N’ayez plus peur du CLOUD Act

Vous envisagez de migrer vos données dans le cloud, pour une meilleure flexibilité, élasticité et disponibilité, mais le CLOUD Act vous effraie. Rassurez-vous : même si vous passez par un cloud public américain, vos données restent sécurisées. Nous vous expliquons pourquoi.

Allez plus loin : Qu’est-ce que le cloud ?

Qu’est-ce que le CLOUD Act ?

Le Clarifying Lawful Overseas Use of Data Act (dit « CLOUD Act ») est une loi fédérale des États-Unis adoptée en 2018 sur la surveillance des données personnelles, notamment dans le cloud. A l’origine de cette loi se trouve un différend entre le FBI qui souhaitait accéder aux données d’un suspect et Microsoft qui estimait que le Gouvernement outrepassait ses prérogatives nationales en essayant d’accéder à un compte Outlook lié à un trafic de drogue stocké en Irlande.

Le CLOUD Act permet de contraindre les fournisseurs de services américains, par mandat ou assignation, à fournir les données demandées stockées sur des serveurs, qu’elles soient situées aux États-Unis ou dans des pays étrangers. Elle permet notamment aux forces de l’ordre américaines d’obtenir les données personnelles d’un individu sans que celui-ci en soit informé, ni son pays de résidence ni celui où sont stockées ces données.

Y a-t-il un risque pour vos données ?

Non. Le CLOUD Act encadre seulement l’accès des autorités américaines aux données se trouvant sur des serveurs à l’étranger, elle n’ouvre pas la porte à n’importe qui, n’importe quand, pour n’importe quelle raison. Les fournisseurs de services peuvent donner accès aux données contenues dans un serveur dans 2 circonstances seulement :

• avec le consentement du client
• avec un mandat délivré par un tribunal américain en respect des procédures pénales en vigueur aux États-Unis, c’est-à-dire uniquement lorsque la cour est convaincue qu’il existe des motifs probables de croire qu’un crime a été commis et que les preuves demandées sont directement liées à ce crime.

En outre, le CLOUD Act ajoute des garanties supplémentaires pour sécuriser vos données contenues dans le cloud, en permettant aux fournisseurs de services cloud de contester les demandes contraires aux lois ou aux intérêts nationaux d’un autre pays. La protection des données étant le cœur de métier des grands fournisseurs de services, il est dans leur intérêt de sécuriser au maximum à vos données.

Devez-vous prendre des précautions complémentaires ?

Même si le risque de voir vos données livrées aux autorités américaines est presque nul, vous pouvez recourir à un service de chiffrement tiers. Ainsi, même si votre fournisseur partage vos données avec les forces de l’ordre américaine, celles-ci seront inexploitables, votre fournisseur ne disposant pas de la clé de chiffrement associée.

Microsoft invite à une meilleure transparence et un meilleur contrôle des autorités

En mars 2018, Microsoft a édicté 6 grands principes qui devraient être adoptés à l’échelle mondiale :

• les utilisateurs doivent être prévenus quand un gouvernement accède à leurs données
• les demandes d’accès par les autorités judiciaires doivent être contrôlées et approuvées par des autorités judiciaires indépendantes
• les opérateurs de services de cloud doivent être informés de façon complète sur le processus d’accès aux données et disposer de moyens de s’opposer à des demandes appropriées
• des mécanismes doivent permettre de régler les conflits avec les autorités judiciaires d’autres pays
• les entreprises ont le droit de contrôler leurs données et doivent recevoir directement les requêtes des autorités judiciaires
• les États doivent être transparents quant aux demandes d’accès à des preuves numériques qu’ils ont émises et aux protections qui s’appliquent aux données.

Le CLOUD Act clarifie un vide juridique, mais n’ouvre pas la porte à vos données

En somme, le CLOUD Act n’ouvre pas la porte à toutes vos données : il clarifie un vide juridique. Il permet seulement aux forces de l’ordre d’accéder aux données d’un suspect si elles estiment y trouver des preuves permettant d’éclairer leur enquête. Bien sûr, des recours juridiques ont été mis en place pour éviter tout abus et les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) ont adopté des principes pour assurer à leurs utilisateurs que leurs données seront toujours protégées. Si ce n’est pas le cas, Microsoft s’engage à en informer ses utilisateurs.

Vous souhaitez migrer vos données vers le cloud, pour améliorer la mobilité, la sécurité et la disponibilité de vos données à tous vos utilisateurs ? Flexsi vous conseille et vous accompagne. Contactez-nous.

Articles similaires :

« Cloud public », « cloud natif » ou « on premise » ? Optez pour le bon mix Qu’est-ce que le cloud ? Découvrez Windows 365 : l’offre Cloud PC de Microsoft Qu’est-ce que le cloud hybride ?