Clarifying Lawful Overseas Use of Data (CLOUD) Act

Présentation

Le 23 mars 2018, le Congrès des États-Unis a adopté le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), qui met à jour le cadre juridique des demandes judiciaires de données détenues par les fournisseurs de services de communication. Clarifiant la législation antérieure, le CLOUD Act prévoit un mécanisme limité permettant aux services de maintien de l'ordre des États-Unis de demander des données stockées aux États-Unis et à l'étranger. Chose importante, le CLOUD Act crée également des garanties supplémentaires pour le contenu cloud, notamment en reconnaissant le droit des fournisseurs à contester les demandes qui entrent en conflit avec les lois ou les intérêts d'un autre pays et en exigeant que les gouvernements respectent le droit local.

  • Le CLOUD Act est une mise à jour de la législation américaine qui clarifie la portée géographique des demandes d’application de la loi des États-Unis et offre aux fournisseurs de services un nouveau moyen de contester les demandes contraires aux lois ou aux intérêts nationaux d’un autre pays. Là où nous devons agir pour protéger les clients, nous continuerons à le faire. Nous avons toujours contesté les demandes d'informations des clients émanant du gouvernement et que nous estimons excessives ou inappropriées.

  • Non, le CLOUD Act ne modifie pas le processus ni les exigences applicables aux demandes de données relatives à l'application de la loi dans le cadre d'une enquête criminelle. Le CLOUD Act ne donne pas aux forces de l’ordre des États-Unis un accès illimité ou sans entrave aux données. Les forces de l’ordre des États-Unis ne peuvent rechercher le contenu de fournisseurs de services que dans deux circonstances : (1) avec le consentement du client ou (2) avec un mandat délivré par un tribunal américain conformément aux procédures pénales en vigueur aux États-Unis. Pour qu'un mandat soit émis, un tribunal américain doit être convaincu qu'il existe des motifs probables de croire qu'un crime a été commis et que les preuves demandées en vertu du mandat sont directement liées à ce crime. Le CLOUD Act crée également des garanties supplémentaires pour le contenu cloud, reconnaissant le droit des fournisseurs de services cloud de contester les demandes contraires aux lois ou aux intérêts nationaux d’un autre pays.

  • Le CLOUD Act n’a aucune incidence sur les services AWS ni sur la façon dont nous gérons notre entreprise. Par le passé, nous avons reçu très peu de demandes des forces de l’ordre des États-Unis et nous sommes transparents quant au nombre de demandes que nous recevons. Nous sommes toujours vigilants en ce qui concerne la confidentialité et la sécurité des clients et nous nous engageons à fournir à nos clients des protections de pointe en matière de confidentialité et de sécurité lors de l'utilisation de nos produits et services. Lorsque nous recevons une demande de contenu émanant des forces de l'ordre, nous l'examinons avec soin pour en authentifier l'exactitude et pour vérifier qu'elle est conforme à la loi applicable. Là où nous devons agir pour protéger les clients, nous continuerons à le faire. Nous avons toujours contesté les demandes d'informations des clients émanant du gouvernement et que nous estimons excessives ou inappropriées. Si nous sommes tenus de divulguer le contenu du client, nous continuerons d'avertir les clients avant la divulgation afin de leur donner la possibilité de demander la protection de la divulgation, sauf si la loi l'interdit.

  • Le CLOUD Act n’a aucun impact sur la façon dont les clients et partenaires peuvent utiliser les services AWS.

  • Nous pensons que les clients doivent garder le contrôle de leurs propres données et nous fournissons un certain nombre de services de chiffrement avancés et de gestion de clés que les clients peuvent utiliser pour protéger leur contenu. Les clients peuvent également choisir parmi un certain nombre de solutions de chiffrement tierces prises en charge lorsqu'ils utilisent les services AWS. Le contenu chiffré est inutile sans les clés de déchiffrement applicables.

  • Non. Le CLOUD Act s’applique à tous les fournisseurs de services de communications électroniques ou de calcul à distance opérant aux États-Unis (tels que les fournisseurs de services d’email et cloud), que ces fournisseurs soient établis aux États-Unis ou dans un autre pays.

  • Non, le CLOUD Act ne modifie pas les lois locales d'un autre pays. En fait, le CLOUD Act reconnaît aux prestataires de services le droit de contester les demandes contraires aux lois ou aux intérêts nationaux d'un autre pays.

Ressources CLOUD Act

AWS et le CLOUD Act
Bases du chiffrement
Bonnes pratiques KMS
Livre blanc AWS Key Management Service Cryptographic Details
Mises à jour du chiffrement AWS
Quick Start conformité AWS
Demandes d'informations adressées à Amazon
« Don't Get Spooked by the CLOUD Act » par IDC