La fusion-acquisition (M&A) est importante dans la stratégie de croissance des entreprises, offrant des opportunités pour l'expansion, l'innovation, et l'efficacité opérationnelle. Nous verrons dans cet...
Le siège social est le centre administratif de la société. Elle se distingue par les autres établissements, à l’exemple de l’établissement principal, lieu d’exercice de l’activité de la société. Le siège...
Qu'est-ce que la cession de parts sociales ? L’associé d’une société peut transmettre à un autre associé ou à un tiers étranger à la société ses droits dans le capital de la société. Cette procédure...
Plusieurs investisseurs se trouvaient déjà à l’étranger alors que la levée de fonds d’une entreprise devait avoir lieu. Nos clients ont donc proposé à toutes les parties de réaliser l’opération sur Closd...
Avec plus de 90 000 utilisateurs, 30 000 opérations juridiques déjà réalisées, et plus de 300 clients dans 9 pays, Closd s’est imposé ces dernières années comme la plateforme leader du legal transaction...
Face à l’évolution fulgurante du paysage numérique actuel et à l’émergence du cloud computing, la question de la confidentialité et de la sécurité des données est plus que jamais centrale. Grâce à cette technologie, les données sont maintenant stockées et traitées dans le cloud, c’est-à-dire dans des serveurs répartis dans le monde entier et accessibles par Internet. Cela pose de nouveaux défis pour les individus, les entreprises et les gouvernements.
Dans ce contexte, le Cloud Act est apparu comme une législation majeure qui a bouleversé le paysage juridique international en matière de stockage et de transfert de données. Adopté aux États-Unis en 2018, cette loi à portée extraterritoriale soulève de nombreuses questions et débats sur la protection des données, la souveraineté des Etats et la coopération internationale.
Dans un monde de plus en plus interconnecté, il est donc essentiel que les utilisateurs de services cloud comprennent les enjeux du Cloud Act, et soient en mesure d’en évaluer les implications et d’explorer les alternatives possibles. Ainsi, quel est l’impact de cette loi sur les entreprises européennes ? Et quelles sont les bonnes pratiques à connaître pour garantir la protection des données tout en respectant les droits et les intérêts de chacun ?
Née à l’origine d’un contentieux entre Microsoft et le gouvernement des Etats-Unis, le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine adoptée en 2018. Cette loi vise à réglementer l’accès aux données hébergées dans le Cloud par les fournisseurs de services basés aux États-Unis ou de nationalité américaine, même lorsque ces données sont hébergées en dehors des frontières américaines. Comme de nombreuses lois américaines à portée extraterritoriale, cette législation prévaut ainsi de fait sur la législation du pays dans lequel est implantée l’entité et offre théoriquement au gouvernement américain une arme très puissante.
Le Cloud Act a ainsi suscité de vives préoccupations en matière de protection de la vie privée et de souveraineté des données, car il permet aux autorités américaines d’accéder aux données d’individus et d’entreprises (et de leurs clients) situées en dehors des États-Unis à condition que l’entité qui héberge ces données ait un lien avec les Etats-Unis. Et ce sans avoir à les en informer, et sans passer par les procédures judiciaires locales ou par une demande d’entraide judiciaire internationale. Cela a également soulevé des questions sur les conflits de lois entre les États-Unis et d’autres pays, avec le RGPD en Europe notamment, et cela à plusieurs titres.
En effet, le RGPD (Règlement général sur la protection des données) de l’Union Européenne accorde une protection forte aux données à caractère personnel des individus, en imposant des obligations strictes aux entreprises amenées à traiter ce type de données. Le Cloud Act, en revanche peut permettre aux autorités américaines d’accéder à ces données sans nécessairement respecter les mêmes normes de protection des données.
On constate également des difficultés en ce qui concerne la compréhension du transfert transfrontalier de données, et le consentement et contrôle des individus sur leurs données personnelles. Des difficultés qui ne sont pas près de se dissiper, quand on constate la lenteur de la riposte européenne. Depuis 2018, le Conseil européen travaille sur son projet de directive et de règlement e-Evidence, le “Cloud Act européen”, visant à améliorer la coopération judiciaire avec les GAFAM et à harmoniser les injonctions européennes de production et de conservation de preuves électroniques en matière pénale. Ce contexte d’interminables négociations avec les autorités américaines profite au Cloud Act.
En l’absence de législation européenne unique, les mises en garde locales tombent, mais restent sans effet : en France, des entreprises bien connues de tous, comme Microsoft, Google, Facebook, Dropbox, etc. ont ainsi été épinglées par la CNIL (Commission nationale de l’informatique et des libertés), du fait d’un « risque d’accès illégal aux données ».
Avec le Cloud Act, les autorités américaines peuvent désormais demander aux fournisseurs de services américains ou présentant un lien suffisant avec les Etats-Unis de divulguer les données qu’ils hébergent, même stockées à l’étranger, à condition que ces données soient associées à un individu ou à une entité relevant de la juridiction américaine.
Cela soulève des préoccupations en matière de confidentialité et de protection des données pour les entreprises européennes qui utilisent des services cloud gérés par des fournisseurs américains.
Pour être sollicitée, une entité européenne peut ainsi être soumise au Cloud Act si trois critères sont remplis :
Le critère de « compétence pour agir » est rempli si l’entité européenne satisfait le test de « contact minimum » avec les Etats-Unis. Pour le savoir, la juridiction américaine s’appuie sur un faisceau d’indices tels que :
Il ne s’agit pas de critères mais bien d’un faisceau d’indices : la juridiction s’appuie sur les faits pour décider si les liens avec les Etats-Unis sont suffisants.
De fait, de nombreuses entreprises sont ainsi soumises au Cloud Act, tant les liens avec les Etats-Unis sont désormais omniprésents. Il est actuellement très difficile pour les entreprises et les éditeurs de logiciels européens d’échapper à l’extraterritorialité du droit américain, à cause de l’omniprésence des GAFAM dans notre quotidien personnel et professionnel.
Les entreprises européennes peuvent prendre des mesures pour se conformer à la fois au Cloud Act et au RGPD. Par exemple, elles peuvent choisir des fournisseurs de services cloud basés en Europe ou dans des pays offrant un niveau de protection adéquat. Pour ne pas tomber sous le coup du Cloud Act, celles-ci ne doivent entretenir aucune relation professionnelle avec des entreprises présentes aux États-Unis.
Les entités européennes peuvent aussi avoir recours au chiffrement des données pour renforcer la sécurité, et mettre en place des clauses contractuelles spécifiques pour se protéger du Cloud Act.
Le chiffrement des données est ainsi actuellement la barrière la plus efficace contre les effets de bord du Cloud Act. Cette protection technique permet ainsi de rendre les données accessibles aux autorités américaines mais non lisibles, et donc de protéger les intérêts des entreprises européennes. Les entreprises peuvent chiffrer les données sensibles avant de les stocker dans le cloud. De cette manière, même si les autorités américaines accèdent aux données, elles ne pourront pas les lire sans la clé de déchiffrement. Cela offre une couche supplémentaire de protection en cas de demande d’accès aux données par le gouvernement américain.
Enfin, les entreprises peuvent mettre en place des mesures de sécurité robustes pour protéger les clés de chiffrement, afin de prévenir les attaques visant à compromettre les clés.
Une solution comme la plateforme de gestion de projets juridiques Closd permet aux professionnels du droit et du deal-making, souvent amenés à traiter des deals internationaux sensibles, de garantir la protection la plus haute de leurs données.
En appliquant les plus hauts standards de protection des données (hébergement en France, chiffrement des données à l’aide du puissant algorithme AES- 256, utilisé par les banques et les gouvernements, protocole TLS pour chiffrer la connexion entre les clients et la plateforme), Closd fait aussi régulièrement réaliser des audits de sécurité́ et des tests de pénétration par des prestataires certifiés.
Pour en savoir plus sur le traitement de données par Closd, téléchargez notre fiche pratique, ou planifiez une démo gratuite avec notre équipe !
Tous les champs marqués d'un astérisque (*) sont obligatoires