Le secrétaire d’État au numérique Mounir Mahjoubi dénonce l'extraterritorialité de la loi américaine Cloud Act, qui permet aux USA un accès aux données stockées dans le cloud par les sociétés américaines, où qu'elles soient dans le monde.

Le vote, aux États-Unis, d’une nouvelle loi sur l’accès aux données stockées dans le cloud, où qu’elles soient dans le monde, fait des vagues à l’étranger, en particulier en France. Ce mardi 23 octobre, elle a même provoqué une réaction de Mounir Mahjoubi, le secrétaire d’État au numérique, puisque l’intéressé répondait à une question orale posée par le député Philippe Latombe, membre du MoDem.

Et le moins que l’on puisse dire, c’est que Mounir Mahjoubi se montre circonspect sur ce texte, appelé Cloud Act (Clarifying Lawful Overseas Use of Data Act). Celui-ci permet en effet aux autorités américaines, depuis le 23 mars 2018, d’accéder, dans le cadre d’une procédure judiciaire, aux données et aux contenus de toutes les sociétés américaines et de leurs filiales, même à l’étranger.

La France ne se laissera pas faire ! « Sur ce jeu nous jouons à poids égal avec les américains » @mounir réaffirme le rôle de la France et de l’Europe face à la dangerosité du Cloud Act américain. 🇫🇷 🇪🇺 #QAG #cloudact pic.twitter.com/gzH2ho832E — Valéria Faure-Muntian (@V_Faure_Muntian) October 23, 2018

Protection des textes européens

Or pour le secrétaire d’État, le caractère extraterritorial du Cloud Act pose problème parce qu’il existe avec les USA des dispositions qui régissent les rapports entre États, en conditionnant l’accès et l’exploitation des données, notamment personnelles, et en organisant leur protection.

C’est avec le Privacy Shield (ou Bouclier de protection des données UE-États-Unis), qui est mis en place depuis 2016 et le Règlement général sur la protection des données (RGPD), entré en application ce printemps, que le Cloud Act génère principalement des difficultés. En filigrane, ce sont aussi des problématiques de souveraineté qui sont en jeu, puisque tout ou presque devient relativement facilement à portée des USA.

Le RGPD est un texte qui concerne, comme son nom l’indique, la protection des données personnelles. Le Privacy Shield, lui, est un accord transatlantique, qui encadre le transfert des données personnelles des internautes européens vers les États-Unis, dans la mesure où bon nombre de services et de produits — notamment les plus populaires — proviennent des USA.

Discussions avec les USA

Le Cloud Act « est un texte avec une portée extraterritoriale qui pourrait s’appliquer à tous les citoyens français, à toutes les PME françaises qui stockeraient leurs données chez un prestataire américain, y compris sur le territoire français », rappelle ainsi Mounir Mahjoubi. D’après lui, la France a évoqué ce dossier lors de la révision annuelle du Privacy Shield, qui a eu lieu courant octobre entre l’Union européenne et l’Amérique.

D’ores et déjà, au niveau français, mais aussi à l’échelle européenne, le Cloud Act fait l’objet de travaux : « nous avons organisé un travail interministériel et interétatique avec les différents pays de l’Union concernés par ce sujet, afin de peser », indique ainsi Mounir Mahjoubi, qui assure qu’en la matière, « nous ne subissons pas ». Nous ferions même « jeu égal avec les Américains ».

En France, le Cloud Act pourrait paradoxalement avoir des effets positifs en termes de souveraineté numérique. Dans le cadre de la stratégie du cloud dans l’administration voulue par le gouvernement, un texte aussi intrusif constitue un argument de poids pour écarter les prestataires américains, y compris pour des besoins en cloud ne requérant pas un cahier des charges extrêmement exigeant.