Avis d’expert : le Patriot Act, risque majeur pour la confidentialité des données dans le cloud ?

2) Plus précisément, la section 215 de l’USA PATRIOT ACT et les sections 504, 505 et 358 autorisent des perquisitions soit sous le contrôle d’un Juge soit hors contrôle d’un Juge. Ces actions peuvent demeurer secrètes pendant une durée indéterminée.

3) Il en résulte que la personne concernée ignore les données ayant été consultées ou saisies du fait des perquisitions, ainsi que l’usage qui en est fait ou qui en sera fait; elle ignore également les modalités de conservation, ainsi que les services de renseignement ou de police qui en ont été rendus destinataires.

4) L’Union Européenne a édicté des textes protecteurs des données personnelles. La Directive 95/46 CE du Parlement Européen et du Conseil du 24 octobre 1995 rappelle les principes selon lesquels les systèmes de traitement de données sont au service de l’Homme et qu’ils doivent – quelle que soit la nationalité ou la résidence des personnes physiques – respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée.

5) Le dispositif particulier dit de « Safe Harbour » ou « Sphère de sécurité » a été mis en place concernant les garanties apportées en cas de flux de données entre des entreprises américaines et des entreprises européennes.

6) Le système repose sur l’autocertification des entreprises américaines qui déclarent adhérer à une série de principes de protection de données personnelles et de protection de la vie privée.

7) Ces principes basés sur ceux de la Directive 95/46 du 26 octobre 1995 ont été négociés entre les autorités américaines et la Commission européenne; ils sont publiés par le Ministère du Commerce des États-Unis.

8) La Commission européenne a adopté le 26 juillet 2000 une décision d’adéquation qui reconnaît que les principes de « Safe Harbour » assurent une protection adéquate pour les besoins des transferts de données à caractère personnel depuis l’Union européenne.

9) Cependant, la décision d’adéquation de la Commission européenne en date du 26 juillet 2000 est antérieure à la promulgation de la législation résultant de l’USA Patriot Act du 26 octobre 2001.

10) Le secret entourant les activités des services de renseignement relevant du Gouvernement des États-Unis empêche toute vérification du respect des principes de la Directive notamment sur les activités de recueil, de traitement, de conservation des données et empêche tout contrôle des intéressés sur ces activités.

11) Il en résulte l’ineffectivité du « Safe Harbour » pour garantir la confidentialité des données hébergées auprès de sociétés de droit américain ou de leurs filiales, ou dans des serveurs situés aux États-Unis, notamment sur des plateformes cloud.

12) Dans le but de pallier l’ineffectivité de « Safe Harbour », l’Union européenne a proposé que, dans le cours du 1er semestre 2012, un règlement intitulé « General Data Protection Regulation » ainsi qu’une Directive intitulée « Police and Criminal Justice Data Production Directive » soient publiés.