Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 321

De son côté, Thales a annoncé la
création de S3NS, société de droit
français entièrement contrôlée
par Thales dont l'objectif est de
proposer à toutes les institutions
publiques françaises et entreprises
privées soucieuses de protéger
leurs données sensibles l'équivalent
de Google Cloud Platform (GCP)
en conformité avec le label
SecNumCloud. Cette
solution a
déjà été pratiquée par OVH qui a
passé un accord avec Google Cloud
en novembre 2020. OVHCloud
est certifié SecNumCloud. OVH
conçoit lui-même ses serveurs et
les assemble au sein de son usine de
Croix dans le Nord.
Le mécanisme de licence suffit-il à lui
seul à contrer les lois extraterritoriales
comme le Cloud Act ? Cédric
O, à l'époque secrétaire d'Etat
au Numérique, avait clairement
répondu par l'affirmative. Guillaume
Poupard, directeur général de l'Anssi,
avait évoqué un risque « résiduel ».
Mais le 12 septembre 2022, JeanNoël
Barrot, ministre délégué chargé
de la Transition numérique et des
Télécommunications, avait contredit
l'affirmation de son prédécesseur
Cédric O évoquant des « risques
extraterritoriaux pour la sécurité de
nos données ».
Le critère de la localisation des
données en Europe est nécessaire
mais peut-être pas suffisant, même
si les données sont stockées par
une société européenne. L'étude
pour le compte du ministère de la
Justice néerlandais confirme en
effet l'existence de risques. Selon
ce document, il y a plusieurs points
auxquels il convient de veiller
pour éviter complètement d'être
soumis au Cloud Act. Avant toute
chose, il faut que l'entité qui traite
les données n'ait pas de relation
d'affaire avec une société ayant
une présence aux États-Unis (telle
qu'une filiale américaine) et n'ait pas
de contacts suffisants avec les ÉtatsUnis,
de façon à ce que ces derniers
ne puissent pas raisonnablement
affirmer leur compétence. Selon
l'étude, le fait de vendre des produits
ou des services à des clients peut
être considéré comme un contact
suffisant, en vertu d'un arrêt de la
Cour suprême du 3 décembre 1945,
dans
l'affaire
International
Shoe
Co. vs. Washington. Elle considère
qu'une juridiction américaine est
compétente à partir du moment
où il existe des points de contact
suffisants entre la situation de fait et
la législation en cause.
Par ailleurs, si la société européenne
a une relation d'entreprise avec
une société basée aux États-Unis,
cette dernière ne doit pas avoir la
possession, la garde, le contrôle
ou la responsabilité de l'entité
européenne. L'étude conclut qu'une
entreprise européenne peut être
soumise au Cloud Act si elle a des
activités aux USA, même à distance,
dès lors qu'elle a des données « en sa
possession, sous sa garde ou sous
son contrôle ».
Un autre point de fragilité porte sur
l'emploi de collaborateurs américains
par une entité européenne, par
exemple, pour du support technique.
En théorie, le Cloud Act ne peut pas
contraindre un citoyen américain à
fournir des données d'une entreprise
européenne. Cependant, les autorités
peuvent obtenir les données avec le
consentement volontaire du salarié,
une assignation à comparaître,
une demande d'enquête civile
(CID), sans avoir le droit de le dire
à son employeur ou donneur
d'ordre. L'étude conseille donc de
ne pas employer de ressortissants
américains qui ont accès à des
données personnelles ou sensibles.
Les
entreprises
européennes
peuvent cependant s'opposer au
transfert de données vers les EtatsUnis
ordonné en vertu du Cloud
Act, dès lors que ce texte viole des
textes européens qui ont également
une portée extraterritoriale. C'est
le cas du RGPD, dans la mesure où
il n'y a toujours pas d'accord entre
l'Union européenne et les EtatsUnis
remplaçant le Privacy Shield
qui remédierait à ce conflit de lois.
Mais tout recours aux Etats-Unis
représente une épreuve lourde
et coûteuse pour une entreprise
européenne.
L'étude envisage aussi le chiffrement
des données avec un système à
double clés comme dispositif offrant
une certaine protection contre le
Cloud Act, invoquant le fait que le
fournisseur ne peut pas transmettre
des données auxquelles il n'accède
pas en clair. Néanmoins peut-il être
contraint de fournir les données
EXPERTISES OCTOBRE 2022
chiffrées avec l'une des deux clés,
sachant que la NSA dispose de
capacités de déchiffrement ?
Enfin, selon l'étude,
l'utilisation de
technologies américaines, logicielles
ou hardware, peut fonder l'application
du Cloud Act. C'est justement le
cas des futures offres de « cloud de
confiance » des solutions logicielles
de Microsoft ou Google. ²
Le futur schéma européen de
certification
de
cloud
pourrait
cependant rebattre les cartes. Il est
actuellement en cours de négociation
devant l'Agence européenne
chargée de la sécurité des réseaux
et de l'information (Enissa). Le
niveau « élevé » devrait intégrer
une obligation d'immunité aux lois
extra-territoriales, à condition que
les 27 réussissent à s'accorder. Si tel
est le cas, les hébergeurs américains
ne pourraient pas proposer leurs
services aux entités opérant dans des
secteurs sensibles (défense, énergie,
sécurité...).
Au vu des conclusions de cette étude,
il apparaît au minimum prudent
d'isoler complètement les équipes
comme les infrastructures cloud de
celles de l'éditeur, en plus d'avoir des
structures juridiques bien distinctes
du partenaire américain afin de
viser une étanchéité avec le Cloud
Act, mais aussi le Fisa Act. Pour être
cependant totalement à l'abri d'un
accès par les autorités américaines
aux données européennes, la solution
la plus efficace qui s'impose consiste
à n'utiliser que des
françaises ou européennes. Elles
existent. Les acteurs du cloud
français offrent déjà des solutions
certifiées SecNumCloud, Une façon
d'être souverain tout en soutenant
une filière.
technologies
Sylvie ROZENFELD
321

Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia

Couverture
SOMMAIRE
Editorial
FOCUS - CLOUD DE CONFIANCE : L’ÉTANCHÉITÉ AU CLOUD ACT EN QUESTION
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - INTELLIGENCE ARTIFICIELLE : VERS UNE JUSTICE PLUS SÉCURISÉE
DOCTRINE
CONTRATS SPÉCIAUX - L’IMPACT DU PROJET DE RÉFORME SUR LES CONTRATS IP/IT
CYBERSÉCURITÉ - PANORAMA DE L’ACTUALITÉ JURIDIQUE
DONNÉES PERSONNELLES - POUR UNE «DATAMNÉSIE» SÉLECTIVE
RGPD - ANALYSE DE L’ÉTAT ÉMOTIONNEL DES APPELANTS (IA)
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - SOMMAIRE
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - Editorial
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - CLOUD DE CONFIANCE : L’ÉTANCHÉITÉ AU CLOUD ACT EN QUESTION
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 321
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 323
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 324
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 325
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 327
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 328
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 329
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - INTELLIGENCE ARTIFICIELLE : VERS UNE JUSTICE PLUS SÉCURISÉE
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 331
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 332
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 333
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 334
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS SPÉCIAUX - L’IMPACT DU PROJET DE RÉFORME SUR LES CONTRATS IP/IT
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 336
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 337
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 338
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 339
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 340
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 341
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 342
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 343
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 344
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - CYBERSÉCURITÉ - PANORAMA DE L’ACTUALITÉ JURIDIQUE
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 346
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 347
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 348
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 349
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - POUR UNE «DATAMNÉSIE» SÉLECTIVE
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 351
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 352
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - RGPD - ANALYSE DE L’ÉTAT ÉMOTIONNEL DES APPELANTS (IA)
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 354
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 355
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 356
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com