CLOUD Act : quels risques pour les clients européens des SaaS américains ?
Pour le vice-président l’AFCDP, un risque pèse aujourd’hui sur les clients des SaaS américains. Les clauses contractuelles ne suffisent pas à se sécuriser. Et le chiffrement est une solution imparfaite.
Que risque court aujourd’hui une société française qui utilise un SaaS américain pour y traiter des données personnelles ?
Le risque est le même que pour Microsoft dans le cadre du Health Data Hub : la CNIL peut considérer que le stockage aux États-Unis n’est pas assez protecteur pour les droits et la vie privée des personnes concernées, et exiger le rapatriement des données en Europe, ou dans un pays tiers à la protection « adéquate ».
Exiger le rapatriement signifie concrètement passer à un prestataire européen, non soumis aux lois américaines. Car, a priori, malgré d’éventuels engagements contractuels, les acteurs américains ne peuvent pas garantir qu’ils ne seraient pas contraints d’obtempérer à des injonctions des pouvoirs publics américains, concernant des données stockées en Europe.
La position de la CNIL sera alors sans doute proportionnée en fonction de la nature des données : les exigences ne sont pas les mêmes qu’il s’agisse de données de santé, ou (seulement) d’une liste d’adresses électroniques destinées à la prospection commerciale.
« Malgré des engagements contractuels, ces acteurs ne peuvent garantir qu'ils ne seront pas forcés d'obtempérer à des injonctions des pouvoirs publics américains »
Quant à la solution des Clauses contractuelles types (CCT) vantée par certains acteurs, elle n’a pas été formellement rejetée par la CJUE. Toutefois, la Cour a précisé que les CCT doivent faire l’objet d’une analyse au cas par cas pour vérifier qu’elles sont bien protectrices.
Dans le cas des États-Unis, l’existence du FISA et de l’EO 12333 fait que cette analyse est probablement vouée à un constat négatif.
La seule solution envisageable serait le chiffrement des données, sous réserve que les clefs n’en soient pas détenues par le prestataire ! C’est d’ailleurs l’argument avancé par Doctolib qui stocke certaines données chez Amazon, et affirme qu’elles sont chiffrées, au repos comme en transit, avec des clefs détenues par un tiers de confiance européen.
Toutefois, même cette solution ne semble pas parfaite : selon l’association Interhop, elle conserve des failles, avec des éléments d’infrastructure où les données ne sont pas chiffrées.
Pour la banque d’investissement Klecha & Co, au regard du contexte de guerre économique où l’Europe est un terrain de jeu possible pour les États-Unis et la Chine, la cloudification massive ira de pair avec la question de la souveraineté des données et de l’indépendance technologique.
