Le Cloud Act, voté en procédure accélérée quelques mois avant le RGPD Européen, octroie au gouvernement américain l'accès à l'ensemble des données personnelles de n'importe quel citoyen, peu importe sa nationalité, du moment que les données sont stockées chez des hébergeurs américains et peu importe la position géographique du data center, et ce sans avoir à saisir un tribunal et, bien évidemment, sans avoir à le notifier aux personnes concernées.

Cette loi permet donc aux Etats-Unis de contraindre les firmes américaines à fournir des données stockées sur leurs serveurs (Google, Facebook, Twitter, Amazon, WhatsApp, etc.). Une disposition dénoncée par plusieurs associations de défense des droits de l'homme et des consommateurs.

Deux articles intéressants à consulter sur InformatiqueNews et Les Echos.

Pourquoi n’est-il pas recommandé de choisir un service américain basé aux USA

Les services basés aux États-Unis ne sont pas recommandés en raison des programmes de surveillance des états, de l’utilisation des National Security Letters (NSLs) accompagnées de Gag Orders (Ordonnances « baillon »), qui interdisent aux destinataires de parler des demandes de renseignements et des programmes de surveillance du pays.

Cette combinaison permet au gouvernement de secrètement obliger les entreprises à accorder l’accès complet aux données des clients et à transformer le service en un outil de surveillance de masse.

Un exemple est Lavabit – un service de courriel sécurisé créé par Ladar Levison et abandonné. Le FBI a demandé les enregistrements de Snowden après avoir constaté qu’il a utilisé ce service. Comme Lavabit ne conservait pas les journaux de connexions et que le contenu des courriels était stocké crypté, le FBI a présenté une citation à comparaître assortie d’un Gag Order (un bâillon) pour obtenir les clés SSL du service. L’obtention des clés SSL leur a permis d’accéder aux communications (contenu non chiffré et métadonnées) en temps réel pour l’ensemble des clients de Lavabit, et non pas uniquement pour Snowden. En fin de compte, Levison a remis les clés SSL et arrêté le service en même temps. Le gouvernement américain a alors menacé Levison d’une arrestation, affirmant que la fermeture du service constituait une violation de l’ordonnance du Tribunal.

Source