Le Cloud Act américain a un impact majeur sur les entreprises européennes et les fournisseurs de cloud, même s’ils ne sont pas basés aux États-Unis. Pour éviter les tracas, les entreprises de cloud concernées doivent toujours traiter les données par l’intermédiaire d’une entreprise non américaine.
Ceci est écrit par le cabinet d’avocats d’Amsterdam Greenberg Traurig sur la base d’une étude commandée par le National Cyber Security Center (NCSC), qui fait partie du ministère de la Justice et de la Sécurité. L’agence décrit en détail les mesures que les entreprises européennes doivent prendre pour éviter d’être gênées par la loi américaine sur le cloud et les options existantes pour réduire les risques. Contrairement aux idées reçues, les entreprises européennes et le stockage de données en Europe ne sont pas à l’abri de la législation américaine. Les données traitées et stockées entièrement en Europe sont parfois soumises à la législation américaine. Les services secrets américains peuvent demander ces données, même s’ils ne sont jamais allés hors d’Europe.
L’exemple de cette loi montre les conséquences d’une législation si elle a un effet extraterritorial. La législation dans le domaine numérique a de plus en plus un tel effet extraterritorial. Cela complique la sécurité des informations dans l’UE et le respect des lois et réglementations européennes et nationales dans le domaine de la sécurité des informations et de la protection des données.
La fille
« Il est conseillé de ne pas employer de citoyens américains qui ont accès aux données pertinentes »
Le principal conseil de Greenberg Traurig est de ne pas traiter les données par le biais d’une unité commerciale qui entretient une relation commerciale avec une société américaine, telle qu’une filiale américaine. Si une relation commerciale existe avec une entreprise aux États-Unis, l’entreprise américaine ne peut pas posséder, stocker ou contrôler les données stockées dans l’UE.
Il ne devrait en aucun cas y avoir une mère américaine, car cette mère serait réputée posséder ou contrôler les données de sa fille. De plus, il est recommandé de ne pas employer de citoyens américains ayant accès aux données pertinentes.
Incidemment, il existe des moyens de devenir « immunisé » contre la législation américaine sur le cloud. Greenberg Traurig le résume. Un cryptage approprié, tel que le DKE88 de Microsoft, empêchera également l’accès à la plupart des données. Une approche basée sur les risques pourrait conduire à la conclusion que les risques sont faibles, préviennent les avocats d’Amsterdam.
Un exemple d’une telle approche est l’évaluation d’impact sur la protection des données (DPIA) telle que Microsoft Teams qui utilise. La nouvelle limite de données de l’UE de Microsoft semble également empêcher les données de l’UE d’aller aux États-Unis. Cela peut également protéger contre la loi. L’initiative française Bleu, de Capgemini et Orange (avec Microsoft), semble également aller dans le bon sens. Google travaillerait sur des initiatives similaires.
En outre, les avocats notent que le Cloud Act peut également atteindre les données via des sous-traitants/fournisseurs de matériel et de logiciels vers et depuis les fournisseurs de cloud. Par exemple, si Microsoft utilise des routeurs Cisco et que Cisco a accès aux données des clients/personnes concernées de l’UE via ces routeurs, cela doit également être résolu.
Loi chinoise sur la sécurité des données