Le CLOUD Act et la protection des données au Royaume-Uni : pourquoi la juridiction est essentielle

Le Clarifying Lawful Overseas Use of Data Act (US CLOUD Act), promulgué par le Congrès américain en mars 2018, confère aux forces de l’ordre américaines le pouvoir extraterritorial d’obliger les entreprises technologiques basées aux États-Unis à fournir des données, quel que soit l’endroit où elles sont stockées. Pour les organisations britanniques qui utilisent des fournisseurs cloud américains comme AWS, Microsoft Azure ou Google Cloud, cela crée d’importants conflits de juridiction entre les obligations légales américaines imposant la divulgation et les exigences britanniques en matière de protection des données interdisant tout accès non autorisé. Lorsque les autorités américaines adressent des demandes fondées sur le CLOUD Act à des fournisseurs cloud américains hébergeant des données de clients britanniques, ces fournisseurs se retrouvent dans une situation de conformité impossible : respecter la loi américaine en divulguant les données, ou honorer leurs engagements contractuels envers leurs clients britanniques en refusant la divulgation — mais jamais les deux à la fois.

La juridiction est essentielle car elle détermine le cadre légal qui contrôle in fine l’accès aux données en cas de conflit. Les organisations britanniques opérant sous juridiction britannique et stockant leurs données sur une infrastructure contrôlée au Royaume-Uni ne répondent qu’au droit britannique. Mais celles qui utilisent des fournisseurs cloud américains — même dans des « régions UK » ou avec des engagements contractuels de protection des données — abandonnent le contrôle juridictionnel à des entreprises américaines soumises à la législation des États-Unis. Le CLOUD Act rend la localisation géographique des données sans importance en affirmant la juridiction américaine sur les opérations mondiales des entreprises américaines. Un mandat adressé au siège d’AWS en Virginie exige la conformité d’AWS Londres. Un ordre envoyé au siège de Microsoft à Washington s’applique à Azure UK South. La maison mère américaine de Google reçoit des demandes auxquelles Google Cloud Londres doit se soumettre.

Le RGPD britannique et le Data Protection Act 2018 interdisent aux organisations de permettre un accès non autorisé aux données personnelles, imposent la mise en place de mesures techniques appropriées et instaurent une responsabilité en matière de protection des données. Lorsque les autorités américaines utilisent le CLOUD Act pour exiger la divulgation de données de clients britanniques auprès de fournisseurs cloud américains, un accès non autorisé a-t-il eu lieu ? Selon la position de l’ICO, la réponse est oui : l’accès d’un gouvernement étranger sans procédure légale britannique ni notification au client viole les principes de protection des données que les responsables de traitement britanniques doivent respecter. Les clauses contractuelles ne peuvent résoudre ce conflit, car les obligations légales américaines prévalent sur les engagements contractuels. La seule solution architecturale qui élimine l’exposition au CLOUD Act est une véritable souveraineté des données : des clés de chiffrement gérées par le client, rendant toute divulgation forcée inintelligible, et un déploiement souverain au Royaume-Uni supprimant toute juridiction du fournisseur américain.

Résumé Exécutif

Idée principale : Le CLOUD Act donne aux autorités américaines le pouvoir d’obliger les fournisseurs cloud américains à divulguer des données, où qu’elles soient stockées, créant ainsi des conflits directs avec les exigences du RGPD britannique. Les organisations britanniques qui utilisent des fournisseurs cloud américains font face à des conflits de juridiction insolubles, que seule la souveraineté des données — via le chiffrement géré par le client et un déploiement souverain au Royaume-Uni — peut résoudre.

Pourquoi c’est important : La juridiction détermine le cadre légal qui contrôle l’accès aux données en cas de conflit. Les organisations utilisant des fournisseurs cloud américains — indépendamment des « régions UK » ou des engagements contractuels de protection des données — abandonnent le contrôle juridictionnel à des entreprises américaines soumises à la législation des États-Unis. La seule solution architecturale qui élimine l’exposition au CLOUD Act est une véritable souveraineté des données : des clés de chiffrement gérées par le client, rendant toute divulgation forcée inintelligible, et un déploiement souverain supprimant toute juridiction du fournisseur américain.

Points clés à retenir

1. Le CLOUD Act confère aux forces de l’ordre américaines un pouvoir extraterritorial pour obliger les entreprises américaines à fournir des données stockées partout dans le monde, ce qui prévaut sur les lois locales et rend la localisation des données dans des régions UK juridiquement sans effet lorsque la juridiction de l’entreprise américaine permet la divulgation forcée.
2. Les demandes fondées sur le CLOUD Act créent des conflits directs avec l’article 5 du RGPD britannique sur le traitement licite et l’article 32 sur les mesures de sécurité appropriées en permettant l’accès d’un gouvernement étranger sans procédure légale britannique, sans notification au client et sans garanties de protection des données.
3. Les fournisseurs cloud américains ne peuvent satisfaire à la fois aux obligations du CLOUD Act et aux engagements contractuels envers leurs clients britanniques lorsque les autorités américaines exigent la divulgation des données — les obligations légales prévalent sur les engagements contractuels, rendant les garanties du fournisseur juridiquement inopérantes en cas de conflit de juridiction.
4. Les clauses de confidentialité des ordres fondés sur le CLOUD Act interdisent aux fournisseurs de notifier les clients britanniques de l’accès à leurs données, ce qui viole les exigences de transparence du RGPD britannique et empêche les organisations de détecter, contester ou limiter la surveillance d’un gouvernement étranger non autorisée.
5. L’ICO attend des organisations britanniques qu’elles mettent en œuvre des mesures techniques empêchant tout accès non autorisé, y compris par des gouvernements étrangers, ce qui signifie que des choix architecturaux permettant la divulgation fondée sur le CLOUD Act créent des risques de violation de la protection des données au Royaume-Uni, indépendamment de la contrainte légale américaine.
6. Des clés de chiffrement gérées par le client, supprimant l’accès du fournisseur, garantissent mathématiquement l’absence d’exposition au CLOUD Act — la divulgation forcée ne livre que des données chiffrées inintelligibles sans les clés, tandis qu’un déploiement souverain au Royaume-Uni élimine toute portée juridictionnelle américaine.

Comprendre le CLOUD Act : définition et fonctionnement

Qu’est-ce que le CLOUD Act ? Le Clarifying Lawful Overseas Use of Data (CLOUD) Act, promulgué le 23 mars 2018, est une loi fédérale américaine qui donne aux forces de l’ordre américaines le pouvoir d’obliger les entreprises technologiques basées aux États-Unis à fournir des données électroniques stockées partout dans le monde, indépendamment de la localisation physique des données ou de la nationalité des personnes concernées.

Le CLOUD Act est né de l’affaire Microsoft Ireland (United States v. Microsoft Corp.), où Microsoft a contesté un mandat américain exigeant des e-mails stockés dans son centre de données de Dublin. Microsoft soutenait que le Stored Communications Act n’accordait pas de pouvoir extraterritorial, ce qui signifiait que les mandats américains ne pouvaient pas viser des données stockées à l’étranger. La cour d’appel du Second Circuit a donné raison à Microsoft, créant un vide juridique empêchant les autorités américaines d’accéder à des données stockées à l’étranger, même lors d’enquêtes sur des crimes graves.

Le Congrès a réagi en adoptant le CLOUD Act, qui accorde explicitement aux forces de l’ordre américaines une portée extraterritoriale sur les opérations mondiales des entreprises américaines. La loi modifie le Stored Communications Act pour préciser que la procédure légale américaine s’applique aux données « en la possession, la garde ou le contrôle [du fournisseur], que ces communications, dossiers ou autres informations soient situés à l’intérieur ou à l’extérieur des États-Unis ». Cette formulation rend la localisation géographique sans importance : si une entreprise américaine contrôle les données, les autorités américaines peuvent les exiger.

Comment fonctionnent les ordres fondés sur le CLOUD Act

Les forces de l’ordre américaines qui souhaitent obtenir des données auprès de fournisseurs cloud américains en vertu du CLOUD Act suivent des procédures similaires à celles des mandats nationaux, mais avec un effet extraterritorial. Elles obtiennent des ordonnances judiciaires, mandats ou assignations auprès de tribunaux américains, ordonnant aux fournisseurs de fournir les données spécifiées. Ces ordres s’appliquent où que soient stockées les données, quel que soit leur propriétaire ou la nationalité des personnes concernées.

Les fournisseurs recevant des demandes fondées sur le CLOUD Act doivent se conformer à la loi américaine en fournissant les données demandées. Un refus expose à des poursuites pour outrage, à de lourdes amendes et à une possible incarcération des dirigeants. La loi ne prévoit aucune exception pour les données appartenant à des clients étrangers, stockées dans des centres de données étrangers ou soumises à des lois étrangères sur la protection des données. La juridiction de l’entreprise américaine crée des obligations légales américaines que la localisation géographique ne peut éliminer.

Les ordres fondés sur le CLOUD Act sont souvent assortis de clauses de confidentialité interdisant aux fournisseurs de notifier les clients concernés que leurs données ont été consultées. Ces « gag orders » empêchent les clients de contester la légalité de l’accès, de mettre en place des mesures de sécurité supplémentaires ou de respecter leurs propres obligations de transparence en vertu des lois sur la protection des données. Les organisations britanniques peuvent ne jamais savoir que les autorités américaines ont accédé à leurs données sous la contrainte du CLOUD Act.

CLOUD Act vs. traités d’entraide judiciaire (MLAT)

Avant le CLOUD Act, les autorités américaines cherchant à obtenir des données stockées à l’étranger utilisaient généralement les traités d’entraide judiciaire (MLAT), qui imposent une coopération entre gouvernements via des canaux juridiques formels. Les MLAT respectent la souveraineté étrangère en exigeant que les pays demandeurs suivent des procédures conventionnelles, permettant aux pays sollicités d’examiner la validité juridique des demandes et offrant des mécanismes de résolution des conflits de juridiction.

Le CLOUD Act contourne les procédures MLAT en affirmant une autorité directe sur les entreprises américaines, quelle que soit la localisation des données. Les autorités américaines n’ont plus besoin de la coopération du gouvernement britannique pour accéder à des données stockées dans des centres de données britanniques : elles adressent directement leurs demandes aux maisons mères américaines, qui doivent se conformer à la loi américaine. Cette approche unilatérale supprime le contrôle des gouvernements étrangers, retire les protections juridiques étrangères et crée des conflits de juridiction que les MLAT visaient à éviter.

Le CLOUD Act prévoit des accords bilatéraux permettant aux gouvernements étrangers de négocier des accords exécutifs avec les États-Unis. Ces accords autorisent les autorités étrangères à exiger directement des données auprès des fournisseurs américains sans passer par les MLAT, tout en imposant un accès réciproque aux autorités américaines. Toutefois, ces accords doivent respecter des exigences strictes, notamment en matière de droits humains et de limitations ciblées, que de nombreux pays ne peuvent satisfaire. Le Royaume-Uni a négocié un accord exécutif CLOUD Act, mais celui-ci continue d’offrir aux autorités américaines un accès direct aux données britanniques, tout en accordant aux autorités britanniques un accès réciproque limité — sans résoudre le problème fondamental de juridiction.

Portée extraterritoriale du CLOUD Act et implications pour le Royaume-Uni

Impact extraterritorial : Les dispositions extraterritoriales du CLOUD Act signifient que les organisations britanniques utilisant des fournisseurs cloud américains restent exposées à la procédure légale américaine, quels que soient la localisation des centres de données au Royaume-Uni, les engagements contractuels de protection des données ou les exigences du droit britannique en matière de protection des données.

Le principe fondamental du CLOUD Act — la juridiction américaine suit les entreprises américaines partout dans le monde — a des conséquences immédiates pour les organisations britanniques qui pensent que stocker leurs données dans AWS Londres, Azure UK South ou Google Cloud Londres les protège de la procédure légale américaine. La localisation géographique devient juridiquement sans effet lorsque le contrôle de l’entreprise américaine soumet les opérations régionales britanniques à la législation américaine.

Pourquoi les centres de données britanniques ne protègent pas contre le CLOUD Act

Les fournisseurs cloud américains commercialisent les régions britanniques comme des solutions pour la résidence des données et la conformité au RGPD britannique. Pourtant, le déploiement régional n’élimine pas la portée juridictionnelle américaine, car l’autorité du CLOUD Act s’étend aux données « en la possession, la garde ou le contrôle du fournisseur », où qu’elles soient localisées. AWS, Microsoft et Google conservent la possession, la garde et le contrôle des données clients dans leurs régions britanniques via :

Contrôle de l’entreprise : Les maisons mères américaines détiennent et exploitent les filiales britanniques. Les opérations d’AWS Londres relèvent d’Amazon Web Services Inc., société du Delaware. Azure UK South dépend de Microsoft Corporation, société de l’État de Washington. Google Cloud Londres fait partie de Google LLC, société du Delaware. Cette structure soumet toutes les opérations mondiales à la juridiction américaine.

Accès technique : Les fournisseurs cloud disposent d’une infrastructure technique permettant d’accéder aux données clients dans toutes les régions. Les systèmes de gestion des clés de chiffrement, les contrôles d’accès administratifs et les outils opérationnels fonctionnent globalement via une infrastructure contrôlée par le fournisseur. Lorsque les autorités américaines exigent des données, les fournisseurs ont la capacité technique d’y accéder et de les divulguer, quelle que soit leur localisation physique.

Intégration opérationnelle : Les opérations régionales britanniques sont intégrées aux systèmes mondiaux du fournisseur pour la facturation, la gestion des identités, la surveillance de la sécurité et la fourniture des services. Cette intégration crée des liens techniques et opérationnels rendant les données britanniques accessibles aux maisons mères américaines, qui doivent se conformer aux demandes fondées sur le CLOUD Act.

Les organisations britanniques qui pensent que les centres de données régionaux offrent une protection juridictionnelle ne comprennent pas le fonctionnement réel du CLOUD Act. La loi ne s’intéresse pas à l’endroit où les données sont stockées — elle s’intéresse à qui les contrôle. Un contrôle américain signifie une juridiction américaine, quelle que soit la géographie des données.

Portée de l’autorité du CLOUD Act

Le CLOUD Act accorde une large autorité aux forces de l’ordre et agences de renseignement américaines. Les ordres peuvent exiger :

Données de contenu : Messages e-mail, contenus de documents, communications et fichiers stockés par les fournisseurs pour le compte des clients. Les données de clients britanniques hébergées chez des fournisseurs américains deviennent accessibles aux autorités américaines pour des enquêtes criminelles, de sécurité nationale ou de renseignement.

Métadonnées : Informations sur les communications, y compris l’expéditeur, le destinataire, l’horodatage, les adresses IP et les identifiants d’appareils. Même si le contenu reste chiffré, les métadonnées peuvent révéler des schémas sensibles sur les relations d’affaires, les communications et les activités.

Communications stockées : Données au repos dans les systèmes du fournisseur, y compris sauvegardes, archives et informations supprimées mais récupérables. Les organisations britanniques peuvent penser que les données supprimées n’existent plus, mais les systèmes de sauvegarde des fournisseurs, soumis au CLOUD Act, peuvent produire des informations que l’organisation croyait détruites.

Accès en temps réel : Surveillance prospective où les fournisseurs doivent donner un accès continu aux communications entrantes, permettant aux autorités américaines de surveiller en temps réel les flux de données des clients britanniques.

La portée de la loi ne se limite pas aux enquêtes criminelles. Les autorités de sécurité nationale, dont le FBI via les pouvoirs du Foreign Intelligence Surveillance Act, peuvent utiliser le CLOUD Act à des fins de renseignement. Les organisations britanniques et leurs personnes concernées peuvent devenir des cibles de surveillance non pas pour des soupçons de crimes, mais pour des intérêts de renseignement étranger.

Qui peut émettre des demandes fondées sur le CLOUD Act

Plusieurs agences américaines peuvent émettre des demandes en vertu du CLOUD Act :

Federal Bureau of Investigation (FBI) : Enquêtes criminelles et opérations de contre-espionnage visant des ressortissants étrangers, y compris des entrepreneurs ou organisations britanniques potentiellement impliqués dans des affaires d’intérêt américain.

Drug Enforcement Administration (DEA) : Enquêtes sur le trafic de drogue impliquant des chaînes d’approvisionnement internationales pouvant concerner des entreprises britanniques légitimes ayant des liens involontaires avec des parties sous enquête.

Securities and Exchange Commission (SEC) : Enquêtes sur la fraude boursière, la manipulation de marché ou le délit d’initié impliquant des entreprises ou des individus britanniques actifs sur les marchés américains.

Department of Justice (DOJ) : Large autorité de poursuite couvrant les crimes fédéraux susceptibles d’impliquer des personnes ou organisations britanniques via des activités commerciales internationales.

Communauté du renseignement : Agences de sécurité nationale opérant sous l’autorité FISA pour collecter des renseignements étrangers, y compris les communications de ressortissants britanniques non soupçonnés de crimes mais susceptibles de détenir des informations sur des cibles de renseignement.

L’étendue des agences habilitées par le CLOUD Act signifie que les organisations britanniques utilisant des fournisseurs américains s’exposent à de multiples entités gouvernementales américaines, avec des normes, des contrôles et des objectifs d’accès aux données différents.

Conflits de juridiction avec le RGPD britannique

Conflit central : Le CLOUD Act permet à un gouvernement étranger d’accéder à des données personnelles sans procédure légale britannique, ce qui entre directement en conflit avec les exigences du RGPD britannique en matière de traitement licite, de mesures de sécurité appropriées et de responsabilité du responsable de traitement.

Les organisations britanniques utilisant des fournisseurs cloud américains se retrouvent dans des situations de conformité impossibles lorsque les autorités américaines exigent des données via le CLOUD Act. Le RGPD britannique impose des exigences précises en matière de protection des données, que l’accès via le CLOUD Act viole, créant des conflits de juridiction où satisfaire un cadre légal revient à en violer un autre.

Article 5 du RGPD britannique : principes du traitement licite

L’article 5 du RGPD britannique pose les principes fondamentaux du traitement licite des données. Les principes les plus directement remis en cause par l’accès via le CLOUD Act sont :

Légalité, loyauté et transparence : Les données personnelles doivent être traitées de manière licite, loyale et transparente. Lorsque les autorités américaines utilisent le CLOUD Act pour accéder à des données personnelles britanniques, le traitement est-il licite ? La personne concernée n’a pas consenti à l’accès du gouvernement américain. Le droit britannique n’autorise pas un tel accès. Le CLOUD Act donne une base légale américaine — mais une loi étrangère rend-elle le traitement licite au regard du RGPD britannique ? Selon l’ICO, c’est le droit britannique qui détermine la légalité, donc l’accès d’un gouvernement étranger non autorisé viole ce principe, quelle que soit la légalité américaine.

Limitation des finalités : Les données doivent être collectées pour des finalités spécifiques, explicites et légitimes. Les organisations britanniques collectent des données personnelles à des fins professionnelles — gestion de la relation client, administration du personnel, fourniture de services. La collecte de renseignements ou l’enquête d’un gouvernement américain ne constitue pas la finalité pour laquelle les données ont été collectées. L’accès via le CLOUD Act viole donc la limitation des finalités en utilisant les données à des fins incompatibles avec la collecte initiale.

Minimisation des données : Seules les données adéquates, pertinentes et limitées à ce qui est nécessaire doivent être traitées. Les demandes fondées sur le CLOUD Act visent souvent un accès large, au-delà des besoins d’une enquête précise, notamment à des fins de renseignement. Lorsque les autorités américaines exigent des ensembles de données entiers, des historiques de communication ou des collections de métadonnées, le principe de minimisation est violé, car l’accès d’un gouvernement étranger traite bien plus de données que nécessaire aux finalités initiales légitimes.

Limitation de la conservation : Les données ne doivent pas être conservées plus longtemps que nécessaire. Les ordres fondés sur le CLOUD Act peuvent exiger des données historiques, des sauvegardes ou des informations supprimées mais récupérables, prolongeant de fait la conservation au-delà des périodes prévues par l’organisation britannique via l’accès et la copie d’un gouvernement étranger.

Article 32 du RGPD britannique : sécurité du traitement

L’article 32 impose aux organisations de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir une sécurité adaptée au risque. L’article mentionne explicitement le chiffrement comme mesure de sécurité appropriée. Mais lorsque les fournisseurs cloud américains conservent l’accès aux clés de chiffrement permettant de se conformer au CLOUD Act, le chiffrement offre-t-il une sécurité réelle ?

L’article exige des mesures assurant « la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ». L’accès d’un gouvernement étranger imposé par le CLOUD Act compromet la confidentialité — les données deviennent accessibles à des parties non autorisées par le responsable de traitement. Il compromet l’intégrité en permettant la copie ou la modification sans que le responsable de traitement en soit informé. Il compromet la résilience en créant des voies d’accès que les mesures de protection ne peuvent empêcher.

Les recommandations de l’ICO sur l’article 32 soulignent que les mesures doivent être efficaces contre les risques identifiés, y compris « l’accès, le traitement ou la divulgation illicites ou non autorisés ». L’accès via le CLOUD Act constitue-t-il un accès « illicite » au sens du RGPD britannique ? Le gouvernement américain agit légalement selon le droit américain, mais c’est le droit britannique qui détermine la légalité au regard du RGPD. Un accès étranger sans procédure britannique, sans notification à la personne concernée ni autorisation du responsable de traitement, correspond précisément à l’accès non autorisé que l’article 32 impose d’empêcher.

Articles 44-48 du RGPD britannique : transferts internationaux

Les dispositions du RGPD britannique sur les transferts internationaux de données créent des conflits supplémentaires avec l’accès via le CLOUD Act. L’article 44 interdit le transfert de données personnelles vers des pays tiers sans garanties appropriées. Lorsque les autorités américaines utilisent le CLOUD Act pour exiger la divulgation de données, y a-t-il eu transfert vers les États-Unis ?

Techniquement, les données ne « quittent » pas le Royaume-Uni — elles sont divulguées par le fournisseur aux autorités américaines. Mais dans les faits, les données personnelles initialement soumises au droit britannique deviennent accessibles à des entités américaines sans garanties adéquates. Ce résultat contredit l’objectif des restrictions de transfert : empêcher que des données personnelles n’atteignent des juridictions insuffisamment protégées.

L’article 48 vise spécifiquement les « transferts ou divulgations non autorisés par le droit de l’Union ». Il précise qu’un jugement ou une décision administrative exigeant le transfert ou la divulgation de données personnelles ne peut être reconnu ou exécutoire que s’il repose sur un accord international tel qu’un traité d’entraide judiciaire. Le CLOUD Act contourne les procédures MLAT, ce qui suggère que l’article 48 ne reconnaîtrait pas les ordres fondés sur le CLOUD Act comme base légitime de divulgation.

Position de l’ICO en matière d’application

L’Information Commissioner’s Office a publié des orientations précisant ses attentes concernant l’informatique en nuage et les transferts internationaux, ce qui crée des pressions supplémentaires pour les organisations britanniques utilisant des fournisseurs américains.

Les recommandations de l’ICO sur les transferts internationaux insistent sur la nécessité de réaliser des analyses d’impact sur les transferts, évaluant la réalité pratique de la protection des données dans les pays de destination, et non de simples cadres juridiques théoriques. Pour les transferts impliquant des fournisseurs cloud américains (même s’ils sont présentés comme des traitements nationaux britanniques), les analyses doivent prendre en compte la possibilité pour les autorités américaines d’accéder aux données via le CLOUD Act sans procédure britannique.

L’ICO attend des organisations qu’elles mettent en place des mesures complémentaires pour traiter les risques identifiés. Lorsque les analyses révèlent que des gouvernements étrangers peuvent contraindre le fournisseur à accéder aux données, quelles mesures complémentaires peuvent traiter ce risque ? Les clauses contractuelles ne peuvent pas prévaloir sur les obligations légales américaines. Les mesures organisationnelles ne peuvent empêcher les demandes gouvernementales. Seules des mesures techniques supprimant l’accès du fournisseur aux données intelligibles — des clés de chiffrement gérées par le client — offrent une protection complémentaire efficace.

Pourquoi les protections contractuelles échouent face au CLOUD Act

Limites contractuelles : Les engagements contractuels des fournisseurs cloud en matière de protection des données ne peuvent pas prévaloir sur les obligations légales américaines du CLOUD Act, rendant les promesses contractuelles juridiquement inopérantes en cas de conflit de juridiction entre les exigences américaines et britanniques.

Les organisations britanniques négociant des contrats cloud incluent généralement des clauses détaillées : engagement à ne traiter les données que sur instruction du client, obligation de mettre en œuvre des mesures de sécurité appropriées, promesse de notifier le client en cas de demande gouvernementale, limitations contractuelles sur la divulgation des données. Ces dispositions rassurent sur la protection des données — mais elles ne tiennent plus lorsque les autorités américaines invoquent le CLOUD Act.

Les obligations légales prévalent sur les engagements contractuels

Le problème fondamental est qu’un contrat privé ne peut pas prévaloir sur la loi publique. Lorsqu’une loi fédérale américaine impose la divulgation, l’engagement contractuel de ne pas divulguer devient inapplicable. Le fournisseur doit choisir : violer la loi fédérale en respectant le contrat client, ou violer le contrat en respectant la loi fédérale. La réponse juridique est claire : la loi prévaut.

Les conditions générales des fournisseurs cloud reconnaissent cette réalité via des clauses stipulant que la divulgation peut avoir lieu « si la loi l’exige » ou « pour se conformer à des obligations légales ». Ces clauses préservent explicitement la capacité du fournisseur à répondre aux demandes fondées sur le CLOUD Act, malgré les engagements contractuels de protection des données. Les clients britanniques qui signent ces contrats acceptent que les obligations légales américaines puissent prévaloir sur les protections contractuelles.

Même les contrats interdisant explicitement toute divulgation « en toutes circonstances » ou exigeant que le fournisseur « conteste toutes les demandes gouvernementales » échouent face à la pression du CLOUD Act. Les fournisseurs ne peuvent pas refuser d’obéir à une ordonnance judiciaire américaine, quels que soient leurs engagements contractuels. Les tribunaux estiment que les obligations contractuelles envers des clients étrangers ne peuvent empêcher une entreprise américaine de se conformer à la loi américaine, rendant inopérantes même les protections contractuelles les plus strictes.

Promesses des fournisseurs et arguments marketing

Les fournisseurs cloud mettent en avant la protection des données, la sécurité et le contrôle client dans leur communication. AWS promet que « les clients gardent le contrôle de leurs données ». Microsoft insiste sur la « confidentialité dès la conception ». Google vante sa « sécurité de pointe ». Ces arguments créent l’impression que les données clients restent protégées contre tout accès non autorisé — une impression contredite par l’autorité du CLOUD Act.

Ces affirmations ne sont pas fausses — les fournisseurs mettent en place une sécurité robuste contre les attaquants externes. Mais la sécurité contre les pirates n’équivaut pas à une protection contre les demandes gouvernementales. L’architecture qui protège contre les cybercriminels peut être utilisée pour divulguer les données aux autorités. Les arguments marketing sur le « contrôle client » ne précisent pas les exceptions en cas d’obligation légale américaine.

Les organisations britanniques doivent distinguer la sécurité technique (protection contre les tiers non autorisés) de la sécurité juridique (protection contre la contrainte gouvernementale). Les fournisseurs américains offrent une excellente sécurité technique, mais ne peuvent offrir de sécurité juridique contre les demandes du gouvernement américain, car leur juridiction américaine rend cela impossible.

Défaillance de la notification

De nombreux contrats cloud incluent des clauses imposant au fournisseur de notifier le client en cas de demande gouvernementale, censées permettre au client de contester la demande ou de renforcer la protection. Mais les « gag orders » américains interdisant la notification rendent ces obligations inapplicables.

Lorsque les ordres de non-divulgation empêchent la notification, les engagements contractuels de notification deviennent inapplicables. Le fournisseur ne peut pas à la fois respecter le « gag order » et honorer son engagement de notification. L’interdiction légale prévaut, laissant le client dans l’ignorance de l’accès à ses données et dans l’incapacité d’exercer ses droits contractuels ou légaux pour contester la divulgation.

Cela crée des situations particulièrement problématiques pour les organisations britanniques soumises à des obligations de transparence envers les personnes concernées. Si elles ignorent que leurs données ont été consultées (parce que le fournisseur ne peut pas les en informer), elles ne peuvent pas respecter le RGPD qui impose d’informer les personnes concernées sur les traitements. Le conflit de juridiction entre les ordres de non-divulgation américains et les exigences de transparence britanniques rend la conformité impossible.

Attentes de l’ICO et obligations britanniques en matière de protection des données

Attente réglementaire : L’ICO attend des organisations britanniques qu’elles mettent en œuvre des mesures techniques et organisationnelles empêchant tout accès non autorisé aux données personnelles, y compris par des gouvernements étrangers. Les choix architecturaux permettant la divulgation fondée sur le CLOUD Act peuvent violer les obligations britanniques en matière de protection des données.

L’Information Commissioner’s Office a publié de nombreuses recommandations sur le cloud, les transferts internationaux et la sécurité du traitement, qui fixent des attentes claires concernant l’exposition au CLOUD Act. Les organisations britanniques utilisant des fournisseurs cloud américains doivent évaluer si leurs choix architecturaux répondent aux attentes de l’ICO ou créent des risques de conformité.

Recommandations de l’ICO sur le cloud computing

Les recommandations de l’ICO sur le cloud insistent sur plusieurs principes directement liés aux préoccupations du CLOUD Act :

Contrôle et responsabilité : Les organisations restent responsables du respect de la protection des données même lorsqu’elles font appel à des sous-traitants cloud. L’ICO rejette l’idée que la responsabilité du sous-traitant exonère le responsable de traitement. Les organisations britanniques utilisant des fournisseurs américains restent responsables de la conformité, quelle que soit l’architecture technique du fournisseur.

Compréhension de la localisation et de l’accès aux données : L’ICO attend des organisations qu’elles sachent précisément où sont stockées leurs données, qui peut y accéder et selon quels cadres juridiques une divulgation pourrait avoir lieu. Des réponses vagues sur « l’infrastructure mondiale » ou la confiance dans les assurances du fournisseur ne suffisent pas. Les organisations doivent comprendre précisément les implications du CLOUD Act pour leurs données.

Mesures de sécurité appropriées : L’ICO insiste sur le fait que les mesures de sécurité doivent être efficaces contre les menaces identifiées, y compris l’accès d’un gouvernement étranger. Si les analyses d’impact identifient des risques liés à l’accès des autorités américaines, les organisations doivent mettre en place des mesures techniques pour traiter ces risques. Les seules mesures organisationnelles — politiques, formation, contrats — ne suffisent pas face à une autorité gouvernementale légale.

Actions de l’ICO en matière d’application

Bien que l’ICO n’ait pas encore pris de mesures majeures spécifiquement liées à l’exposition au CLOUD Act, le régulateur a déjà sanctionné des organisations pour absence de mesures techniques adéquates contre l’accès non autorisé.

Les sanctions de l’ICO à l’encontre d’organisations victimes de violations de données soulignent systématiquement que des mesures techniques appropriées — notamment le chiffrement — auraient pu prévenir ou limiter les dommages. Cette tendance laisse penser que les organisations qui n’appliquent pas un chiffrement géré par le client supprimant l’accès du fournisseur pourraient être sanctionnées si un accès d’un gouvernement étranger via le CLOUD Act cause un préjudice aux personnes concernées.

L’approche de l’ICO met aussi l’accent sur la responsabilité : les organisations doivent démontrer qu’elles ont évalué les risques et mis en œuvre les mesures appropriées. Celles qui n’ont pas réalisé d’analyse d’impact sur les transferts tenant compte des risques du CLOUD Act, ou mis en place des mesures complémentaires pour traiter les vulnérabilités identifiées, auront du mal à démontrer leur responsabilité si l’ICO examine leur relation avec un fournisseur cloud américain.

Responsabilité et conformité démontrable

L’article 5(2) du RGPD britannique pose le principe de responsabilité : les responsables de traitement doivent pouvoir démontrer leur conformité aux principes de protection des données. Pour les organisations utilisant des fournisseurs cloud américains, cela implique de prouver que leurs choix architecturaux respectent le RGPD britannique malgré l’exposition au CLOUD Act.

Les organisations ne peuvent pas démontrer leur conformité en se contentant de certifications du fournisseur ou d’accords contractuels de traitement des données. L’ICO attend des organisations qu’elles évaluent la réalité pratique de la protection des données, et non de simples cadres juridiques ou promesses contractuelles. Cela implique d’évaluer :

Si l’autorité du CLOUD Act permet à un gouvernement étranger d’accéder à des données personnelles sans procédure britannique ni notification à la personne concernée. Réponse : Oui.

Si les engagements contractuels des fournisseurs américains empêchent la divulgation fondée sur le CLOUD Act. Réponse : Non, les obligations légales prévalent sur les contrats.

Si la localisation des centres de données britanniques élimine la portée juridictionnelle américaine. Réponse : Non, le CLOUD Act suit le contrôle de l’entreprise américaine, quelle que soit la localisation des données.

Quelles mesures techniques rendent les données inintelligibles pour les autorités américaines même sous la contrainte du CLOUD Act. Réponse : Clés de chiffrement gérées par le client supprimant l’accès du fournisseur.

Les organisations qui réalisent une évaluation honnête de leur responsabilité arrivent généralement à une conclusion inconfortable : l’architecture actuelle ne permet pas de démontrer la conformité, et seuls des changements architecturaux majeurs supprimant l’accès du fournisseur aux données intelligibles peuvent satisfaire les attentes de l’ICO.

Comment la juridiction détermine la souveraineté des données

Contrôle juridictionnel : La souveraineté des données dépend in fine de la juridiction qui régit l’accès aux données. Les organisations opérant exclusivement sous juridiction britannique ne répondent qu’au droit britannique, tandis que celles qui utilisent des fournisseurs américains abandonnent le contrôle juridictionnel à la législation américaine, quels que soient les accords contractuels.

La juridiction est essentielle car elle détermine quel gouvernement peut exiger la divulgation des données, quels tribunaux peuvent ordonner l’accès et quels cadres juridiques s’appliquent en cas de conflit. Les organisations britanniques doivent comprendre que la juridiction du fournisseur d’infrastructure détermine la souveraineté des données bien plus que la localisation géographique.

Juridiction britannique : contrôle organisationnel total

Les organisations britanniques exploitant une infrastructure entièrement sous juridiction britannique gardent le contrôle total sur les décisions d’accès aux données. Lorsque les tribunaux britanniques émettent des ordres légaux, elles peuvent s’y conformer. Lorsque des gouvernements étrangers exigent l’accès, elles peuvent refuser en invoquant la législation britannique et l’absence d’autorité du gouvernement étranger sur les entités britanniques.

Une infrastructure sur site détenue et exploitée par l’organisation britannique relève exclusivement de la juridiction britannique. Les centres de données britanniques exploités par des entreprises locales sous droit britannique offrent une indépendance juridictionnelle. Même un cloud privé britannique hébergé par des prestataires locaux conserve la juridiction britannique si le fournisseur opère sans maison mère américaine.

Cette indépendance juridictionnelle permet une véritable souveraineté des données : les organisations britanniques décident qui peut accéder aux données selon le droit britannique, le contrôle des tribunaux locaux et les principes de protection des données du Royaume-Uni. Les demandes de gouvernements étrangers n’ont aucune force juridique sur des entités opérant exclusivement sous juridiction britannique.

Juridiction des fournisseurs américains : contrôle étranger

Les organisations utilisant des fournisseurs cloud américains abandonnent le contrôle juridictionnel à des entreprises américaines, quelle que soit la localisation des données. AWS relève du droit du Delaware et de l’État de Washington. Microsoft est incorporé dans l’État de Washington. Google dépend du Delaware. Cette base juridique américaine soumet toutes les opérations mondiales à la législation américaine.

Lorsque les tribunaux américains émettent des ordres à AWS, Microsoft ou Google, ces entreprises doivent s’y conformer, même si les ordres portent sur des données stockées au Royaume-Uni, dans l’UE ou ailleurs. Le CLOUD Act étend explicitement la juridiction américaine aux données stockées mondialement, faisant de la juridiction de l’entreprise le critère déterminant, et non la localisation des données.

Les organisations britanniques qui pensent garder le contrôle sur les données stockées chez des fournisseurs américains se trompent sur la réalité de la juridiction. Elles ne contrôlent pas les décisions d’accès — ce sont les fournisseurs américains qui décident, sous le contrôle du gouvernement américain. Les accords contractuels entre clients britanniques et fournisseurs américains ne peuvent pas supprimer cette hiérarchie juridictionnelle.

Conflits de juridiction et impossibilité juridique

Lorsque le droit britannique impose une solution et le droit américain une autre, les organisations prises entre deux juridictions sont face à une impossibilité juridique. Le RGPD britannique interdit la divulgation non autorisée. Le CLOUD Act impose la divulgation. Les deux exigences ne peuvent être satisfaites simultanément.

Les fournisseurs américains soutiennent qu’ils sont confrontés à ces conflits, pas les clients britanniques — ce sont eux qui doivent choisir entre la loi américaine ou britannique. Mais cette analyse néglige la responsabilité du responsable de traitement britannique. Les organisations britanniques qui choisissent des fournisseurs américains créent les conflits de juridiction permettant l’accès d’un gouvernement étranger. Selon l’ICO, choisir une architecture créant de tels conflits peut constituer une mesure de protection des données insuffisante.

La seule solution pour éliminer les conflits de juridiction est d’éliminer toute juridiction étrangère via une architecture souveraine : organisations britanniques utilisant des fournisseurs locaux opérant exclusivement sous juridiction britannique, ou mettant en œuvre un chiffrement géré par le client rendant la juridiction du fournisseur sans importance car il n’a pas accès aux données intelligibles.

Solutions architecturales pour éliminer l’exposition au CLOUD Act

Souveraineté technique : Éliminer l’exposition au CLOUD Act nécessite des solutions architecturales rendant la portée de la juridiction américaine sans effet : des clés de chiffrement gérées par le client rendant toute divulgation forcée inutile, et un déploiement souverain au Royaume-Uni supprimant toute juridiction du fournisseur américain.

Les organisations britanniques ne peuvent pas éliminer l’autorité du CLOUD Act via des contrats, des programmes de conformité ou des politiques. Il s’agit d’une loi fédérale américaine s’appliquant aux entreprises américaines, quels que soient les souhaits ou limitations contractuelles des clients. Seule une architecture technique créant une situation où les demandes fondées sur le CLOUD Act ne peuvent livrer aucune donnée intelligible, ou où la juridiction américaine ne s’applique pas, peut réellement éliminer l’exposition.

Clés de chiffrement gérées par le client : rendre la divulgation forcée inutile

La mesure technique la plus efficace contre l’exposition au CLOUD Act est le chiffrement géré par le client, où l’organisation génère, stocke et gère les clés de chiffrement entièrement en dehors de l’infrastructure du fournisseur cloud. Lorsqu’elle est correctement mise en œuvre, cette architecture garantit que les demandes fondées sur le CLOUD Act ne livrent au fournisseur que des données chiffrées inexploitables sans les clés contrôlées par le client.

Exigences clés pour un chiffrement géré par le client efficace :

Génération des clés dans l’infrastructure du client : Les clés doivent être créées dans des modules matériels de sécurité ou serveurs de gestion des clés contrôlés par le client, jamais dans l’infrastructure du fournisseur. Cela garantit que le fournisseur ne possède jamais les clés, même temporairement lors de leur création.

Stockage des clés exclusivement dans les systèmes du client : Les clés doivent résider uniquement dans le matériel du client, sans jamais être transmises au fournisseur, même temporairement. Le fournisseur ne doit jamais avoir les clés en mémoire, dans les journaux ou les sauvegardes.

Chiffrement/déchiffrement sous contrôle du client : Toutes les opérations de chiffrement et de déchiffrement doivent avoir lieu dans les systèmes du client, sans délégation au fournisseur. Les données transmises au fournisseur doivent déjà être chiffrées ; le fournisseur ne traite jamais de données en clair.

Accès fournisseur nul : L’architecture doit rendre techniquement impossible pour le fournisseur d’accéder aux clés ou de déchiffrer les données, même avec des ressources illimitées, la coopération de ses employés ou une contrainte gouvernementale. Ce n’est pas une question de politique ou de procédure — c’est une garantie mathématique via la conception cryptographique.

Lorsque les autorités américaines adressent des demandes fondées sur le CLOUD Act au fournisseur, celui-ci se conforme en divulguant les données chiffrées présentes dans ses systèmes. Mais sans les clés contrôlées par le client, les données restent inexploitables. Le fournisseur ne peut pas être contraint d’utiliser des clés qu’il ne possède pas, ne peut pas déchiffrer des données auxquelles il n’a pas accès, et ne peut pas fournir d’informations intelligibles qui ne sont pas en sa possession.

Cette architecture n’empêche pas les ordres fondés sur le CLOUD Act — elle les rend sans effet. Le fournisseur satisfait à ses obligations légales américaines en divulguant les données demandées, tandis que les données des clients britanniques restent protégées car le chiffrement garantit leur inutilité sans les clés. Le conflit de juridiction disparaît, car la loi américaine et la protection des données britannique sont toutes deux respectées.

Déploiement souverain au Royaume-Uni : éliminer la juridiction américaine

Le chiffrement géré par le client répond à la question « que se passe-t-il si le fournisseur est contraint ? », mais le déploiement souverain au Royaume-Uni répond à la question « le fournisseur peut-il être contraint ? ». En supprimant totalement l’implication d’un fournisseur américain via une infrastructure 100 % britannique, les organisations éliminent l’exposition au CLOUD Act au niveau de la juridiction.

Les options de déploiement souverain incluent :

Infrastructure sur site : Les organisations exploitant leurs propres centres de données, serveurs et infrastructures gardent le contrôle total sans intervention d’un fournisseur cloud. Aucune juridiction américaine ne s’applique, car aucune entité américaine n’est impliquée. Les demandes fondées sur le CLOUD Act ne peuvent pas viser des organisations opérant exclusivement sous juridiction britannique.

Cloud privé britannique : Les fournisseurs d’infrastructure locaux opérant sous droit britannique, sans maison mère américaine, offrent les avantages du cloud tout en maintenant la juridiction britannique. Ces fournisseurs ne répondent qu’au droit britannique, ne sont pas soumis au CLOUD Act et permettent aux clients britanniques de conserver leur indépendance juridictionnelle.

Architecture hybride : Les organisations peuvent adopter des approches hybrides, utilisant une infrastructure souveraine britannique pour les données sensibles exposées au CLOUD Act, tout en recourant au cloud public américain pour les charges non sensibles. Cela permet d’équilibrer souveraineté et avantages du cloud selon les besoins.

Géorepérage avancé

Même avec un chiffrement géré par le client et un déploiement souverain au Royaume-Uni, les organisations doivent mettre en place un géorepérage empêchant l’authentification depuis les juridictions américaines. Cela crée des barrières supplémentaires, garantissant que même si les autorités américaines obtenaient des identifiants par d’autres moyens, elles ne pourraient pas accéder aux systèmes depuis les États-Unis.

Le géorepérage bloque la connexion depuis des adresses IP américaines, empêche les transferts de données vers des destinations américaines et garantit que l’accès administratif ne se fait que depuis le Royaume-Uni. Ces contrôles fournissent des preuves d’audit attestant que les données n’ont jamais été consultées depuis la juridiction américaine, ce qui permet de documenter l’absence d’exposition au CLOUD Act.

Scénarios concrets : conflits de juridiction liés au CLOUD Act

Cabinet d’avocats britannique : secret professionnel vs. discovery CLOUD Act

Un cabinet d’avocats londonien représente des entreprises britanniques dans des litiges commerciaux impliquant souvent des sociétés américaines ou des intérêts réglementaires américains. Le cabinet utilisait Microsoft 365 et SharePoint pour la gestion documentaire, pensant que les régions britanniques d’Azure offraient une protection suffisante pour les communications confidentielles avocat-client.

En représentant un client pharmaceutique britannique dans un contentieux contre un concurrent américain, le cabinet stockait des documents stratégiques, des analyses techniques et des communications confidentielles dans Azure UK South. Le concurrent américain, impliqué dans des procédures réglementaires parallèles avec des agences américaines, a déclenché une enquête du gouvernement américain sur la validité des brevets, avec des soupçons de fraude.

Les enquêteurs américains, pensant que les documents du cabinet britannique pouvaient contenir des éléments utiles à l’enquête, ont obtenu un mandat fondé sur le CLOUD Act exigeant de Microsoft la divulgation de documents SharePoint spécifiques du cabinet. Microsoft a reçu le mandat accompagné d’un ordre de non-divulgation interdisant d’informer le cabinet.

Microsoft s’est retrouvé dans une situation impossible : refuser l’ordre américain et risquer l’outrage (illégal aux États-Unis), ou divulguer des communications avocat-client britanniques sans que le cabinet en soit informé (violant les engagements contractuels et potentiellement le secret professionnel britannique). Microsoft a choisi de se conformer à la loi américaine et a transmis les documents demandés.

Le cabinet n’a jamais su que ses documents confidentiels avaient été consultés. La stratégie juridique du client est devenue connue de la partie adverse via l’enquête gouvernementale, et non par la procédure de discovery. La confidentialité et le secret professionnel — fondamentaux au Royaume-Uni — ont été compromis par une architecture permettant l’accès américain aux communications avocat-client stockées chez un fournisseur américain.

Lorsque la situation a été révélée lors d’une procédure américaine, le client du cabinet a intenté une action pour négligence, estimant que le cabinet n’avait pas mis en place des mesures suffisantes pour protéger le secret professionnel. La défense du cabinet — invoquant les engagements contractuels Azure et les régions britanniques — a échoué, les juges ayant reconnu que l’utilisation d’un fournisseur américain créait une exposition prévisible au CLOUD Act. Le cabinet a déployé Kiteworks sur site avec chiffrement géré par le client pour éviter toute compromission future du secret professionnel.

Services financiers britanniques : accès aux données clients pour enquête américaine

Un cabinet de gestion de patrimoine à Manchester gère des clients fortunés britanniques et internationaux, dont des chefs d’entreprise, cadres et professionnels. Il utilisait Salesforce CRM hébergé sur AWS UK pour la gestion de la relation client, pensant satisfaire ainsi aux exigences de la FCA en matière de protection des données.

L’un des clients, binational britannique-iranien, a fait l’objet d’une enquête américaine sur d’éventuelles violations des lois américaines sur le contrôle des exportations via sa société britannique. Les enquêteurs du Trésor américain soupçonnaient (à tort, comme cela sera établi) que le client utilisait ses contacts pour des transactions interdites.

Les enquêteurs ont obtenu un mandat fondé sur le CLOUD Act exigeant d’AWS la transmission des données Salesforce du client, pour identifier ses relations d’affaires, transactions financières et réseaux de contacts. AWS, soumis à un ordre de non-divulgation, s’est conformé sans informer le cabinet.

Le cabinet, ignorant que les données de son client avaient été consultées, n’a pas pu informer le client, mettre en place des mesures de sécurité supplémentaires ou contester la légalité du mandat. Les obligations du RGPD britannique d’informer les personnes concernées sur les traitements ont été violées dans des circonstances échappant au contrôle du cabinet — l’ordre de non-divulgation américain empêchait toute notification pourtant exigée contractuellement.

Lorsque l’enquête a conclu à l’absence de violation, ni le client ni le cabinet n’ont été informés de l’accès aux données. Ce n’est que lors d’un contrôle de conformité, lorsque le DPO du cabinet a explicitement interrogé AWS sur d’éventuelles divulgations CLOUD Act, que le cabinet a appris l’accès — plusieurs mois après les faits.

Le cabinet a dû répondre à la FCA sur la résilience opérationnelle, les mesures de protection des données et la confiance des clients. Aucune sanction n’a été prononcée, mais le cabinet a reconnu que l’architecture du fournisseur américain créait des risques inacceptables pour la confidentialité des clients fortunés. Il a déployé Kiteworks avec déploiement souverain au Royaume-Uni et chiffrement géré par le client, éliminant toute exposition future au CLOUD Act.

Santé britannique : données de recherche utilisées à des fins de renseignement

Un institut britannique de recherche médicale collabore avec des partenaires internationaux sur des études de traitement du cancer. Les recherches portent sur des données de patients, des résultats de traitement et des analyses moléculaires stockées dans Microsoft Teams et Azure pour la collaboration européenne.

L’un des sujets de recherche — à l’insu des chercheurs britanniques — était un ressortissant étranger d’intérêt pour les agences américaines enquêtant sur de possibles liens terroristes. Les agences américaines ont obtenu une ordonnance FISA 702 exigeant de Microsoft la transmission des communications et données liées à cet individu, ce qui a entraîné la divulgation de données médicales britanniques sur son traitement du cancer.

L’ordonnance FISA comportait une clause de non-divulgation interdisant à Microsoft d’informer l’institut britannique. Les données médicales du sujet, protégées par l’article 9 du RGPD britannique et soumises à des exigences de protection renforcées, sont devenues accessibles aux services américains sans procédure britannique, sans information de l’institut ni consentement du patient.

Les comités d’éthique britanniques, informés de la divulgation, ont conclu que l’utilisation d’une infrastructure cloud américaine créait des risques inacceptables pour la vie privée des sujets de recherche. Si les agences de renseignement peuvent obtenir des données médicales via le CLOUD Act ou la FISA sans consentement ni procédure britannique, les institutions peuvent-elles garantir la confidentialité aux sujets de recherche ?

Plusieurs instituts européens se sont retirés des collaborations menées par le Royaume-Uni, invoquant l’impossibilité de satisfaire aux exigences éthiques européennes lorsque les partenaires britanniques utilisent une infrastructure américaine permettant l’accès à des données de citoyens européens. L’institut britannique a déployé Kiteworks avec chiffrement géré par le client et déploiement souverain au Royaume-Uni, permettant la reprise des collaborations avec des garanties crédibles de confidentialité conformes aux comités d’éthique européens.

Contractant gouvernemental britannique : accès à des informations officielles via le CLOUD Act

Un contractant britannique de la défense fournit des services technologiques au ministère de la Défense, traitant des informations Official-Sensitive sur les capacités, les achats et les besoins opérationnels britanniques. Le contractant utilisait AWS GovCloud UK, pensant que les services cloud dédiés au gouvernement offraient une protection suffisante pour les informations officielles.

Une enquête américaine sur une possible fraude d’un contractant américain a cherché à obtenir des informations sur les achats britanniques pour établir un contexte de marché. Les enquêteurs américains ont obtenu un mandat fondé sur le CLOUD Act exigeant d’AWS la transmission de documents du contractant britannique stockés dans GovCloud UK, concernant les procédures d’achat du MoD.

AWS s’est retrouvé face à un conflit : le contractant gouvernemental britannique avait des engagements contractuels protégeant les informations Official-Sensitive, interdisant toute divulgation à des gouvernements étrangers. Mais l’ordre américain exigeait la divulgation. L’équipe juridique américaine d’AWS a estimé que les obligations du CLOUD Act prévalaient sur les engagements contractuels britanniques.

Lorsque la divulgation a été révélée lors d’une procédure américaine, les auditeurs du ministère de la Défense ont remis en cause la capacité des contractants utilisant une infrastructure cloud américaine à satisfaire aux exigences de sécurité pour les informations Official-Sensitive. Si les autorités américaines peuvent accéder à des informations gouvernementales britanniques via le CLOUD Act, l’utilisation de tels fournisseurs constitue-t-elle une mesure de sécurité insuffisante ?

Le contractant a déployé Kiteworks dans un environnement isolé répondant aux normes de sécurité gouvernementales britanniques, avec chiffrement géré par le client et isolement physique supprimant toute exposition à une juridiction étrangère. Cette architecture a permis de poursuivre les contrats avec le MoD tout en respectant les exigences de sécurité renforcées tenant compte des risques de juridiction liés au CLOUD Act.

Comparatif : Kiteworks vs. fournisseurs cloud hyperscale américains

Conclusion : la juridiction détermine la souveraineté des données

Le CLOUD Act a fondamentalement bouleversé le paysage pour les organisations britanniques évaluant leurs choix d’infrastructure cloud. En affirmant l’autorité extraterritoriale américaine sur les opérations mondiales des entreprises américaines, la loi fait du contrôle juridictionnel — et non de la localisation géographique — le facteur déterminant de la protection des données. Les organisations britanniques qui utilisent des fournisseurs cloud américains abandonnent leur souveraineté juridictionnelle à la législation américaine, quelle que soit la localisation des centres de données, les engagements contractuels de protection des données ou les programmes de conformité RGPD.

Les conflits de juridiction entre les obligations du CLOUD Act et les exigences britanniques en matière de protection des données créent des situations de conformité impossibles. Le RGPD britannique interdit l’accès non autorisé d’un gouvernement étranger, exige des mesures de sécurité appropriées et impose la responsabilité du responsable de traitement. Les demandes fondées sur le CLOUD Act permettent précisément l’accès étranger que le RGPD interdit, suppriment les mesures de sécurité par la contrainte légale et transfèrent le contrôle aux fournisseurs américains soumis à la loi américaine. Les tentatives contractuelles de résoudre ces conflits échouent, car les accords privés ne peuvent pas prévaloir sur la loi publique.

L’Information Commissioner’s Office attend des organisations britanniques qu’elles évaluent la réalité pratique de la protection des données et mettent en œuvre des mesures techniques efficaces contre les risques identifiés, y compris l’accès d’un gouvernement étranger. Les organisations qui n’ont pas évalué les implications du CLOUD Act, mis en place un chiffrement géré par le client ou envisagé des alternatives souveraines peinent à démontrer leur responsabilité lorsqu’elles choisissent des architectures créant des conflits de juridiction permettant l’accès étranger à des données personnelles.

Pour les sociétés financières britanniques gérant la confidentialité des clients, les cabinets juridiques protégeant le secret professionnel, les prestataires de santé traitant des données de patients et les contractants gouvernementaux protégeant des informations officielles, l’exposition au CLOUD Act crée des risques de continuité d’activité dépassant la simple conformité. La confiance des clients, la position concurrentielle, les relations réglementaires et les obligations contractuelles de sécurité dépendent de la capacité à prouver que les données restent sous contrôle britannique, et non exposées à un accès étranger via l’infrastructure d’un fournisseur américain.

Des solutions architecturales existent pour éliminer l’exposition au CLOUD Act : des clés de chiffrement gérées par le client garantissant mathématiquement que toute divulgation forcée ne livre que des données inintelligibles, et un déploiement souverain au Royaume-Uni supprimant toute juridiction américaine via des prestataires locaux opérant exclusivement sous droit britannique. Ces solutions n’empêchent pas les autorités américaines d’émettre des ordres — elles les rendent sans effet, car aucune entité américaine ne détient les données ou les clés permettant de se conformer aux exigences américaines.

La juridiction est déterminante car elle décide qui contrôle in fine l’accès aux données en cas de conflit légal. Les organisations britanniques qui exigent une véritable souveraineté des données doivent comprendre que la juridiction du fournisseur d’infrastructure prévaut sur la géographie, et que seuls des choix architecturaux supprimant toute portée américaine peuvent satisfaire aux obligations britanniques tout en rendant toute demande étrangère mathématiquement et juridiquement impossible. Les données stockées chez des fournisseurs américains resteront toujours exposées au CLOUD Act — la souveraineté des données exige de choisir la juridiction britannique via une architecture rendant l’autorité américaine inapplicable.

Comment Kiteworks élimine l’exposition au CLOUD Act pour les organisations britanniques

Kiteworks offre une immunité contre le CLOUD Act grâce à une architecture opérant entièrement en dehors de la juridiction américaine. Déployé sur site dans des installations britanniques ou via des fournisseurs cloud souverains locaux, Kiteworks fonctionne comme une infrastructure britannique soumise exclusivement au droit britannique — les demandes fondées sur le CLOUD Act ne peuvent pas viser des entités juridiques britanniques sans contrôle américain. Des clés de chiffrement détenues par le client, sans accès du fournisseur, offrent une protection mathématique supplémentaire : même en cas de contrainte, les données divulguées resteraient inintelligibles sans les clés contrôlées par le client.

Des algorithmes de chiffrement validés FIPS 140-3 Niveau 1, associés à S/MIME, OpenPGP et TLS 1.3, protègent les données tout au long de leur cycle de vie via une architecture où Kiteworks ne détient jamais les données en clair ni les clés. Des options de déploiement flexibles
— sur site, en cloud privé britannique ou en environnement isolé — éliminent tout mélange multi-locataire tout en garantissant une exposition nulle à la juridiction américaine, quel que soit le modèle. Un géorepérage granulaire applique des listes de blocage empêchant l’authentification depuis des adresses IP américaines, tandis que des contrôles d’accès juridictionnels garantissent que seuls des personnels basés au Royaume-Uni accèdent aux systèmes sensibles.

Le Réseau de données privé unifié étend l’immunité au CLOUD Act à tous les canaux de communication de contenu : partage sécurisé de fichiers, SFTP, MFT, e-mail et formulaires web fonctionnent via une architecture souveraine britannique où l’autorité américaine ne peut pas imposer la divulgation. Un tableau de bord RSSI donne une visibilité sur toute l’activité fichier avec intégration syslog dans les SIEM, tandis que les rapports de conformité prouvent la conformité RGPD et la satisfaction des recommandations ICO grâce à une architecture empêchant tout accès étranger non autorisé.

Kiteworks permet aux organisations britanniques de satisfaire aux exigences de confidentialité des services financiers, aux standards de sécurité des contractants gouvernementaux, grâce à une indépendance juridictionnelle que les architectures cloud américaines ne peuvent offrir. Lorsque les autorités américaines émettent des demandes fondées sur le CLOUD Act, elles ne visent que les fournisseurs américains — jamais les organisations britanniques exploitant Kiteworks sous juridiction locale, où l’autorité américaine n’a aucune force.

Pour en savoir plus sur la protection des données britanniques contre l’exposition au CLOUD Act, réservez votre démo personnalisée dès aujourd’hui.

Ressources complémentaires

• Article de blog  
  Souveraineté des données : bonne pratique ou exigence réglementaire ?
• eBook  
  Souveraineté des données et RGPD
• Article de blog  
  Évitez ces pièges de la souveraineté des données
• Article de blog  
  Bonnes pratiques pour la souveraineté des données
• Article de blog  
  Souveraineté des données et RGPD [Comprendre la sécurité des données]