Jules-Henri Gavetti, Président d’IKOULA
Le rapport Gauvain intitulé “Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale”, remis le 26 juin 2019 au Premier Ministre, dresse un constat alarmant : « les entreprises françaises ne disposent pas aujourd’hui des outils juridiques efficaces pour se défendre contre les actions judiciaires extraterritoriales engagées à leur encontre, que ce soit par des concurrents ou par des autorités étrangères… ».
Autre constat : « …les poursuites engagées semblent être motivées économiquement et les cibles choisies à dessein. Les grandes entreprises américaines sont, pour la plupart, épargnées de toute poursuite et seules de grandes entreprises européennes et asiatiques, en concurrence directe avec des entreprises américaines, sont visées ». Autrement dit, ces lois seraient aussi une arme de guerre économique américaine.
Le Cloud Act ou l’enjeu de souveraineté des données européennes
Promulgué le 23 mars 2018, le Cloud Act (acronyme de Clarifying Lawful Overseas Use of Data Act) est l’une des plus récentes lois à portée extraterritoriale d’origine américaine. Cette nouvelle loi sécuritaire des États-Unis a de quoi inquiéter les autorités, les entreprises et les citoyens de l’Union européenne.
Il permet en effet aux forces de l’ordre ou aux agences américaines de réquisitionner des documents et des données sur des fondements divers, tous englobés sous l’appellation « serious crime ».
– Un flou entourant la notion de « serious crime »
C’est justement cette notion de « serious crime » que le rapport Gauvain remet en question. Cette notion considérée comme floue, concernerait un « très vaste champ d’infractions », et « comprend sans aucun doute l’ensemble des infractions de nature économique, commerciale et financière susceptibles d’affecter les entreprises françaises ». Ainsi, le Cloud Act peut être invoqué dans un grand nombre de cas.
– Une loi en conflit avec le RGPD
Emails, conversations en ligne, photos et vidéos des abonnés résidentiels, comptes clients, ou encore documents corporate et confidentiels, sont autant de données susceptibles de faire l’objet d’une demande d’accès via le Cloud Act. Ce qui – selon le rapport Gauvain – entre en conflit direct avec « les dispositions du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne » et l’obligation de non divulgation des données à caractère personnel. Le risque ici pour les entreprises est donc de se voir sanctionner d’une amende pouvant aller jusqu’à 4% de leur chiffre d’affaires mondial, mais aussi de subir une fuite de leur savoir.
D’où l’importance pour les entreprises de confier leurs données à des prestataires ayant les plus faibles intérêts possibles en dehors de l’Europe, et obéissant de par leur maison mère aux lois françaises ou européennes.
NB: Ikoula est un des pionniers du cloud en France et en Europe