RGPD VS Cloud Act
L’article 48 du RGPD(1) nous dit : « Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnelne peut être reconnueou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international... »
Mais le Cloud Act(2) « autorise » le gouvernement des États-Unis à accéder à l’ensemble des données personnelles de n’importe quel citoyen, peu importe sa nationalité, du moment que les données sont stockées chez des hébergeurs américains, peu importe la position géographique du datacenter, et ce sans avoir à saisir un tribunal et bien évidemment pour couronner le tout, sans avoir à notifier les personnes concernées.
Cette situation extrêmement inquiétante a été dénoncée en vain à plusieurs reprises par l’EFF(3) et d’autres organismes de protection droits de l’homme.
Alors, pour faire simple, je suis européen, j’ai des données à caractère personnel stockées chez un hébergeur américain, malgré le RGPD, le gouvernement américain peut accéder à mes données sans que je sois notifié grâce au Cloud Act.
Cette loi a évidemment un impact sur la confidentialité de nos données de santé.
En effet, une entreprise américaine disposant d’un datacenter sur le territoire français par exemple peut être agréé ou désormais certifié HDS.
Donc mon hébergeur HDS stockant les données des patients (en majorité français) de mon établissement, de plus sur le sol français, censé respecter le RGPD, est également dans l’obligation de donner accès aux données que je lui ai confié, au gouvernement américain si celui-ci lui demande, et ce avant même que le RGPD entre en application.
On constate que le Cloud Act est une véritable riposte au RGPD.
Alors RGDP vs Cloud Act, qui sera le plus fort selon vous ?
Si mon HDS américain est saisi par son gouvernement va-t-il prioriser le RGPD ou le Cloud Act ?
Pour ma part, j’ai bien une petite idée...
La question de la souveraineté n’a jamais été aussi présente dans le choix de ses hébergeurs.
(1) http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX%3A32016R0679&from=FR
https://www.eff.org/deeplinks/2018/03/responsibility-deflected-cloud-act-passes
Avez-vous apprécié ce contenu ?
A lire également.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.
En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...
Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...
« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...
