clients tout en vous conformant à cette nouvelle loi.