Publicité en cours de chargement...

Publicité en cours de chargement...

RGPD VS Cloud Act

23 mai 2018 - 13:18,
Tribune - Charles Blanc-Rolin
À deux jours de l’entrée en vigueur du RGPD programmée depuis deux ans, on peut s’interroger sur la position des États-Unis qui ont promulgué contre tout attente le 23 mars dernier, soit deux mois avant l’entrée en vigueur du règlement européen une loi qui pourrait bien le « remettre en question ». Sacré pied de nez, non ?

L’article 48 du RGPD(1) nous dit : « Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnelne peut être reconnueou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international... »

Mais le Cloud Act(2) « autorise » le gouvernement des États-Unis à accéder à l’ensemble des données personnelles de n’importe quel citoyen, peu importe sa nationalité, du moment que les données sont stockées chez des hébergeurs américainspeu importe la position géographique du datacenter, et ce sans avoir à saisir un tribunal et bien évidemment pour couronner le tout, sans avoir à notifier les personnes concernées.

Cette situation extrêmement inquiétante a été dénoncée en vain à plusieurs reprises par l’EFF(3) et d’autres organismes de protection droits de l’homme.

Alors, pour faire simple, je suis européen, j’ai des données à caractère personnel stockées chez un hébergeur américain, malgré le RGPD, le gouvernement américain peut accéder à mes données sans que je sois notifié grâce au Cloud Act. 

Cette loi a évidemment un impact sur la confidentialité de nos données de santé.

En effet, une entreprise américaine disposant d’un datacenter sur le territoire français par exemple peut être agréé ou désormais certifié HDS.

Donc mon hébergeur HDS stockant les données des patients (en majorité français) de mon établissement, de plus sur le sol français, censé respecter le RGPD, est également dans l’obligation de donner accès aux données que je lui ai confié, au gouvernement américain si celui-ci lui demande, et ce avant même que le RGPD entre en application.

On constate que le Cloud Act est une véritable riposte au RGPD.
Alors RGDP vs Cloud Act, qui sera le plus fort selon vous ?

Si mon HDS américain est saisi par son gouvernement va-t-il prioriser le RGPD ou le Cloud Act ?
Pour ma part, j’ai bien une petite idée...

La question de la souveraineté n’a jamais été aussi présente dans le choix de ses hébergeurs.


(1) http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX%3A32016R0679&from=FR

(2) https://www.hatch.senate.gov/public/_cache/files/6ba62ebd-52ca-4cf8-9bd0-818a953448f7/ALB18102%20(1).pdf

(3) https://www.eff.org/deeplinks/2018/02/cloud-act-dangerous-expansion-police-snooping-cross-border-data

https://www.eff.org/deeplinks/2018/03/responsibility-deflected-cloud-act-passes

https://act.eff.org/action/stop-the-cloud-act

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,

Tribune

-
Cédric Cartau

Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

PSSI et Care D2, des questions pas si simples

26 août 2025 - 08:49,

Tribune

-
Cédric Cartau

Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.