Je doute que cela fasse réfléchir ou faire revenir sur leurs positions ceux qui prônent le stockage de nos données dont de santé, sur des cloud US même en Europe, basées sur les solutions logicielles de Microsoft ou Google
Certains sont des traitres à la France, ancien Président ou pas par ex
Ce sont les mêmes qui ont viré nos infrastructures Telecoms pour du CISCO, vendus nos technologies aux US etc
Le marché de la santé pour l'Europe est estimé à 7 milliards d'euros, et nombre veulent se goinfrer au passage, quitte à mentir au peuple
On s'en doutait (Patriot act, accord de la NSA sur tous les logiciels et matériels qui quittent le territoire US etc ) , mais on a encore là une étude qui enfonce le clou (mais qui restera dans un tiroir il ne faut pas se leurrer)
Un point que j'ajouterai à cette étude
Il est dit :
Il manque un détail important qui contrebalance l'information qui minimise le rôle du pauvre citoyen US face à la demande de renseignements de son pays" En théorie, le Cloud Act ne peut pas contraindre un citoyen américain à fournir des données d'une entreprise européenne. En pratique pourtant, c'est le cas. Pourquoi ?"
Le travail/L'œuvre d'une Nation. Le centre de l'Intelligence. Tel est le slogan de la CIA. (Les USA ont 17 entités qui font partie de la communauté du renseignement, à laquelle on y ajoute la CIA)
Cela veut tout dire.
Dans la culture anglo saxonne( Et pas qu'aux USA, mais en UK, et autres pays comme la Nouvelle Zélande, l'Australie, ...) le renseignement est "une donnée normale de la réalité sociale et un outil stratégique au service de l’État nation". C'est une seconde nature. Pour résumer : Chaque citoyen, touriste, journaliste, en France est un espion en puissance et trouve "normal" de rapporter les infos qui peuvent intéresser son pays
Cela se fait également pour d'autres Pays comme la Chine, la Russie, mais c'est sous la contrainte, pour Israel aussi mais là aussi pour d'autres raisons surtout concernant les bi nationaux
En France c'est le contraire :-) (mais c'est d'origine historique, culturelle aussi etc)
Source : https://twitter.com/gchampeau/with_repl ... numérama)
(copier coller du fil de discussion)
______________
"Le ministère de la justice des Pays-Bas a publié une étude de 15 pages sur la capacité des USA à mettre la main sur des données détenues en Europe, par le Cloud Act. Avec en conclusion une petite bombe.
Téléchargement du mémo
https://www.ncsc.nl/documenten/publicat ... d-act-memo
6 questions étaient posées au cabinet Greenberg Traurig LLP.
1. Est-ce qu'une entité européenne peut être soumise au Cloud Act sans être localisée physiquement aux USA ;
2. Quid si elle vend ses services aux USA ?
3. Quelles autres lois sont intéressantes à connaître ?
4. Est-ce qu'un salarié de nationalité américaine d'une entité européenne peut se voir ordonner de livrer des données sur la base du Cloud Act ?
5. Que se passe-t-il si une boîte UE ignore une ordonnance judiciaire américaine basée sur le Cloud Act
6. Est-ce que les données accessibles via le Cloud Act sont uniquement celles rattachées à des Américains ?
Je laisserai ceux que ça intéresse lire le détail des réponses à toutes ces questions, mais en résumé, il est affirmé que oui, une entreprise européenne peut être soumise au Cloud Act si elle a des activités aux USA, même à distance, dès lors qu'elle a des données "en sa possession, sous sa garde ou sous son contrôle".
L'étude cite une jurisprudence qui démontre que les USA peuvent affirmer leur juridiction dès qu'il y a des ventes.
Dans une affaire de 2017 (non liée au Cloud Act), la justice US a jugé qu'elle était compétente pour juger une boîte allemande, parce que son site était en anglais, accessible par des Américains, et qu'elle avait eu 156 clients aux USA en 3 ans.
Toutefois les entreprises UE peuvent s'opposer au transfert de données vers les USA en vertu du Cloud Act, sicela viole des lois européennes, dont le RGPD.
Actuellement c'est le cas et aucun accord n'a encore été conclu pour mettre fin au conflit de lois. C'est en cours de négociation
Sur la question des collaborateurs américains d'une entité européenne, la réponse est très intéressante.
En théorie, le Cloud Act ne peut pas contraindre un citoyen américain à fournir des données d'une entreprise européenne. En pratique pourtant, c'est le cas. Pourquoi ?
Parce que les individus américains qui travaillent pour une entreprise européenne peuvent recevoir une injonction de fournir des données sans avoir le droit de le dire à leur employeur / donneur d'ordre, et que la plupart du temps, les individus en question n'ont ni l'envie ni le courage ni l'argent pour s'opposer à la justice de leur propre pays, qui peut donc être tentée de faire des abus de procédures pour faire avancer une enquête.
Ca pose donc la question de la véritable immunité au Cloud Act des projets de "cloud de confiance" (notez les guillemets) à base de logiciels américains, qui impliquent des collaborateurs américains ayant potentiellement l'accès à des données, par ex. pour du support technique
L'étude prévient que le chiffrement des données avec un système à double clés peut être une aide à l'immunité au Cloud Act, en argumentant que le fournisseur ne peut pas fournir des données auxquelles il n'accède pas en clair.
Mais est-ce qu'il peut être contraint de fournir les données chiffrées néanmoins avec l'une des deux clés, sachant que la NSA dispose de capacités de déchiffrement ? (et comme l'histoire l'a montré, contrôle plus ou moins directement les algos de chiffrement utilisés). L'étude ne dit rien sur cela.
Dernier point, lâché en toute fin de conclusion, l'étude dit que l'utilisation de technologies américaines, logicielles ou hardware, peut rendre une offre de cloud soumise au Cloud Act
C'est une grosse pierre dans le jardin des offres de "cloud de confiance" basées sur les solutions logicielles de Microsoft ou Google. Quant au hardware, cette remarque invite à reposer la question stratégique de l'industrie hardware européenne dans les télécoms"