Ressources
Dès lors que les données sont hébergées par une entreprise américaine, y compris par leurs filiales européennes et même sur le sol français, elles tombent sous le coup du droit américain; dont le fameux Cloud Act.
En effet, le Cloud Act américain permet aux autorités américaines d’exiger la communication de données stockées par des entreprises américaines, même si ces données sont physiquement situées hors des États-Unis.
Contraire au RGPD
Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre (Article 48)
Pour que le transfert soit légal au regard du RGPD, il faut respecter deux étapes :
- Une obligation légale
- Le transfert de données doit correspondre à une dérogation de l’article 49 du RGPD; L’article 49 liste un certain nombre de dérogations à l’exigence de garanties fortes aux transferts hors Europe.
La question est donc ce savoir si le transfert de données, demandé en vertu du Cloud Act, peut correspondre à l’une de ces dérogations.
- motifs importants d’intérêt public
- protéger les intérêts vitaux de la personne qui n’est pas en capacité de donner son consentement
- …
Apparition d’un cloud souverain
% notice style=“warning” title=“Définition” icon=“pen” %
- Infrastructures cloud entièrement détenues et hébergées sur le territoire national
- Contrôle total par des acteurs nationaux ou européens % /notice %
Les entreprises européennes peuvent prendre des mesures pour se conformer à la fois au Cloud Act et au RGPD. Par exemple, elles peuvent choisir des fournisseurs de services cloud basés en Europe ou dans des pays offrant un niveau de protection adéquat.