Avec le développement rapide du SaaS (Software As A Service) les entreprises se posent légitimement la question de la sécurité de leurs données dans le Cloud. Si le problème est souvent examiné en termes technique de sécurité physique des données, il doit aussi l’être en matière de sécurité juridique de données parfois très sensibles.
Alain WEBER (Avocat Henri Leclerc & Associés – Membre du Conseil de l’Ordre), Marie CHAUMARD (Avocat Henri Leclerc & Associés) et Jamal LABED (Directeur Général & cofondateur d’EasyVista) dressent les tenants et les aboutissants du USA Patriot Act.
 Compte-tenu de la prédominance des acteurs américains dans le domaine du SaaS, il convient donc de s’interroger sur les risques que fait courir le « USA Patriot Act » auquel ils sont soumis, à la différence des éditeurs européens.
Ce document rédigé avec un avocat expert en matière de protection des données a pour objectif de faire un point détaillé et argumenté sur cette question centrale.
La législation résultant de la mise en oeuvre de l’USA PATRIOT ACT (Uniting and Strengthening America by Providing Appropriate Tools Required to intercept and Obstruct Terrorism act) du 26 octobre 2001 prolongée jusqu’en juin 2015 impose aux entreprises de droit américain, ainsi qu’à leurs filiales dans le monde, et aux serveurs hébergés sur le territoire des Etats-Unis quelque soit la nationalité des entreprises qui les exploitent, ainsi qu'aux données hébergées en Europe par des sociétés de droit américain, des obligations permettant aux services de sécurité américains d’accéder à des données à caractère personnel.
1) Rappelons qu'une donnée personnelle est:
« (..) toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement. ».
Les données que vous hébergez sont donc concernées.
2) Plus précisément, la section 215 de l’USA PATRIOT ACT et les sections 504, 505 et 358 autorisent des perquisitions soit sous le contrôle d’un Juge soit hors contrôle d’un Juge.
Ces actions peuvent demeurer secrètes pendant une durée indéterminée.
3) Il en résulte que la personne concernée ignore les données ayant été consultées ou saisies du fait des perquisitions, ainsi que l’usage qui en est fait ou qui en sera fait; elle ignore également les modalités de conservation, ainsi que les services de renseignement ou de police qui en ont été rendus destinataires.
4) L’Union Européenne a édicté des textes protecteurs des données personnelles.
La Directive 95/46 CE du Parlement Européen et du Conseil du 24 octobre 1995 rappelle les principes selon lesquels les systèmes de traitement de données sont au service de l’Homme et qu’ils doivent - quelle que soit la nationalité ou la résidence des personnes physiques - respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée.
5) Le dispositif particulier dit de « Safe Harbour » ou « Sphère de sécurité » a été mis en place concernant les garanties apportées en cas de flux de données entre des entreprises américaines et des entreprises européennes.
6) Le système repose sur l’auto-certification des entreprises américaines qui déclarent adhérer à une série de principes de protection de données personnelles et de protection de la vie privée.
 7) Ces principes basés sur ceux de la Directive 95/46 du 26 octobre 1995 ont été négociés entre les autorités américaines et la Commission Européenne; ils sont publiés par le Ministère du Commerce des Etats-Unis.
8) La Commission Européenne a adopté le 26 juillet 2000 une décision d’adéquation qui reconnaît que les principes de « Safe Harbour » assurent une protection adéquate pour les besoins des transferts de données à caractère personnel depuis l’Union Européenne.
9) Cependant, la décision d’adéquation de la Commission Européenne en date du 26 juillet 2000 est antérieure à la promulgation de la législation résultant de l’USA PATRIOT ACT du 26 octobre 2001.
10) Le secret entourant les activités des services de renseignement relevant du Gouvernement des Etats-Unis empêche toute vérification du respect des principes de la Directive notamment sur les activités de recueil, de traitement, de conservation des données et empêche tout contrôle des intéressés sur ces activités.
11) Il en résulte l’ineffectivité du « Safe Harbour » pour garantir la confidentialité des données hébergées auprès de sociétés de droit américain ou de leurs filiales, ou dans des serveurs situés aux Etats-Unis, notamment sur des plateformes cloud.
12) Dans le but de pallier l’ineffectivité de « Safe Harbour », l’Union Européenne a proposé que, dans le cours du 1er semestre 2012, un règlement intitulé « General Data Protection Regulation » ainsi qu’une Directive intitulée « Police and Criminal Justice Data Production Directive » soient publiés.
13) Ces instruments prévoient dans ce domaine l’accroissement des garanties qui devront être offertes par les pays tiers destinataires de données, et notamment la prise en compte par la Commission, afin d’émettre des décisions d’adéquation comme cela a été le cas pour « Safe Harbour », de la législation relative à la sécurité publique, la défense, la sécurité nationale et la criminalité, ainsi que l’existence et l’activité effective dans le pays tiers d’une autorité indépendante de protection des données à caractère personnel en charge de ce domaine et coopérant avec les autorités de l’Union.
En l’état, il est manifeste que les dispositions du USA PATRIOT ACT ci-avant relevées, à savoir notamment les sections 215, 504, 505 et 358, sont incompatibles avec les exigences de protection et de confidentialité de l’Union Européenne.
Il convient également de considérer que la décision d’adéquation de la Commission sur laquelle s’appuie le dispositif de « Safe Harbour » est caduque, du fait de la mise en oeuvre de la législation dérogatoire résultant du USA PATRIOT ACT.
En effet, cette législation met à néant tous les principes de protection de la confidentialité des données, tels que ces principes sont édictés par la législation européenne, rendant ainsi ineffective la confidentialité prétendument attachée aux traitements de données réalisés dans le cadre du dispositif de « Safe Harbour » notamment pour les données hébergées sur plateforme Cloud.
En revanche, il semble que le USA PATRIOT ACT est impuissant pour contraindre une société Européenne – même si cette dernière a une filiale aux Etats Unis – à communiquer ou laisser accéder les autorités américaines aux données personnelles qu'elle héberge en Europe ou dans un autre pays à l'extérieur des USA.
Mais la filiale située aux USA est soumise au USA PATRIOT ACT pour les données qu'elle héberge.
En d'autres termes, la présence aux USA d'une filiale d'une société Européenne, ne permet pas d'atteindre la mère ou la soeur de ladite filiale, ni les données qu'elles hébergent en dehors des USA
|
