Le Cloud Act est un ensemble de lois créé aux États-Unis en 2018. Ces lois s’opposent directement aux textes énoncés dans le règlement général sur la protection des données (RGPD). Ce dernier unifie les pratiques de traitement des données à l’échelle européenne avec pour ambition principale, la protection de la vie privée  des consommateurs. 

Qu’est-ce que le Cloud Act ? 

Le Cloud Act est un ensemble de textes de loi mis en place en 2018 par Donald Trump alors président des États-Unis. Ce nom est en réalité la contraction de “Clarifyng Lawful Overseas Use of Data Act”. 

Le Cloud Act est donc une série de lois sur le traitement des données. Il permet notamment aux États-Unis d’exploiter librement des données personnelles d’individus étrangers. Cette utilisation s’oppose donc directement au RGPD. Le règlement général sur la protection des données, qui met en place depuis 2018 une protection des données des consommateurs à l’échelle européenne. 

Quelles sont les entreprises concernées ? 

Seules les entreprises qui sont Américaines et soumises aux droits appliqués aux États-Unis sont concernées. On peut par exemple citer Microsoft, Facebook ou encore Google. 

Le Cloud Act concerne donc les entreprises et tous les prestataires d’hébergement basés sur le sol Américain ou de nationalité Américaine et basés dans n’importe quel autre pays. Ces entreprises répondent donc au Cloud Act et non aux législations de leur pays de sol. En Europe par exemple, elles ne sont pas tenues de respecter le règlement général sur la protection des données. 

Quelles sont les lois imposées par le Cloud Act ? 

Le Cloud Act contient donc plusieurs lois dont le but est d’accéder aux données personnelles stockées aux États-Unis et à l’étranger. Ces lois permettent de détourner une règle fondamentale en protection des données : la protection par la réglementation du pays de stockage. Mais un autre principe fondamental est également remis en cause par ces lois : la protection de la vie privée des consommateurs par la protection de leurs données personnelles.  

La principale loi est donc l’obligation sur demande des autorités américaine, à un organisme (soumis au Cloud Act), de transférer toutes les données demandées. Cette transmission doit se faire sans délais et sans possibilité de s’y opposer en faisant appel par exemple. De plus, lors d’une demande, la personne physique concernée par cette consultation n’est pas avertie. 

Comment se protéger du Cloud Act ? 

Il existe des alternatives mises en place par les pays européens pour protéger leurs utilisateurs. 

Certaines entreprises utilisent le chiffrement des données pour protéger les consommateurs. C’est une bonne alternative pour défier les lois du Clarifyng Lawful Overseas Use of Data Act

D’autres, font appel à des partenaires externes non-soumis au Cloud Act. Ils protègent ainsi les données des consommateurs et sont protégés par les règles de leur pays. Il peut s’agir du RGPD si l’entité est sur le sol Européen. 

Dernière mise à jour le 05/03/2021