Le CLOUD Act et la protection des données au Royaume-Uni : pourquoi la juridiction est essentielle

Le Clarifying Lawful Overseas Use of Data Act (US CLOUD Act), adopté par le Congrès américain en mars 2018, confère aux forces de l’ordre américaines le pouvoir extraterritorial d’obliger les entreprises technologiques basées aux États-Unis à fournir des données, quel que soit l’endroit où elles sont stockées. Pour les organisations britanniques utilisant des fournisseurs cloud américains comme AWS, Microsoft Azure ou Google Cloud, cela crée de profonds conflits de juridiction entre les obligations légales américaines imposant la divulgation et les exigences britanniques en matière de protection des données interdisant tout accès non autorisé. Lorsque les autorités américaines adressent des demandes fondées sur le CLOUD Act à des fournisseurs cloud américains hébergeant des données de clients britanniques, ces fournisseurs se retrouvent dans une situation de conformité impossible : respecter la législation américaine en divulguant les données, ou honorer les engagements contractuels envers leurs clients britanniques en refusant la divulgation — mais jamais les deux à la fois.

La juridiction est essentielle car elle détermine le cadre légal qui régit l’accès aux données en cas de conflit. Les organisations britanniques opérant sous juridiction britannique et stockant leurs données sur une infrastructure contrôlée au Royaume-Uni ne répondent qu’à la loi britannique. Mais celles qui utilisent des fournisseurs cloud américains — indépendamment des « régions UK » ou des engagements contractuels sur la protection des données — abandonnent le contrôle juridictionnel à des sociétés américaines soumises à l’autorité légale des États-Unis. Le CLOUD Act rend la résidence géographique des données sans importance en imposant la juridiction américaine sur toutes les opérations mondiales des entreprises américaines. Un mandat adressé au siège d’AWS en Virginie s’impose à AWS Londres. Un ordre envoyé au siège de Microsoft dans l’État de Washington s’applique aux opérations Azure UK South. La maison mère américaine de Google reçoit des demandes auxquelles Google Cloud Londres doit répondre.

Le RGPD britannique et le Data Protection Act 2018 interdisent aux organisations de permettre un accès non autorisé aux données personnelles, imposent la mise en place de mesures techniques appropriées et instaurent une responsabilité claire en matière de protection des données. Lorsque les autorités américaines utilisent le CLOUD Act pour exiger la divulgation de données de clients britanniques auprès de fournisseurs cloud américains, un accès non autorisé a-t-il eu lieu ? La position de l’ICO suggère que oui — l’accès d’un gouvernement étranger sans procédure légale britannique ni notification du client viole les principes de protection des données que les responsables du traitement britanniques doivent respecter. Les clauses contractuelles ne peuvent résoudre ce conflit car les obligations légales américaines prévalent sur les engagements contractuels. La seule solution architecturale éliminant l’exposition au CLOUD Act est une véritable souveraineté des données : des clés de chiffrement gérées par le client, rendant toute divulgation forcée inintelligible, et un déploiement souverain au Royaume-Uni éliminant toute juridiction du fournisseur américain.

Résumé Exécutif

Idée principale : Le CLOUD Act donne aux autorités américaines le pouvoir d’obliger les fournisseurs cloud américains à divulguer des données, quel que soit leur lieu de stockage, créant ainsi des conflits directs avec les exigences du RGPD britannique. Les organisations britanniques utilisant des fournisseurs cloud américains se retrouvent face à des conflits juridictionnels insolubles, que seule la souveraineté des données — via le chiffrement géré par le client et un déploiement souverain au Royaume-Uni — peut résoudre.

Pourquoi c’est important : La juridiction détermine le cadre légal qui régit l’accès aux données en cas de conflit. Les organisations utilisant des fournisseurs cloud américains — indépendamment des « régions UK » ou des engagements contractuels sur la protection des données — abandonnent le contrôle juridictionnel à des sociétés américaines soumises à l’autorité légale des États-Unis. La seule solution architecturale éliminant l’exposition au CLOUD Act est une véritable souveraineté des données : des clés de chiffrement gérées par le client rendant toute divulgation forcée inintelligible, et un déploiement souverain éliminant toute juridiction du fournisseur américain.

Points clés à retenir

1. Le CLOUD Act confère aux forces de l’ordre américaines un pouvoir extraterritorial pour obliger les entreprises américaines à fournir des données stockées partout dans le monde, supplantant les lois locales et rendant la résidence géographique des données dans les régions britanniques juridiquement sans effet dès lors que la juridiction d’une société américaine permet la divulgation forcée.
2. Les demandes fondées sur le CLOUD Act créent des conflits directs avec l’article 5 du RGPD britannique sur le traitement licite et l’article 32 sur les mesures de sécurité appropriées en autorisant l’accès d’un gouvernement étranger sans procédure légale britannique, sans notification du client ni garanties de protection des données.
3. Les fournisseurs cloud américains ne peuvent satisfaire à la fois aux obligations du CLOUD Act et aux engagements contractuels envers leurs clients britanniques lorsque les autorités américaines exigent la divulgation de données — les obligations légales prévalent sur les promesses contractuelles, rendant les garanties du fournisseur juridiquement inopérantes en cas de conflit de juridiction.
4. Les clauses de non-divulgation dans les ordres du CLOUD Act interdisent aux fournisseurs d’informer les clients britanniques de l’accès à leurs données, violant les exigences de transparence du RGPD britannique et empêchant les organisations de détecter, contester ou atténuer la surveillance d’un gouvernement étranger non autorisée.
5. L’ICO attend des organisations britanniques qu’elles mettent en place des mesures techniques empêchant tout accès non autorisé, y compris par des gouvernements étrangers, ce qui signifie que les choix architecturaux permettant la divulgation au titre du CLOUD Act créent un risque de violation de la protection des données, indépendamment de la contrainte légale américaine.
6. Des clés de chiffrement gérées par le client, éliminant l’accès du fournisseur, garantissent mathématiquement l’absence d’exposition au CLOUD Act — toute divulgation forcée ne livre que des données chiffrées inintelligibles sans les clés, tandis qu’un déploiement souverain au Royaume-Uni élimine totalement la portée de la juridiction américaine.

Comprendre le CLOUD Act : définition et fonctionnement

Qu’est-ce que le CLOUD Act ? Le Clarifying Lawful Overseas Use of Data (CLOUD) Act, adopté le 23 mars 2018, est une loi fédérale américaine qui donne aux agences d’application de la loi américaines le pouvoir d’obliger les entreprises technologiques américaines à fournir des données électroniques stockées partout dans le monde, indépendamment du lieu physique de stockage ou de la nationalité des personnes concernées.

Le CLOUD Act est né de l’affaire Microsoft Ireland (United States v. Microsoft Corp.), où Microsoft a contesté un mandat américain exigeant des e-mails stockés dans son centre de données à Dublin. Microsoft a soutenu que le Stored Communications Act n’accordait pas de pouvoir extraterritorial, ce qui signifiait que les mandats américains ne pouvaient pas s’appliquer aux données stockées à l’étranger. La cour d’appel fédérale a donné raison à Microsoft, créant un vide juridique où les autorités américaines ne pouvaient pas accéder aux données stockées à l’étranger, même dans le cadre d’enquêtes criminelles graves.

Le Congrès a réagi en adoptant le CLOUD Act, qui donne explicitement aux forces de l’ordre américaines une portée extraterritoriale sur les opérations mondiales des entreprises américaines. La loi modifie le Stored Communications Act pour préciser que la procédure légale américaine s’applique aux données « en la possession, la garde ou le contrôle [du fournisseur], que ces communications, dossiers ou autres informations soient situés à l’intérieur ou à l’extérieur des États-Unis ». Cette formulation élimine la localisation géographique comme critère pertinent — si une entreprise américaine contrôle les données, les autorités américaines peuvent les exiger.

Comment fonctionnent les ordres du CLOUD Act

Les agences américaines qui recherchent des données auprès de fournisseurs cloud américains au titre du CLOUD Act suivent des procédures similaires à celles des mandats nationaux, mais avec une portée extraterritoriale. Elles obtiennent des ordonnances judiciaires, des mandats ou des assignations auprès de tribunaux américains, ordonnant aux fournisseurs de fournir des données spécifiques. Ces ordres s’appliquent quel que soit le lieu de stockage, le propriétaire des données ou la nationalité des personnes concernées.

Les fournisseurs recevant des demandes fondées sur le CLOUD Act doivent se conformer à la loi américaine en fournissant les données demandées. Un refus les expose à des poursuites pour outrage, à de lourdes amendes et à la possibilité d’emprisonnement des dirigeants. La loi ne prévoit aucune exception pour les données appartenant à des clients étrangers, stockées dans des centres de données étrangers ou soumises à des lois étrangères sur la protection des données. La juridiction d’une société américaine crée une obligation légale américaine que la localisation géographique ne peut éliminer.

Les ordres du CLOUD Act sont souvent assortis de clauses de non-divulgation interdisant aux fournisseurs d’informer les clients concernés de l’accès à leurs données. Ces « gag orders » empêchent les clients de contester la légalité de l’accès, de mettre en place des mesures de sécurité supplémentaires ou de remplir leurs propres obligations de transparence au titre des lois sur la protection des données. Les organisations britanniques peuvent ne jamais savoir que les autorités américaines ont accédé à leurs données via le CLOUD Act.

CLOUD Act vs. Traités d’entraide judiciaire (MLAT)

Avant le CLOUD Act, les autorités américaines cherchant à accéder à des données stockées à l’étranger utilisaient généralement les traités d’entraide judiciaire (MLAT), qui exigent la coopération entre gouvernements via des canaux juridiques formels. Les MLAT respectent la souveraineté étrangère en imposant aux pays demandeurs de suivre des procédures conventionnelles, permettant aux pays sollicités d’examiner la validité juridique des demandes et offrant des mécanismes de résolution des conflits de juridiction.

Le CLOUD Act contourne les procédures MLAT en affirmant une autorité directe sur les entreprises américaines, quel que soit le lieu de stockage des données. Les autorités américaines n’ont plus besoin de la coopération du gouvernement britannique pour accéder à des données stockées dans des centres de données britanniques — elles adressent simplement leurs demandes aux maisons mères américaines, qui doivent se conformer à la loi américaine. Cette approche unilatérale élimine la supervision des gouvernements étrangers, supprime les protections juridiques étrangères et crée des conflits de juridiction que les MLAT étaient censés prévenir.

Le CLOUD Act prévoit des accords bilatéraux permettant aux gouvernements étrangers de négocier des accords exécutifs avec les États-Unis. Ces accords permettraient aux autorités étrangères d’exiger directement des données auprès de fournisseurs américains sans passer par les MLAT, tout en imposant une réciprocité pour les autorités américaines. Cependant, ces accords doivent satisfaire à des exigences strictes, notamment en matière de droits humains et de limitations de ciblage, que de nombreux pays ne peuvent pas remplir. Le Royaume-Uni a négocié un accord exécutif CLOUD Act, mais il continue d’offrir aux autorités américaines un accès direct aux données britanniques tout en accordant aux autorités britanniques une certaine réciprocité — sans résoudre le problème fondamental de la juridiction.

Portée extraterritoriale du CLOUD Act et implications pour le Royaume-Uni

Impact extraterritorial : Les dispositions extraterritoriales du CLOUD Act signifient que les organisations britanniques utilisant des fournisseurs cloud américains restent exposées à la procédure légale américaine, quels que soient les emplacements des centres de données britanniques, les engagements contractuels de protection des données ou les exigences du droit britannique en matière de protection des données.

Le principe fondamental du CLOUD Act — la juridiction américaine suit les entreprises américaines partout dans le monde — a des conséquences immédiates pour les organisations britanniques pensant que stocker leurs données dans AWS Londres, Azure UK South ou Google Cloud Londres les protège de la procédure légale américaine. La résidence géographique des données devient juridiquement sans effet dès lors que le contrôle d’une société américaine soumet les opérations régionales britanniques à l’autorité légale des États-Unis.

Pourquoi les centres de données britanniques n’empêchent pas l’exposition au CLOUD Act

Les fournisseurs cloud américains commercialisent les régions britanniques comme des solutions pour la résidence des données et la conformité au RGPD britannique. Pourtant, le déploiement régional n’élimine pas la portée de la juridiction américaine, car l’autorité du CLOUD Act s’étend aux données « en la possession, la garde ou le contrôle du fournisseur », quel que soit leur emplacement. AWS, Microsoft et Google conservent la possession, la garde et le contrôle des données clients dans leurs régions britanniques via :

Contrôle de la société mère : Les maisons mères américaines possèdent et exploitent les filiales britanniques. Les opérations d’AWS Londres relèvent d’Amazon Web Services Inc., société du Delaware. Azure UK South dépend de Microsoft Corporation, société de l’État de Washington. Google Cloud Londres fait partie de Google LLC, société du Delaware. Cette structure soumet toutes les opérations mondiales à la juridiction américaine.

Accès technique : Les fournisseurs cloud disposent d’une infrastructure technique permettant l’accès aux données clients dans toutes les régions. Les systèmes de gestion des clés de chiffrement, les contrôles d’accès administratifs et les outils opérationnels fonctionnent globalement via une infrastructure contrôlée par le fournisseur. Lorsque les autorités américaines exigent des données, les fournisseurs ont la capacité technique d’y accéder et de les divulguer, quel que soit le lieu de stockage physique.

Intégration opérationnelle : Les opérations régionales britanniques sont intégrées aux systèmes mondiaux du fournisseur pour la facturation, la gestion des identités, la supervision de la sécurité et la fourniture des services. Cette intégration crée des liens techniques et opérationnels rendant les données britanniques accessibles aux maisons mères américaines, qui doivent se conformer aux demandes du CLOUD Act.

Les organisations britanniques pensant que les centres de données régionaux offrent une protection juridictionnelle méconnaissent fondamentalement le fonctionnement du CLOUD Act. La loi ne s’intéresse pas à l’emplacement des données — elle s’intéresse à qui les contrôle. Le contrôle par une société américaine signifie juridiction américaine, indépendamment de la géographie des données.

Portée de l’autorité du CLOUD Act

Le CLOUD Act accorde une large autorité aux forces de l’ordre et agences de renseignement américaines. Les ordres peuvent exiger :

Données de contenu : Messages e-mail, contenus de documents, communications et fichiers stockés par les fournisseurs pour le compte des clients. Les données de clients britanniques hébergées chez des fournisseurs américains deviennent accessibles aux autorités américaines enquêtant sur des crimes, des questions de sécurité nationale ou des opérations de renseignement.

Métadonnées : Informations sur les communications, notamment l’expéditeur, le destinataire, l’horodatage, les adresses IP et les identifiants d’appareils. Même si le contenu reste chiffré, les métadonnées peuvent révéler des schémas sensibles sur les relations d’affaires, les communications et les activités.

Communications stockées : Données au repos dans les systèmes du fournisseur, y compris sauvegardes, archives et informations supprimées mais récupérables. Les organisations britanniques peuvent penser que les données supprimées n’existent plus, mais les systèmes de sauvegarde du fournisseur, soumis au CLOUD Act, peuvent produire des informations que l’organisation pensait détruites.

Accès en temps réel : Surveillance prospective où les fournisseurs doivent donner un accès continu aux communications entrantes, permettant aux autorités américaines de surveiller en temps réel les flux de données des clients britanniques.

La portée de la loi ne se limite pas aux enquêtes criminelles. Les autorités de sécurité nationale, dont le FBI via les pouvoirs du Foreign Intelligence Surveillance Act, peuvent utiliser le CLOUD Act à des fins de renseignement. Les organisations britanniques et leurs personnes concernées peuvent devenir des cibles de surveillance non pas pour des soupçons de crimes, mais pour des intérêts de renseignement étranger.

Qui peut émettre des demandes au titre du CLOUD Act

Plusieurs agences américaines peuvent émettre des demandes fondées sur le CLOUD Act :

Federal Bureau of Investigation (FBI) : Enquêtes criminelles et contre-espionnage visant des ressortissants étrangers, dont des entrepreneurs et organisations britanniques potentiellement impliqués dans des dossiers d’intérêt américain.

Drug Enforcement Administration (DEA) : Enquêtes sur le trafic de drogue impliquant des chaînes d’approvisionnement internationales, pouvant concerner des entreprises britanniques légitimes ayant des liens involontaires avec des parties sous enquête.

Securities and Exchange Commission (SEC) : Enquêtes sur la fraude boursière, la manipulation de marché ou le délit d’initié impliquant des entreprises ou individus britanniques actifs sur les marchés américains.

Department of Justice (DOJ) : Autorité générale sur les crimes fédéraux pouvant impliquer des personnes ou organisations britanniques via des activités commerciales internationales.

Communauté du renseignement : Agences de sécurité nationale opérant sous l’autorité du FISA, recherchant des renseignements étrangers, y compris les communications de ressortissants britanniques non soupçonnés de crimes mais susceptibles de détenir des informations sur des cibles de renseignement.

L’étendue des agences disposant de l’autorité du CLOUD Act signifie que les organisations britanniques utilisant des fournisseurs américains s’exposent à de multiples entités gouvernementales américaines, avec des normes, des contrôles et des objectifs d’accès variés.

Conflits de juridiction avec le RGPD britannique

Conflit central : Le CLOUD Act permet à un gouvernement étranger d’accéder à des données personnelles sans procédure légale britannique, en contradiction directe avec les exigences du RGPD britannique en matière de traitement licite, de mesures de sécurité appropriées et de responsabilité du responsable du traitement.

Les organisations britanniques utilisant des fournisseurs cloud américains se retrouvent dans des situations de conformité impossibles lorsque les autorités américaines exigent des données au titre du CLOUD Act. Le RGPD britannique impose des exigences précises en matière de protection des données, que l’accès via le CLOUD Act viole, créant des conflits de juridiction où satisfaire un cadre légal revient à en violer un autre.

Article 5 du RGPD britannique : principes du traitement licite

L’article 5 du RGPD britannique pose les principes fondamentaux du traitement licite des données. Les principes les plus directement remis en cause par l’accès via le CLOUD Act sont :

Légalité, loyauté et transparence : Les données personnelles doivent être traitées de manière licite, loyale et transparente. Lorsque les autorités américaines utilisent le CLOUD Act pour accéder à des données personnelles britanniques, le traitement est-il licite ? La personne concernée n’a pas consenti à l’accès du gouvernement américain. La loi britannique n’autorise pas un tel accès. Le CLOUD Act donne une autorité légale américaine — mais une loi étrangère rend-elle le traitement licite au regard du RGPD britannique ? Les recommandations de l’ICO suggèrent que la loi britannique détermine la licéité, ce qui signifie qu’un accès étranger non autorisé viole ce principe, quelle que soit l’autorité américaine.

Limitation des finalités : Les données doivent être collectées pour des finalités déterminées, explicites et légitimes. Les organisations britanniques collectent des données personnelles pour des besoins métiers — gestion de la relation client, administration du personnel, fourniture de services. Une enquête de renseignement ou de police américaine ne constitue pas la finalité déterminée lors de la collecte. L’accès via le CLOUD Act viole donc la limitation des finalités en utilisant les données à des fins incompatibles avec la collecte initiale.

Minimisation des données : Seules les données adéquates, pertinentes et limitées à ce qui est nécessaire doivent être traitées. Les demandes fondées sur le CLOUD Act visent souvent un accès large, au-delà des besoins spécifiques d’une enquête, notamment à des fins de renseignement. Lorsque les autorités américaines exigent des ensembles de données entiers, des historiques de communication ou des collections de métadonnées, le principe de minimisation est violé, l’accès étranger traitant bien plus de données que nécessaire pour la finalité initiale.

Limitation de la conservation : Les données ne doivent pas être conservées plus longtemps que nécessaire. Les ordres du CLOUD Act peuvent exiger des données historiques, des sauvegardes et des informations supprimées mais récupérables, prolongeant ainsi la durée de conservation au-delà des périodes prévues par l’organisation britannique via l’accès et la copie par un gouvernement étranger.

Article 32 du RGPD britannique : sécurité du traitement

L’article 32 impose aux organisations de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir une sécurité adaptée au risque. L’article mentionne explicitement le chiffrement comme mesure appropriée. Mais lorsque les fournisseurs cloud américains conservent l’accès aux clés de chiffrement permettant de répondre au CLOUD Act, le chiffrement offre-t-il une réelle sécurité ?

L’article exige des mesures assurant « la confidentialité, l’intégrité, la disponibilité et la résilience permanentes des systèmes et services de traitement ». L’accès d’un gouvernement étranger imposé par le CLOUD Act compromet la confidentialité — les données deviennent accessibles à des parties non autorisées par le responsable du traitement. Il compromet l’intégrité en permettant la copie ou la modification sans que le responsable en soit informé. Il compromet la résilience en créant des voies d’accès que les mesures de protection des données ne peuvent empêcher.

Les recommandations de l’ICO sur l’article 32 insistent sur l’efficacité des mesures face aux risques identifiés, y compris « l’accès, le traitement ou la divulgation illicites ou non autorisés ». L’accès via le CLOUD Act constitue-t-il un accès « illicite » au regard du RGPD britannique ? Le gouvernement américain agit légalement selon la loi américaine, mais la loi britannique détermine si l’accès est licite du point de vue du RGPD britannique. Un accès étranger sans procédure britannique, sans notification de la personne concernée, ni autorisation du responsable du traitement, semble constituer précisément l’accès non autorisé que l’article 32 impose de prévenir.

Articles 44-48 du RGPD britannique : transferts internationaux

Les dispositions du RGPD britannique sur les transferts internationaux de données créent des conflits supplémentaires avec l’accès via le CLOUD Act. L’article 44 interdit le transfert de données personnelles vers des pays tiers sans garanties appropriées. Lorsque les autorités américaines exigent la divulgation de données via le CLOUD Act, y a-t-il transfert vers les États-Unis ?

Techniquement, les données ne « transitent » pas du Royaume-Uni vers les États-Unis — elles sont divulguées par le fournisseur aux autorités américaines. Mais dans les faits, les données personnelles initialement soumises au droit britannique deviennent accessibles à des entités américaines sans garanties adéquates. Ce résultat contredit l’objectif des restrictions de transfert : empêcher que des données personnelles n’atteignent des juridictions insuffisamment protégées.

L’article 48 traite spécifiquement des « transferts ou divulgations non autorisés par le droit de l’Union ». Il précise que toute décision de justice ou administrative exigeant le transfert ou la divulgation de données personnelles ne peut être reconnue ou exécutoire que si elle repose sur un accord international tel qu’un traité d’entraide judiciaire. Le CLOUD Act contourne les procédures MLAT, ce qui suggère que l’article 48 ne reconnaîtrait pas les ordres du CLOUD Act comme base légitime de divulgation.

Position de l’ICO en matière d’application

L’Information Commissioner’s Office a publié des recommandations précisant ses attentes concernant l’informatique en nuage et les transferts internationaux, ce qui crée des pressions supplémentaires pour les organisations britanniques utilisant des fournisseurs américains.

Les recommandations de l’ICO sur les transferts internationaux insistent sur la nécessité de réaliser des analyses d’impact sur les transferts (TIA) évaluant la réalité pratique de la protection des données dans les pays de destination, et non de se limiter aux cadres juridiques théoriques. Pour les transferts impliquant des fournisseurs cloud américains (même s’ils sont présentés comme des traitements internes au Royaume-Uni), les TIA doivent prendre en compte la possibilité que les autorités américaines puissent exiger l’accès via le CLOUD Act sans procédure britannique.

L’ICO attend des organisations qu’elles mettent en œuvre des mesures complémentaires pour traiter les risques identifiés. Lorsque les TIA révèlent que des gouvernements étrangers peuvent exiger l’accès du fournisseur, quelles mesures complémentaires peuvent traiter ce risque ? Les clauses contractuelles ne peuvent prévaloir sur les obligations légales américaines. Les mesures organisationnelles ne peuvent empêcher les demandes gouvernementales. Seules des mesures techniques éliminant l’accès du fournisseur à des données intelligibles — des clés de chiffrement gérées par le client — offrent une protection complémentaire efficace.

Pourquoi les protections contractuelles échouent face au CLOUD Act

Limites contractuelles : Les engagements contractuels des fournisseurs cloud en matière de protection des données ne peuvent prévaloir sur les obligations légales américaines du CLOUD Act, rendant les promesses contractuelles juridiquement inopérantes en cas de conflit de juridiction entre les exigences américaines et britanniques.

Les organisations britanniques négociant des contrats cloud incluent généralement des clauses détaillées sur la protection des données : engagement à ne traiter les données que sur instruction du client, obligation de mettre en place des mesures de sécurité appropriées, promesses de notifier les clients en cas de demande gouvernementale et limitations contractuelles de la divulgation. Ces clauses rassurent sur la protection des données — mais elles échouent lorsque les autorités américaines invoquent le CLOUD Act.

Les obligations légales prévalent sur les engagements contractuels

Le problème fondamental est qu’un contrat privé ne peut prévaloir sur la loi publique. Lorsqu’une loi fédérale américaine impose la divulgation, les engagements contractuels de non-divulgation deviennent inapplicables. Le fournisseur doit choisir : violer la loi fédérale en respectant le contrat client, ou violer le contrat client en respectant la loi fédérale. La réponse juridique est claire — la loi prévaut.

Les conditions générales des fournisseurs cloud reconnaissent cette réalité via des clauses stipulant que la divulgation peut intervenir « si la loi l’exige » ou « pour se conformer à des obligations légales ». Ces clauses préservent explicitement la capacité du fournisseur à satisfaire aux demandes du CLOUD Act, malgré les engagements contractuels de protection des données. Les clients britanniques qui signent ces contrats acceptent que les obligations légales américaines puissent prévaloir sur les protections contractuelles.

Même les contrats interdisant explicitement toute divulgation « en toutes circonstances » ou exigeant du fournisseur qu’il « conteste toutes les demandes gouvernementales » échouent sous la pression du CLOUD Act. Les fournisseurs ne peuvent refuser un ordre judiciaire américain, quels que soient les engagements contractuels envers leurs clients. Les tribunaux estiment que les obligations contractuelles envers des clients étrangers ne peuvent empêcher une entreprise américaine de respecter la loi américaine, rendant ainsi inefficaces même les protections contractuelles les plus strictes.

Promesses des fournisseurs et arguments marketing

Les fournisseurs cloud mettent en avant la protection des données, la sécurité et le contrôle client dans leur communication. AWS promet que « les clients gardent le contrôle de leurs données ». Microsoft insiste sur la « confidentialité dès la conception ». Google vante sa « sécurité de pointe ». Ces arguments créent l’impression que les données clients sont protégées contre tout accès non autorisé — une impression que l’autorité du CLOUD Act contredit.

Ces affirmations ne sont pas fausses — les fournisseurs mettent en œuvre une sécurité robuste contre les attaquants externes. Mais la sécurité contre les hackers n’équivaut pas à une protection contre les demandes gouvernementales. L’architecture qui protège des cybercriminels peut être contrainte de divulguer des données aux autorités. Les arguments sur le « contrôle client » n’évoquent pas les exceptions lorsque la loi américaine impose l’accès au fournisseur.

Les organisations britanniques doivent distinguer la sécurité technique (protection contre les tiers non autorisés) et la sécurité juridique (protection contre la contrainte gouvernementale). Les fournisseurs américains offrent une excellente sécurité technique mais ne peuvent garantir la sécurité juridique face aux exigences du gouvernement américain, car leur juridiction américaine rend cette sécurité impossible.

Défaillance de la notification

De nombreux contrats cloud incluent des clauses imposant au fournisseur de notifier le client en cas de demande gouvernementale, censées permettre au client de contester la demande ou de renforcer la sécurité. Mais les ordres de non-divulgation accompagnant les demandes du CLOUD Act interdisent aux fournisseurs d’informer leurs clients.

Lorsque les ordres de non-divulgation empêchent la notification, les obligations contractuelles de notification deviennent inapplicables. Les fournisseurs ne peuvent pas à la fois respecter les ordres de silence et honorer leurs engagements de notification. L’interdiction légale prévaut, laissant les clients dans l’ignorance de l’accès à leurs données et incapables d’exercer leurs droits contractuels ou légaux pour contester la divulgation.

Cela pose des difficultés particulières pour les organisations britanniques soumises à des obligations de transparence envers les personnes concernées au titre du RGPD. Si elles ignorent que leurs données ont été consultées (car le fournisseur ne peut pas les en informer), elles ne peuvent pas remplir leurs obligations d’information sur les traitements. Le conflit de juridiction entre les ordres de non-divulgation américains et les exigences britanniques de transparence crée des situations de conformité impossibles.

Attentes de l’ICO et obligations britanniques en matière de protection des données

Attente réglementaire : L’ICO attend des organisations britanniques qu’elles mettent en œuvre des mesures techniques et organisationnelles empêchant tout accès non autorisé aux données personnelles, y compris par des gouvernements étrangers. Les choix architecturaux permettant la divulgation au titre du CLOUD Act peuvent constituer une violation des obligations britanniques en matière de protection des données.

L’Information Commissioner’s Office a publié de nombreuses recommandations sur l’informatique en nuage, les transferts internationaux et la sécurité du traitement, qui fixent des attentes claires concernant l’exposition au CLOUD Act. Les organisations britanniques utilisant des fournisseurs cloud américains doivent s’interroger sur la conformité de leurs choix architecturaux aux attentes de l’ICO ou sur les risques de non-conformité créés.

Recommandations de l’ICO sur l’informatique en nuage

Les recommandations de l’ICO sur l’informatique en nuage mettent en avant plusieurs principes directement liés aux enjeux du CLOUD Act :

Contrôle et responsabilité : Les organisations restent responsables du respect de la protection des données, même lorsqu’elles utilisent des sous-traitants cloud. L’ICO rejette l’argument selon lequel la responsabilité du sous-traitant élimine celle du responsable. Les organisations britanniques utilisant des fournisseurs américains restent tenues de garantir la protection des données, quelle que soit l’architecture technique du fournisseur.

Compréhension de la localisation et de l’accès aux données : L’ICO attend des organisations qu’elles sachent précisément où sont stockées leurs données, qui peut y accéder et selon quels cadres légaux une divulgation pourrait intervenir. Des réponses vagues sur « l’infrastructure mondiale » ou la confiance dans les assurances du fournisseur ne suffisent pas. Les organisations doivent comprendre précisément les implications du CLOUD Act pour leurs données.

Mesures de sécurité appropriées : L’ICO insiste sur le fait que les mesures de sécurité doivent être efficaces face aux menaces identifiées, y compris l’accès d’un gouvernement étranger. Si les analyses d’impact sur les transferts identifient des risques liés à l’accès des autorités américaines, les organisations doivent mettre en œuvre des mesures techniques pour y répondre. Les mesures organisationnelles seules — politiques, formations, contrats — ne suffisent pas à protéger contre la contrainte gouvernementale.

Actions de l’ICO en matière d’application

Bien que l’ICO n’ait pas encore pris de mesures majeures spécifiquement liées à l’exposition au CLOUD Act, le régulateur a montré sa volonté de sanctionner les organisations pour l’absence de mesures techniques adéquates contre l’accès non autorisé.

Les décisions de l’ICO à l’encontre d’organisations victimes de violations de données insistent systématiquement sur le fait que des mesures techniques appropriées — notamment le chiffrement — auraient permis d’éviter ou d’atténuer les préjudices. Cette tendance laisse penser que les organisations n’ayant pas mis en place un chiffrement géré par le client, éliminant l’accès du fournisseur, pourraient être sanctionnées si l’accès d’un gouvernement étranger via le CLOUD Act cause un préjudice à la personne concernée.

L’approche de l’ICO met aussi l’accent sur la responsabilité : les organisations doivent démontrer qu’elles ont évalué les risques et mis en œuvre des mesures appropriées. Les organisations n’ayant pas réalisé d’analyses d’impact sur les transferts concernant le CLOUD Act ou mis en place des mesures complémentaires pour traiter les vulnérabilités identifiées auraient du mal à démontrer leur responsabilité si l’ICO examine leur relation avec un fournisseur cloud américain.

Responsabilité et conformité démontrable

L’article 5(2) du RGPD britannique pose le principe de responsabilité : les responsables doivent pouvoir démontrer leur conformité aux principes de protection des données. Pour les organisations utilisant des fournisseurs cloud américains, cela implique de prouver que leurs choix architecturaux respectent le RGPD britannique malgré l’exposition au CLOUD Act.

Les organisations ne peuvent pas démontrer leur conformité en se contentant de certifications du fournisseur ou d’accords contractuels de traitement des données. L’ICO attend des organisations qu’elles évaluent la réalité pratique de la protection des données, et non les cadres juridiques théoriques ou les promesses contractuelles. Cela suppose d’évaluer :

Si l’autorité du CLOUD Act permet à un gouvernement étranger d’accéder à des données personnelles sans procédure britannique ni notification de la personne concernée. Réponse : Oui.

Si les engagements contractuels des fournisseurs américains empêchent la divulgation au titre du CLOUD Act. Réponse : Non, les obligations légales prévalent sur les contrats.

Si la localisation des centres de données britanniques élimine la portée de la juridiction américaine. Réponse : Non, le CLOUD Act suit le contrôle de la société américaine, indépendamment de la localisation des données.

Quelles mesures techniques rendent les données inintelligibles aux autorités américaines même sous la contrainte du CLOUD Act. Réponse : Des clés de chiffrement gérées par le client, éliminant l’accès du fournisseur.

Les organisations qui réalisent une évaluation honnête de leur responsabilité arrivent généralement à une conclusion inconfortable : l’architecture actuelle ne démontre pas la conformité, et seuls des changements architecturaux majeurs éliminant l’accès du fournisseur à des données intelligibles peuvent satisfaire les attentes de l’ICO.

Comment la juridiction détermine la souveraineté des données

Contrôle juridictionnel : La souveraineté des données dépend in fine de la juridiction légale qui régit l’accès aux données. Les organisations opérant exclusivement sous juridiction britannique ne répondent qu’à la loi britannique, tandis que celles utilisant des fournisseurs américains abandonnent le contrôle juridictionnel à l’autorité légale américaine, quels que soient les accords contractuels.

La juridiction est essentielle car elle détermine quel gouvernement peut exiger la divulgation de données, quels tribunaux peuvent ordonner l’accès et quels cadres légaux s’appliquent en cas de conflit. Les organisations britanniques doivent comprendre que la juridiction du fournisseur d’infrastructure détermine la souveraineté des données bien plus que la localisation géographique des données.

Juridiction britannique : contrôle organisationnel total

Les organisations britanniques exploitant une infrastructure entièrement sous juridiction britannique gardent un contrôle total sur les décisions d’accès aux données. Lorsqu’un tribunal britannique émet un ordre légal, l’organisation peut s’y conformer. Lorsqu’un gouvernement étranger exige l’accès, l’organisation peut refuser en invoquant la loi britannique et l’absence d’autorité du gouvernement étranger sur les entités britanniques.

Une infrastructure sur site, détenue et exploitée par l’organisation britannique, relève exclusivement de la juridiction britannique. Les centres de données opérés par des sociétés britanniques sous la loi britannique offrent une indépendance juridictionnelle. Même un cloud privé britannique hébergé par un fournisseur d’infrastructure britannique conserve la juridiction britannique si le fournisseur opère sans maison mère américaine.

Cette indépendance juridictionnelle permet une véritable souveraineté des données : les organisations britanniques décident qui peut accéder aux données selon les cadres légaux britanniques, la supervision des tribunaux britanniques et les principes de protection des données britanniques. Les demandes de gouvernements étrangers n’ont aucune force légale sur des entités opérant exclusivement sous juridiction britannique.

Juridiction du fournisseur américain : contrôle étranger

Les organisations utilisant des fournisseurs cloud américains abandonnent le contrôle juridictionnel à des sociétés américaines, quel que soit le lieu de stockage des données. AWS relève du droit du Delaware et de l’État de Washington. Microsoft est immatriculée dans l’État de Washington. Google relève du Delaware. Cette base juridique américaine soumet toutes les opérations mondiales à l’autorité légale américaine.

Lorsque les tribunaux américains émettent des ordres à AWS, Microsoft ou Google, ces sociétés américaines doivent s’y conformer, même si les ordres portent sur des données stockées au Royaume-Uni, dans l’UE ou ailleurs. Le CLOUD Act étend explicitement la juridiction américaine aux données stockées dans le monde entier, faisant de la juridiction de la société le critère déterminant, et non la localisation des données.

Les organisations britanniques pensant garder le contrôle sur des données stockées chez des fournisseurs américains méconnaissent la réalité juridictionnelle. Elles ne contrôlent pas les décisions d’accès — ce sont les fournisseurs américains qui contrôlent l’accès, et le gouvernement américain contrôle les fournisseurs via la juridiction américaine. Les accords contractuels entre clients britanniques et fournisseurs américains ne peuvent éliminer cette hiérarchie de juridiction.

Conflits de juridiction et impossibilité juridique

Lorsque la loi britannique impose un résultat et la loi américaine un autre, les organisations prises entre deux juridictions se retrouvent dans une impossibilité juridique. Le RGPD britannique interdit la divulgation non autorisée de données. Le CLOUD Act impose la divulgation. Les deux exigences légales ne peuvent être satisfaites simultanément.

Les fournisseurs américains soutiennent qu’ils sont confrontés à ces conflits, et non les clients britanniques — ce sont eux qui doivent choisir entre la loi américaine et la loi britannique. Mais cette analyse ignore la responsabilité du responsable britannique. Les organisations britanniques qui choisissent des fournisseurs américains créent les conflits de juridiction permettant l’accès d’un gouvernement étranger. Les recommandations de l’ICO suggèrent que le choix d’une architecture créant de tels conflits peut constituer en soi une mesure de protection des données insuffisante.

La seule solution pour éliminer les conflits de juridiction consiste à éliminer toute juridiction étrangère via une architecture souveraine : organisations britanniques utilisant des fournisseurs d’infrastructure opérant exclusivement sous juridiction britannique, ou mettant en œuvre un chiffrement géré par le client, rendant la juridiction du fournisseur sans effet car celui-ci ne peut accéder à des données intelligibles.

Solutions architecturales pour éliminer l’exposition au CLOUD Act

Souveraineté technique : Éliminer l’exposition au CLOUD Act exige des solutions architecturales rendant la portée de la juridiction américaine sans effet : des clés de chiffrement gérées par le client rendant toute divulgation forcée inutile, et un déploiement souverain au Royaume-Uni éliminant toute juridiction du fournisseur américain.

Les organisations britanniques ne peuvent éliminer l’autorité du CLOUD Act via des contrats, des programmes de conformité ou des politiques. La loi s’applique aux sociétés américaines, quels que soient les souhaits ou limitations contractuelles des clients. Seule une architecture technique créant une situation où les demandes du CLOUD Act ne peuvent livrer de données intelligibles, ou où la juridiction américaine ne s’applique pas, permet d’éliminer réellement l’exposition.

Clés de chiffrement gérées par le client : rendre la divulgation forcée inutile

La mesure technique la plus puissante contre l’exposition au CLOUD Act est le chiffrement géré par le client, où l’organisation génère, stocke et gère les clés de chiffrement entièrement en dehors de l’infrastructure du fournisseur cloud. Lorsqu’elle est correctement mise en œuvre, cette architecture garantit que les demandes du CLOUD Act ne livrent au fournisseur que des données chiffrées, inutilisables sans les clés contrôlées par le client.

Principales exigences pour un chiffrement géré par le client efficace :

Génération des clés dans l’infrastructure du client : Les clés doivent être créées dans des modules matériels de sécurité ou des serveurs de gestion des clés contrôlés par le client, jamais dans l’infrastructure du fournisseur. Cela garantit que le fournisseur ne possède jamais les clés, même temporairement.

Stockage des clés exclusivement dans les systèmes du client : Les clés doivent résider uniquement dans le matériel du client, sans jamais être transmises aux systèmes du fournisseur, même temporairement. Le fournisseur ne doit jamais avoir les clés en mémoire, dans les journaux ou dans les sauvegardes.

Chiffrement/déchiffrement sous contrôle du client : Toutes les opérations de chiffrement et de déchiffrement doivent avoir lieu dans les systèmes du client, sans délégation au fournisseur. Les données transmises au fournisseur doivent déjà être chiffrées ; le fournisseur ne manipule jamais de données en clair.

Zéro accès fournisseur : L’architecture doit rendre techniquement impossible pour le fournisseur d’accéder aux clés ou de déchiffrer les données, même avec des ressources illimitées, la coopération des employés ou la contrainte gouvernementale. Il ne s’agit pas de politique ou de procédure — mais d’une garantie mathématique via la conception cryptographique.

Lorsque les autorités américaines adressent des demandes fondées sur le CLOUD Act, les fournisseurs se conforment en divulguant les données chiffrées présentes dans leurs systèmes. Mais sans les clés contrôlées par le client, les données divulguées restent inintelligibles. Le fournisseur ne peut pas être contraint d’utiliser des clés qu’il ne possède pas, ne peut pas déchiffrer des données auxquelles il n’a pas accès, et ne peut pas fournir d’informations intelligibles qui n’existent pas dans ses systèmes.

Cette architecture n’empêche pas les ordres du CLOUD Act — elle les rend sans effet. Les fournisseurs satisfont aux obligations légales américaines en divulguant les données demandées, tandis que les données des clients britanniques restent protégées, car le chiffrement mathématique garantit leur inutilité sans les clés. Le conflit de juridiction disparaît car la loi américaine et la protection des données britannique sont toutes deux respectées.

Déploiement souverain au Royaume-Uni : éliminer la juridiction américaine

Le chiffrement géré par le client répond à la question « que se passe-t-il si le fournisseur est contraint », mais le déploiement souverain au Royaume-Uni répond à la question « le fournisseur peut-il être contraint ». En éliminant totalement l’implication d’un fournisseur américain via une infrastructure 100 % britannique, les organisations éliminent l’exposition au CLOUD Act au niveau de la juridiction.

Les options de déploiement souverain incluent :

Infrastructure sur site : Les organisations exploitant leurs propres centres de données, serveurs et infrastructures gardent un contrôle total sans intervention d’un fournisseur cloud. Aucune juridiction américaine ne s’applique, car aucune entité américaine n’intervient dans la relation. Les demandes du CLOUD Act ne peuvent viser des organisations opérant exclusivement sous juridiction britannique.

Cloud privé britannique : Les fournisseurs d’infrastructure opérant sous structure juridique britannique, sans maison mère américaine, offrent les avantages du cloud tout en maintenant la juridiction britannique. Ces fournisseurs ne répondent qu’à la loi britannique, ne peuvent être atteints par le CLOUD Act et permettent aux clients britanniques de conserver leur indépendance juridictionnelle.

Architecture hybride : Les organisations peuvent adopter une approche hybride, utilisant une infrastructure souveraine britannique pour les données sensibles exposées au CLOUD Act, tout en recourant au cloud public américain pour des charges non sensibles. Cela permet de concilier exigences de souveraineté et bénéfices du cloud selon les besoins.

Géorepérage avancé

Même avec un chiffrement géré par le client et un déploiement souverain au Royaume-Uni, les organisations doivent mettre en place un géorepérage empêchant toute authentification depuis les juridictions américaines. Cela ajoute une barrière supplémentaire, garantissant que même si des autorités américaines obtenaient des identifiants par d’autres moyens, elles ne pourraient accéder aux systèmes depuis les États-Unis.

Le géorepérage bloque les connexions depuis des adresses IP américaines, empêche les transferts de données vers des destinations américaines et garantit que les accès administratifs se font uniquement depuis le Royaume-Uni. Ces contrôles fournissent des preuves d’audit attestant que les données n’ont jamais été consultées depuis la juridiction américaine, renforçant la documentation prouvant l’absence d’exposition au CLOUD Act.

Cas concrets : conflits de juridiction liés au CLOUD Act

Cabinet d’avocats britannique : secret professionnel vs. discovery CLOUD Act

Un cabinet d’avocats londonien représente des entreprises britanniques dans des litiges commerciaux impliquant souvent des sociétés américaines ou des enjeux réglementaires aux États-Unis. Le cabinet utilisait Microsoft 365 et SharePoint pour la gestion documentaire, pensant que les régions britanniques d’Azure offraient une protection suffisante pour les communications avocat-client couvertes par le secret professionnel.

En représentant un client pharmaceutique britannique dans un contentieux contre un concurrent américain, le cabinet stockait des documents stratégiques, analyses techniques et communications confidentielles dans Azure UK South. Le concurrent américain, engagé dans des procédures réglementaires parallèles avec des agences américaines, a déclenché une enquête gouvernementale américaine sur la validité des brevets pour soupçons de fraude.

Les enquêteurs américains, estimant que les documents du cabinet britannique pouvaient contenir des éléments pertinents, ont obtenu un mandat CLOUD Act exigeant de Microsoft la divulgation de documents SharePoint spécifiques du client britannique, assorti d’un ordre de non-divulgation interdisant d’informer le cabinet.

Microsoft s’est retrouvé dans une situation impossible : refuser l’ordre américain et risquer l’outrage (illégal aux États-Unis), ou divulguer des communications avocat-client sans que le cabinet en soit informé (violant les engagements contractuels et potentiellement le secret professionnel britannique). Microsoft a choisi de se conformer à la loi américaine et a transmis les documents demandés.

Le cabinet n’a jamais su que ses documents confidentiels avaient été consultés. La stratégie juridique du client a été révélée à la partie adverse via l’enquête gouvernementale, et non par la procédure judiciaire. La confidentialité et le secret professionnel — fondamentaux au Royaume-Uni — ont été compromis par une architecture permettant l’accès américain à des communications avocat-client stockées sur une infrastructure de fournisseur américain.

Lorsque la situation a été révélée lors d’une procédure judiciaire américaine, le client du cabinet a intenté une action pour négligence, estimant que le cabinet n’avait pas mis en place des mesures suffisantes pour protéger le secret professionnel. La défense du cabinet — s’appuyer sur les engagements contractuels d’Azure et les régions britanniques — a échoué, les juges ayant reconnu que le recours à un fournisseur américain créait une exposition prévisible au CLOUD Act. Le cabinet a alors déployé Kiteworks sur site avec chiffrement géré par le client pour éviter toute compromission future du secret professionnel.

Services financiers britanniques : accès aux données clients pour enquête américaine

Une société de gestion de patrimoine à Manchester sert des clients britanniques et internationaux fortunés, dont des chefs d’entreprise, cadres et professionnels. Elle utilisait Salesforce CRM hébergé sur AWS UK pour la gestion de la relation client, pensant satisfaire aux exigences de la FCA en matière de protection des données.

L’un des clients, binational britannique-iranien, a fait l’objet d’une enquête américaine sur d’éventuelles violations des lois américaines sur le contrôle des exportations via sa société de négoce basée au Royaume-Uni. Les enquêteurs du Trésor américain soupçonnaient (à tort, comme il sera établi plus tard) que le client utilisait ses contacts pour faciliter des transactions interdites.

Les enquêteurs ont obtenu un mandat CLOUD Act exigeant d’AWS la transmission des données Salesforce du client, afin d’identifier ses relations d’affaires, transactions financières et réseaux de contacts. AWS, soumis à un ordre de non-divulgation, a obtempéré sans informer la société de gestion de patrimoine.

La société, ignorante de l’accès aux données de son client, n’a pas pu l’informer, ni renforcer la sécurité, ni contester la légalité du mandat. Ses obligations RGPD d’information des personnes concernées sur les traitements ont été violées dans des circonstances hors de son contrôle — l’ordre de silence américain empêchant la notification pourtant prévue contractuellement.

Lorsque l’enquête a conclu à l’absence de violation, ni le client ni la société n’ont été informés de l’accès aux données. Ce n’est que lors d’un audit de conformité, lorsque le DPO a demandé à AWS s’il y avait eu des divulgations au titre du CLOUD Act, que la société a découvert l’accès — plusieurs mois après les faits.

La société a dû répondre à la FCA sur la résilience opérationnelle, la protection des données et la confiance client. Bien qu’aucune sanction n’ait été prononcée, elle a reconnu que l’architecture fournisseur américaine créait des risques inacceptables pour la confidentialité des clients fortunés. Elle a alors déployé Kiteworks avec un déploiement souverain britannique et un chiffrement géré par le client, éliminant tout risque futur lié au CLOUD Act.

Santé britannique : données de recherche utilisées à des fins de renseignement

Un institut de recherche médicale britannique collabore avec des partenaires internationaux sur des études de traitement du cancer. Les recherches impliquent des données patients, résultats thérapeutiques et analyses moléculaires stockées dans Microsoft Teams et Azure pour la collaboration européenne.

L’un des sujets de recherche — à l’insu des chercheurs britanniques — était un ressortissant étranger d’intérêt pour les agences américaines enquêtant sur des liens terroristes potentiels. Les agences américaines ont obtenu un ordre FISA 702 exigeant de Microsoft la transmission des communications et données relatives à l’individu, ce qui a entraîné la divulgation de données médicales britanniques sur le traitement du cancer du sujet.

L’ordre FISA comportait une clause de non-divulgation interdisant à Microsoft d’informer l’institut britannique. Les données médicales du sujet, protégées par l’article 9 du RGPD britannique (catégories particulières) et soumises à des standards élevés de protection, sont devenues accessibles au renseignement américain sans procédure britannique, ni information de l’institut ou du patient.

Les comités d’éthique britanniques, après avoir appris la divulgation, ont estimé que l’utilisation d’une infrastructure cloud américaine créait des risques inacceptables pour la vie privée des sujets de recherche. Si les agences de renseignement pouvaient obtenir des données médicales via le CLOUD Act ou le FISA sans consentement ni procédure britannique, les institutions pouvaient-elles garantir la confidentialité aux sujets de recherche ?

Plusieurs instituts européens se sont retirés des collaborations menées par le Royaume-Uni, invoquant l’impossibilité de satisfaire aux exigences éthiques européennes lorsque les partenaires britanniques utilisaient une infrastructure américaine permettant l’accès étranger aux données de santé de citoyens européens. L’institut britannique a alors déployé Kiteworks avec des clés de chiffrement gérées par le client et un déploiement souverain britannique, permettant la reprise des collaborations avec des garanties crédibles de confidentialité conformes aux comités d’éthique européens.

Prestataire gouvernemental britannique : accès à des informations officielles via le CLOUD Act

Un prestataire de défense britannique fournit des services technologiques au ministère de la Défense, gérant des informations Official-Sensitive sur les capacités, plans d’achats et besoins opérationnels britanniques. Le prestataire utilisait AWS GovCloud UK, pensant que les services cloud dédiés au secteur public offraient une protection suffisante pour les informations officielles.

Une enquête américaine sur une suspicion de fraude d’un prestataire de défense américain a cherché à obtenir des informations sur les achats britanniques pour établir un contexte de marché. Les enquêteurs américains ont obtenu un mandat CLOUD Act exigeant d’AWS la divulgation de documents du prestataire britannique stockés dans GovCloud UK, concernant les processus d’achats du MoD.

AWS s’est retrouvé face à un dilemme : le contrat du prestataire britannique imposait la protection d’informations Official-Sensitive, avec des restrictions interdisant toute divulgation à des gouvernements étrangers. Mais l’ordre américain imposait la divulgation. L’équipe juridique américaine d’AWS a conclu que les obligations du CLOUD Act prévalaient sur les engagements contractuels du prestataire britannique.

Lorsque la divulgation a été révélée lors d’un contentieux américain, les auditeurs sécurité du ministère de la Défense britannique ont remis en question la capacité des prestataires utilisant une infrastructure cloud américaine à satisfaire aux exigences de sécurité pour les informations Official-Sensitive. Si les autorités américaines pouvaient accéder à des informations gouvernementales britanniques via le CLOUD Act, le recours à de tels fournisseurs constituait-il une mesure de sécurité insuffisante ?

Le prestataire a alors déployé Kiteworks dans un environnement isolé répondant aux standards de sécurité gouvernementaux britanniques, avec des clés de chiffrement gérées par le client et une isolation physique éliminant toute exposition à une juridiction étrangère. Cette architecture a permis de poursuivre les contrats avec le MoD tout en satisfaisant aux exigences de sécurité renforcées tenant compte des risques liés au CLOUD Act.

Comparatif : Kiteworks vs. fournisseurs cloud hyperscale américains

Conclusion : la juridiction détermine la souveraineté des données

Le CLOUD Act a profondément modifié le paysage pour les organisations britanniques évaluant leurs choix d’infrastructure cloud. En imposant l’autorité extraterritoriale américaine sur toutes les opérations mondiales des entreprises américaines, la loi fait du contrôle juridictionnel — et non de la localisation géographique des données — le facteur déterminant pour la protection des données. Les organisations britanniques utilisant des fournisseurs cloud américains abandonnent leur souveraineté juridictionnelle à l’autorité américaine, quels que soient les centres de données britanniques, les engagements contractuels ou les programmes de conformité RGPD.

Les conflits de juridiction entre les obligations du CLOUD Act et les exigences britanniques de protection des données créent des situations de conformité impossibles. Le RGPD britannique interdit l’accès étranger non autorisé, impose des mesures de sécurité appropriées et établit la responsabilité du responsable de traitement. Les demandes du CLOUD Act permettent précisément l’accès étranger interdit par le RGPD, supplantent les mesures de sécurité via la contrainte légale et transfèrent le contrôle aux fournisseurs américains soumis à la loi américaine. Les tentatives contractuelles de résoudre ces conflits échouent, car les accords privés ne peuvent prévaloir sur les obligations légales publiques.

L’Information Commissioner’s Office attend des organisations britanniques qu’elles évaluent la réalité pratique de la protection des données et mettent en œuvre des mesures techniques efficaces contre les risques identifiés, y compris l’accès d’un gouvernement étranger. Les organisations n’ayant pas évalué les implications du CLOUD Act, mis en place un chiffrement géré par le client ou envisagé des alternatives souveraines auront du mal à démontrer leur responsabilité pour des choix architecturaux créant des conflits de juridiction permettant l’accès étranger à des données personnelles.

Pour les sociétés de services financiers britanniques gérant la confidentialité client, les cabinets juridiques protégeant le secret professionnel, les prestataires de santé traitant des données patients et les sous-traitants gouvernementaux protégeant des informations officielles, l’exposition au CLOUD Act crée des risques de continuité d’activité allant au-delà de la conformité. La confiance des clients, le positionnement concurrentiel, les relations réglementaires et les obligations contractuelles de sécurité dépendent de la capacité à prouver que les données restent sous contrôle britannique, et non soumises à l’accès étranger via une infrastructure de fournisseur américain.

Des solutions architecturales existent pour éliminer l’exposition au CLOUD Act : des clés de chiffrement gérées par le client, garantissant mathématiquement que toute divulgation forcée ne livre que des données inintelligibles, et un déploiement souverain britannique éliminant toute juridiction américaine via des fournisseurs d’infrastructure opérant exclusivement sous droit britannique. Ces solutions n’empêchent pas les autorités américaines d’émettre des ordres — elles les rendent sans effet, car aucune entité américaine ne détient les données ou les clés permettant de répondre aux exigences américaines.

La juridiction est essentielle car elle détermine qui contrôle in fine l’accès aux données en cas de conflit légal. Les organisations britanniques recherchant une véritable souveraineté des données doivent reconnaître que la juridiction du fournisseur d’infrastructure prime sur la géographie des données, et que seuls des choix architecturaux éliminant toute portée de la juridiction américaine permettent de satisfaire aux obligations britanniques de protection des données tout en rendant toute demande étrangère impossible, tant mathématiquement que juridiquement. Les données stockées chez des fournisseurs américains resteront toujours exposées au CLOUD Act — la souveraineté des données exige de choisir la juridiction britannique via une architecture rendant l’autorité américaine inapplicable.

Comment Kiteworks élimine l’exposition au CLOUD Act pour les organisations britanniques

Kiteworks garantit l’immunité contre le CLOUD Act grâce à une architecture opérant entièrement hors de la juridiction américaine. Déployé sur site dans des locaux britanniques ou via des fournisseurs cloud souverains britanniques, Kiteworks fonctionne comme une infrastructure britannique soumise exclusivement à la loi du Royaume-Uni — les demandes du CLOUD Act ne peuvent viser des entités juridiques britanniques sans contrôle américain. Des clés de chiffrement détenues par le client, sans accès du fournisseur, offrent une protection mathématique supplémentaire : même en cas de contrainte, les données divulguées resteraient inintelligibles sans les clés contrôlées par le client.

Des algorithmes de chiffrement validés FIPS 140-3 Niveau 1, combinés à S/MIME, OpenPGP et TLS 1.3, protègent les données tout au long de leur cycle de vie via une architecture où Kiteworks ne détient jamais les données en clair ni les clés. Des options de déploiement flexibles
— sur site dans les centres de données de l’organisation, cloud privé britannique ou environnements isolés — éliminent tout mélange multi-locataire tout en garantissant une exposition nulle à la juridiction américaine, quel que soit le modèle de déploiement. Un géorepérage avancé bloque toute authentification depuis des adresses IP américaines, tandis que des contrôles d’accès juridictionnels garantissent que seuls des personnels basés au Royaume-Uni accèdent aux systèmes sensibles.

Le Réseau de données privé unifié étend l’immunité au CLOUD Act à tous les canaux de communication de contenu : partage de fichiers, SFTP, MFT, e-mail et formulaires web fonctionnent via une architecture souveraine britannique où l’autorité américaine ne peut imposer la divulgation. Un tableau de bord RSSI offre une visibilité sur toute l’activité fichier avec intégration syslog dans les solutions SIEM, tandis que les rapports de conformité démontrent la conformité RGPD et la satisfaction des recommandations ICO via une architecture empêchant tout accès étranger non autorisé.

Kiteworks permet aux organisations britanniques de satisfaire aux exigences de confidentialité des services financiers, aux standards de sécurité des sous-traitants gouvernementaux grâce à une indépendance juridictionnelle que les architectures cloud américaines ne peuvent offrir. Lorsque les autorités américaines émettent des demandes CLOUD Act, elles ne visent que les fournisseurs américains — pas les organisations britanniques exploitant Kiteworks sous juridiction britannique, où l’autorité américaine n’a aucune force.

Pour en savoir plus sur la protection des données britanniques face au CLOUD Act, réservez une démo personnalisée dès aujourd’hui.

Ressources complémentaires

• Article de blog  
  Souveraineté des données : bonne pratique ou exigence réglementaire ?
• eBook  
  Souveraineté des données et RGPD
• Article de blog  
  Évitez ces pièges de la souveraineté des données
• Article de blog  
  Bonnes pratiques de souveraineté des données
• Article de blog  
  Souveraineté des données et RGPD [Comprendre la sécurité des données]