Les résultats d’une étude commandée à un cabinet d'avocats américain par le ministère néerlandais de la justice et de la sécurité sur le Cloud Act, indique que les entités de l'UE peuvent être soumises au cloud act, même si elles sont situées en dehors des États-Unis. Elle précise même que le Cloud Act s'applique aussi quand un fournisseur de cloud européen utilise du hardware ou un logiciel américain, ce qui est le principe même des futures offres de « Cloud de confiance » Bleu (les technologies de Microsoft proposées par Orange et Capgemini) et S3ns (celles de Google avec Thales).Le cloud act pour Clarifying Lawful Overseas Use of Data Act est une loi américaine de 2018 clarifiant l’utilisation légale des données à l’étranger et permet aux autorités américaines de disposer des outils juridiques adéquats pour obliger les entreprises aux États-Unis de fournir les données stockées sur leurs serveurs, y compris ceux situés à l’étranger, en cas de mandat ou d’assignation en justice.
Laure de la Raudière, députée de la troisième circonscription d'Eure-et-Loir de 2007 à 2021, avait déclaré : « Je ne veux pas comparer les lois américaines et chinoises, car elles ne sont évidemment pas identiques, mais ce que nous constatons, c'est que des deux côtés, chinois et américain, il y a clairement une pression pour un accès extraterritorial aux données. Cela doit constituer un signal d'alarme pour que l'Europe accélère sa propre offre souveraine dans le secteur des données ».
Selon le Gouvernement français, certaines des données les plus sensibles de l'État français et des entreprises peuvent aujourd’hui être stockées en toute sécurité en utilisant la technologie cloud développée par Google et Microsoft, si elle est concédée à des entreprises françaises.
L’année dernière, Capgemini et Orange ont annoncé leur partenariat en vue de la création d'une nouvelle société spécialisée dans le cloud de confiance, baptisée Bleu. En partenariat avec Microsoft, Bleu met à disposition de ses clients les solutions sécurisées cloud du géant américain, en l'occurrence les suites de collaboration et de productivité Microsoft 365 ainsi que l'ensemble des services de la plateforme cloud Microsoft Azure.
Bleu « fournira ses solutions aux Opérateurs d’Importance Vitale (OIV), aux Opérateurs de Services Essentiels (OSE), à l’État français, à la fonction publique, aux hôpitaux et aux collectivités territoriales requérant la mise en place d’un cloud de confiance adapté au degré de sensibilité de leurs données et à leur charge de travail », précise un communiqué du gouvernement français.
L’année dernière encore, Le géant Français de la défense, Thales, et Google ont annoncé la création d'une nouvelle entreprise commune pour offrir un service de cloud souverain en France. « En adressant à la fois les aspects techniques et juridiques du label “cloud de confiance'' du gouvernement français, cette approche illustre notre compréhension commune des enjeux et bénéfices du cloud pour les entreprises et institutions françaises, et la volonté de collaborer étroitement et concrètement, en France, pour créer des conditions favorables à l’innovation, de façon ouverte et autonome », a déclaré Samuel Bonamigo, Vice President EMEA South, pour Google Cloud
Thales annonce une nouvelle collaboration avec Google Cloud qui accélérera la capacité des entreprises à migrer en toute sécurité des données sensibles entre des infrastructures informatiques à base de clouds publics, hybrides et privés. Ensemble, les deux sociétés offriront de nouvelles fonctionnalités permettant aux équipes de sécurité des entreprises de posséder et de contrôler leurs clés de chiffrement tout en contribuant à répondre aux exigences réglementaires accrues, le tout en supportant des environnements de travail de plus en plus répartis, a indiqué l’entreprise française sur son Site officiel.
« Fidèles à notre mission, nous avons établi une relation plus étroite avec Thales afin de mieux protéger les informations les plus sensibles de nos clients. Les entreprises de tous types et tailles sont confrontées à un environnement business extrêmement instable et dynamique où même les meilleures lignes de défense sont constamment mises à l'épreuve. Tout comme Thales, nous sommes conscients du panorama actuel et restons vigilants pour fournir à nos clients les solutions les plus avancées et capables de répondre aux besoins d'aujourd'hui et de demain en matière de cybersécurité », Google.
L'étude, dont les analyses sont validées par plusieurs experts du droit du numérique contredit donc la communication du gouvernement français ainsi que celles de Bleu et de S3ns. Pour qu'une entité de l'UE puisse éviter complètement d'être soumise cloud act, il lui faudrait traiter les données en utilisant une entité non américaine, qui soit :
- n'a pas de relation d'entreprise avec une société ayant une présence aux États-Unis (telle que une filiale américaine) et qui n'a pas de contacts suffisants avec les États-Unis pour que les États-Unis raisonnable pour les États-Unis d'affirmer leur compétence à l'égard de l'entité de l'UE/l'entité non américaine (ce qui inclut le fait de ne pas vendre de produits ou de services à des clients) ;
- si elle a une relation d'entreprise avec une société basée aux États-Unis, la société américaine ne doit pas avoir la possession, la garde, le contrôle ou la responsabilité de l'entité européenne.
En aucun cas, l'entité de l'UE ne peut avoir une société mère américaine, car la société mère serait considérée comme ayant la possession ou le contrôle des données de sa filiale. En outre, il est conseillé de ne pas employer de ressortissants américains ayant accès aux données pertinentes. Contrairement à ses exigences, Bleu commercialisera sous licence les offres cloud logicielles de Microsoft Azure (notamment la suite Office 365), tandis que S3ns proposera celles de Google Cloud.
Source : Ministère néerlandais de la justice et de la sécurité
Et vous ?
Quel est votre avis sur la question du « cloud de confiance » ? Les conclusions de cette étude commandée à un cabinet d'avocats américain sont-elles pertinentes ?Voir aussi :
La France choisit Google et Microsoft pour la protection des données sensibles, Bruno Le Maire, Amélie de Montchalin et Cédric O ont présenté la stratégie nationale pour le cloud France : Thales et Google créent une coentreprise française de cloud souverain, une offre conçue en France et pour la France Capgemini et Orange annoncent le projet de créer « Bleu », une société qui fournira un « Cloud de Confiance » en France 
.
Envoyé par sanderbe
