La lutte pour vos données : comment les lois CLOUD et SHIELD opposent sécurité et vie privée

Le gouvernement des États-Unis a promulgué deux grandes lois concernant la manière dont les entreprises technologiques gèrent les demandes de données des utilisateurs par le gouvernement – la loi CLOUD et la loi SHIELD. En surface, ces lois semblent avoir des objectifs contradictoires, mais comprendre la nuance de chaque loi est essentiel.

La loi CLOUD, adoptée en 2018, permet aux forces de l’ordre américaines de contraindre plus facilement les entreprises technologiques à fournir les données demandées, même si ces données sont stockées à l’étranger. Pendant ce temps, la loi SHIELD proposée limiterait la capacité des entreprises technologiques à se conformer aux demandes de données des gouvernements étrangers, à moins que le gouvernement américain ne l’examine d’abord.

Cet article plonge profondément dans les origines, les impacts, les forces et les faiblesses de chaque loi, et argumente pourquoi les États-Unis ont besoin des deux lois pour équilibrer la sécurité, la confidentialité et la coopération internationale.

La loi CLOUD : étendre la portée des forces de l’ordre

La loi Clarifying Lawful Overseas Use of Data (CLOUD) a été adoptée par le Congrès et signée en mars 2018 dans le cadre d’un grand projet de loi omnibus sur les dépenses. La loi CLOUD précise que les entreprises technologiques américaines doivent se conformer aux demandes justifiées de données des forces de l’ordre américaines, même si ces données sont stockées sur des serveurs situés en dehors des États-Unis.

Cela a résolu une zone grise juridique qui s’est formée alors que de plus en plus de données d’utilisateurs commençaient à être stockées à distance par des entreprises technologiques (“dans le cloud”). Auparavant, les entreprises technologiques prétendaient qu’elles ne pouvaient pas accéder aux données stockées à l’étranger, et les autorités américaines devaient passer par des traités d’assistance juridique mutuelle lourds et lents pour demander des données stockées à l’étranger.

Le CLOUD Act clarifie que les entreprises technologiques américaines doivent se conformer aux mandats de perquisition domestiques valides, quel que soit l’emplacement des données. Il donne également aux États-Unis le pouvoir de conclure des accords bilatéraux avec d’autres nations pour échanger plus facilement les demandes de données directement.

Les partisans ont soutenu que le CLOUD Act était nécessaire pour que les forces de l’ordre puissent efficacement enquêter sur les crimes à l’ère numérique. Cependant, les critiques ont exprimé leur inquiétude quant au fait qu’il pourrait saper les lois sur la vie privée dans d’autres pays et encourager les régimes autoritaires à violer les données des citoyens. Les groupes de défense des droits de l’homme ont également soutenu qu’il ne fournissait pas suffisamment de protections contre l’abus des nouveaux accords de partage direct de données.

En équilibre, le CLOUD Act permet un accès plus fluide aux données à travers les frontières, mais soulève des préoccupations en matière de souveraineté et de droits de l’homme. Les entreprises technologiques américaines doivent désormais clairement se conformer aux mandats américains à l’échelle mondiale, réduisant les incertitudes juridiques mais affaiblissant également l’autonomie des autres nations sur les données à l’intérieur de leurs frontières. Les impacts de la loi sont encore en développement alors que les accords bilatéraux sont négociés.

La loi SHIELD : Protéger les données de l’accès étranger

En contraste avec le CLOUD Act qui étend les pouvoirs des forces de l’ordre, la loi sur la protection des dossiers privés des Américains (SHIELD Act) vise à limiter l’accès des gouvernements étrangers aux données des citoyens américains stockées par les entreprises technologiques. Le SHIELD Act a été introduit mais n’a pas été adopté par le Congrès en 2020. Il interdit aux entreprises soumises à la juridiction américaine de se conformer aux demandes de données des utilisateurs américains formulées par des gouvernements étrangers, à moins que ces demandes ne soient examinées et jugées admissibles par le département de la Justice des États-Unis.

Les partisans du SHIELD Act soutiennent qu’il est nécessaire pour protéger les données des citoyens américains contre l’exploitation par des nations adverses comme la Chine et la Russie. Les partisans du projet de loi affirment que la loi américaine actuelle ne empêche pas les entreprises technologiques de remettre des données privées à des gouvernements étrangers, ce qui porte atteinte aux droits des Américains.

L’exigence d’un examen par le gouvernement américain des demandes étrangères ajoute une importante couche de surveillance. Les critiques rétorquent que le SHIELD Act pourrait encourager d’autres nations à adopter des lois restrictives similaires, balkanisant l’accès à Internet et fracturant le web mondial. Si d’autres pays restreignent réciproquement les flux de données, les entreprises technologiques pourraient être confrontées à des obligations juridiques contradictoires.

Bien qu’elle ne soit pas encore une loi, les principes du SHIELD Act reflètent une approche de plus en plus nationaliste et protectrice du gouvernement américain en matière de contrôle des données des citoyens. Il vise à réaffirmer l’autorité américaine sur les pratiques de partage de données des entreprises technologiques concernant les informations des personnes américaines. Cependant, l’interconnexion mondiale des systèmes Internet et la nature multinationale des entreprises technologiques compliquent la régulation purement domestique.

US Cloud Act vs. SHIELD Act : Similarités, différences et ironies

Malgré leurs objectifs contrastés, les lois CLOUD et SHIELD partagent l’idée sous-jacente que le gouvernement américain devrait contrôler quand les entreprises technologiques américaines partagent les données des citoyens américains. La loi CLOUD élargit l’accès des forces de l’ordre américaines, tandis que la loi SHIELD restreint l’accès des gouvernements étrangers. Les deux affirment l’autorité juridictionnelle américaine et visent à préserver les droits des citoyens américains par rapport aux demandes de données d’entités étrangères.

Cependant, les deux lois adoptent des positions presque opposées sur l’extension de la portée juridictionnelle au-delà des frontières nationales. La loi CLOUD revendique le pouvoir des mandats américains sur les données partout dans le monde. La loi SHIELD, en revanche, tente de bloquer l’accès étranger aux données américaines à l’étranger, sauf autorisation du gouvernement américain. Cette contradiction souligne les complexités de la régulation des données dans un monde interconnecté. L’Amérique ne peut pas tout avoir à la fois : accéder facilement aux données à l’échelle mondiale tout en empêchant d’autres nations d’accéder aux données à travers les frontières américaines.

Pourtant, d’une certaine manière, les deux lois partagent un scepticisme ironique quant aux intentions d’autres nations en ce qui concerne les données des citoyens américains, cherchant à protéger la vie privée des Américains contre l’exploitation étrangère. Les États-Unis affirment leur propre droit d’accéder aux données des citoyens à l’échelle mondiale grâce à la loi CLOUD, tout en niant l’accès réciproque étranger aux données via SHIELD.

Cependant, la responsabilité démocratique et la protection des droits ne devraient pas être considérées comme exclusivement américaines. En fin de compte, la vie privée et la sécurité nécessitent une coopération internationale et un accord sur des principes de protection des données partagés.

US Cloud Act vs. SHIELD Act : Pourquoi nous avons besoin des deux lois

Dans cette phase de l’ère de l’information, où d’énormes quantités de données sensibles sont générées, traitées et stockées en ligne chaque jour, les lois CLOUD et SHIELD répondent à des préoccupations légitimes concernant la protection des droits des citoyens. Les forces de l’ordre ont besoin d’un accès efficace aux preuves numériques pour faire respecter la justice – c’est la motivation derrière le CLOUD Act. En même temps, les données personnelles des citoyens méritent une protection contre la surveillance de masse étrangère ou la répression – c’est la motivation derrière le SHIELD. Les deux principes de confidentialité et de justice sont importants, malgré la tension entre ces lois.

Idéalement, des accords nuancés peuvent soutenir les deux objectifs. Les accords bilatéraux du CLOUD Act pourraient garantir l’accès aux données des forces de l’ordre tout en établissant des protections de base pour les libertés civiles. Les examens du SHIELD Act des demandes étrangères pourraient autoriser les cas justifiés tout en limitant les saisies de données indiscriminées. Aucun pays ne peut réguler unilatéralement l’internet mondial. Cependant, les États-Unis ont raison d’affirmer leurs intérêts par le biais de ces deux voies politiques – cherchant la sécurité à travers le CLOUD tout en préservant la vie privée à travers le SHIELD. Si elles sont combinées avec soin, ces deux lois peuvent former une politique américaine globale de données pour l’ère numérique.

Kiteworks aide les organisations américaines à garder leur contenu confidentiel à l’abri des intrusions gouvernementales

Les lois CLOUD et SHIELD incarnent les compromis difficiles sous-jacents à la régulation des données. Dans un monde interconnecté, les gouvernements doivent équilibrer l’accès des forces de l’ordre, les droits à la vie privée et la coopération internationale. Plutôt que contradictoires, ces lois américaines représentent des intérêts parallèles légitimes – facilitant les enquêtes nationales tout en protégeant les citoyens contre les débordements étrangers. Une mise en œuvre judicieuse de ces deux politiques pourrait préserver la sécurité et la liberté. Cependant, cela nécessitera de la nuance et de la négociation pour façonner des normes internationales durables équilibrant les principes clés de justice et de confidentialité.

Le Kiteworks Réseau de contenu privé, une plateforme de partage sécurisé de fichiers et de transfert sécurisé de fichiers validée au niveau FIPS 140-2, consolide l’email, le partage de fichiers, les formulaires web, le SFTP et le transfert de fichiers gérés, permettant ainsi aux organisations de contrôler, protéger et suivre chaque fichier entrant et sortant de l’organisation.

Kiteworks permet aux organisations de contrôler qui peut accéder aux informations sensibles, avec qui elles peuvent les partager, et comment les tiers peuvent interagir avec (et pendant combien de temps) le contenu sensible qu’ils reçoivent. Ensemble, ces capacités avancées de DRM atténuent le risque d’accès non autorisé et de violations de données.

Ces contrôles d’accès, ainsi que les fonctionnalités de chiffrement de transmission sécurisée de niveau entreprise de Kiteworks, permettent également aux organisations de se conformer aux strictes exigences de souveraineté des données.

De plus, les clients de Kiteworks gèrent leurs propres clés de chiffrement. Par conséquent, Kiteworks n’a accès à aucune donnée client, garantissant la confidentialité et la sécurité des informations du client. En revanche, d’autres services tels que Microsoft Office 365 qui gèrent ou cogèrent les clés de chiffrement d’un client, peuvent (et le feront) céder les données d’un client en réponse à des assignations et des mandats gouvernementaux. Avec Kiteworks, le client a un contrôle total sur ses données et ses clés de chiffrement, garantissant un haut niveau de confidentialité et de sécurité.

Kiteworks Les options de déploiement comprennent sur site, hébergé, privé, hybride et FedRAMP nuage privé virtuel. Avec Kiteworks : contrôlez l’accès au contenu sensible ; protégez-le lorsqu’il est partagé en externe en utilisant le chiffrement automatisé de bout en bout, l’authentification multifactorielle et les intégrations d’infrastructure de sécurité ; voyez, suivez et rapportez toute activité de fichier, à savoir qui envoie quoi à qui, quand et comment. Enfin, démontrez la conformité avec les réglementations et normes comme RGPD, ANSSI, HIPAA, CMMC, Cyber Essentials Plus, IRAP, DPA, et bien d’autres encore.

Pour en savoir plus sur Kiteworks, programmez une démonstration personnalisée dès aujourd’hui.

Ressources supplémentaires

• Article de blog Les guides sur les risques de confidentialité des données orientent les communications de contenu sensible
• Article de blog Plus de 60% des recommandations de la GAO sur la confidentialité des données n’ont pas été mises en œuvre dans 24 agences fédérales américaines
• Note d’information Naviguer dans l’American Data Privacy and Protection Act avec le soutien de Kiteworks
• Article de blog Comprendre et atteindre la conformité RGPD
• Article de blog Cadre de confidentialité NIST pour la protection des données sensibles