Le calme avant la tempête: CLOUD act

Echoworx | Email Encryption Solutions | Quiet before the storm: CLOUD act

Le calme avant la tempête: CLOUD act

Les développements récents dans le procès entre le gouvernement des États-Unis et Microsoft ont des répercussions sur les entreprises offrant des services à l’échelle mondiale. La Loi clarifiant l’utilisation légale des données à l’étranger (CLOUD Act) vise à simplifier la façon dont les groupes chargés de l’application de la loi obtiennent des données personnelles stockées par des sociétés technologiques basées aux États-Unis.

Que s’est-il passé:

En décembre 2013, un magistrat des États-Unis a délivré à Microsoft un mandat en vertu de la loi sur les communications stockées (SCA) pour la production de données hébergées dans un centre de données Microsoft en Irlande. Microsoft a refusé de se conformer aux parties de l’ordre qui exigeaient la production de son centre de données en Irlande en vertu du mandat qui violait la loi européenne.

Microsoft a fait appel de la décision auprès de la Cour d’appel des États-Unis pour le Deuxième circuit qui a reçu des arguments en faveur de Microsoft de diverses parties. Le gouvernement irlandais a présenté un mémoire affirmant que le mandat violait la directive sur la protection des données de l’Union européenne, les lois sur la protection de la vie privée en Irlande, et que le gouvernement américain aurait dû utiliser le Traité d’assistance juridique mutuelle de longue date entre les États-Unis et l’Irlande qui permet la collecte de données par des mandats locaux. Le Deuxième circuit des États-Unis s’est prononcé en faveur de Microsoft et le département de la Justice a fait appel à la Cour suprême.

Les arguments oraux sur l’affaire ont été entendus le 27 février. Cependant, en mars, le Congrès américain a voté, et le président a signé la Loi clarifiant l’utilisation légale des données à l’étranger (CLOUD Act). Cette loi a modifié le SCA pour obliger les fournisseurs de services basés aux États-Unis à restituer les données qui sont en leur possession, quel que soit l’endroit où les données se trouvent dans le monde. Sur la base de cette évolution, le Département américain de la justice a demandé à la Cour suprême de classer l’affaire comme sans objet et Microsoft ne s’y est pas opposé.

Même avant cette décision, d’importantes questions avaient été soulevées concernant l’accès du gouvernement américain aux données sur les citoyens d’autres pays. Le groupe de travail sur l’article 29 avait publié un rapport remettant en question le respect par les États-Unis des exigences des accords États-Unis/UE sur le bouclier de protection des renseignements personnels. Dans le rapport, ils ont recommandé que de nouvelles négociations entre les États-Unis et l’UE commencent à élaborer un plan pour combler quelques lacunes identifiées. Le Groupe de travail a averti que si aucune mesure n’était prise, il porterait la question devant les tribunaux pour faire invalider l’entente sur le bouclier de protection des renseignements personnels.

Impact sur le marché:

Tout cela se passe dans le contexte de l’entrée en vigueur du règlement général de l’UE sur la protection des données, qui impose des exigences strictes aux entreprises qui traitent les données des résidents de l’UE. Plus précisément, l’article 48 du règlement général de l’UE sur la protection des données stipule que:

Tout jugement d’une juridiction ou toute décision d’une autorité administrative d’un pays tiers imposant au responsable du traitement ou au sous-traitant de transférer ou de divulguer des données personnelles ne peut être reconnu ou exécutoire que s’il est basé sur un accord international, comme un traité d’assistance judiciaire mutuelle (MLAT), en vigueur entre le pays tiers requérant et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre.

Cela contredit directement les exigences de la CLOUD Act qui annulent directement la nécessité d’utiliser l’approche MLAT.

Naturellement, on se demande quelles sont les lois les plus pertinentes, le statut des traités et des accords précédemment convenus, et quelques autres questions. Il est également susceptible d’avoir un impact significatif sur les entreprises américaines, car les abonnés passent aux fournisseurs de services de cloud dans leurs juridictions locales – ou du moins dans les juridictions qui n’ont pas de telles imbrications juridiques.

Echoworx est une entreprise basée au Canada, et la loi canadienne actuelle exige l’utilisation des traités d’assistance judiciaire mutuelle (MLAT) lorsque ces données sont stockées dans un pays étranger. Echoworx s’engage également à respecter les exigences légales et de confidentialité des pays dans lesquels elle opère. Echoworx continue d’ajouter des centres de données à travers le monde pour s’assurer que les données résident le plus près possible du pays ou de la région d’origine. Nous exploitons actuellement des centres de données aux États-Unis, au Royaume-Uni, en Irlande, au Mexique et au Canada pour nous assurer que les données peuvent être stockées et conservées conformément à la réglementation et à la législation auxquelles nos clients sont soumis.

Par David Broad CISSP, responsable de la sécurité de l’information et de la vérification, Echoworx