Le USA Patriot Act a un impact sur les entreprises américaines en facilitant l'accès du gouvernement à certaines informations et technologies de surveillance dans le cadre de la lutte contre le terrorisme et les activités criminelles. Cela signifie que les entreprises américaines sont obligées de divulguer des informations ou de fournir des technologies de surveillance lorsque les autorités gouvernementales le demandent. Cela a des répercussions sur la vie privée et la protection des données des clients et peut entraîner des conséquences juridiques ou financières pour les entreprises.
Il existe des lois similaires dans de nombreux pays, par exemple au Royaume-Uni : The Regulation of Investigatory Powers Act (RIPA), en France : The French Intelligence Law, en Allemagne : BND-Gesetz (BNDG), en Russie : The Federal Law on Operational-Investigative Activity et ainsi de suite.
Un prestataire de services financiers suisse doit s'assurer que le fournisseur de services qu'il utilise et qui conserve les données des clients répond aux exigences locales de la loi sur les banques (LB) et du droit de la surveillance de la FINMA. Pour s'assurer que les données des clients sont suffisamment protégées, le prestataire doit pouvoir démontrer qu'il :
- Dispose de la sécurité de l'information nécessaire, y compris des mesures visant à empêcher la perte, le vol et la manipulation des données.
- respecte les lois en vigueur sur la protection des données, y compris la loi fédérale suisse sur la protection des données (LPD) et le règlement général européen sur la protection des données (RGPD).
- Dispose de procédures pour garantir l'intégrité et la disponibilité des données électroniques des clients.
Une déclaration de confidentialité n'offre aucune protection contre les autorités gouvernementales, il s'agit uniquement d'un contrat juridique entre l'entreprise et ses clients, qui définit les obligations de l'entreprise en matière de traitement des données des clients. Une déclaration de confidentialité ne garantit pas qu'une entreprise protège les données de ses clients contre l'accès par les autorités gouvernementales.
Voici quelques cas connus qui ont été rendus publics dans ce contexte.
- Microsoft Azure - Par le passé, Microsoft s'est battue contre des demandes gouvernementales visant à fournir des données dans le cadre du Patriot Act. En 2013, Microsoft s'est battue avec succès contre une demande du gouvernement visant à fournir des données de messagerie depuis un centre de données en Irlande.
- Google Cloud - Par le passé, Google s'est battu contre des requêtes gouvernementales visant à fournir des données dans le cadre du Patriot Act. Un exemple connu est une affaire de 2013 dans laquelle Google s'est battu contre une demande du gouvernement pour fournir des données sur une requête de recherche internationale.
- Dropbox - Par le passé, Dropbox a lutté contre des demandes gouvernementales visant à fournir des données dans le cadre du Patriot Act. Un exemple connu est une affaire de 2014 dans laquelle Dropbox s'est battue contre une demande du gouvernement pour fournir des données sur un client.
- Apple - Litige de cryptage entre le FBI et Apple. En 2015 et 2016, Apple Inc. a reçu et rejeté ou contesté au moins 11 ordonnances de tribunaux de district des États-Unis en vertu du All Writs Act.
Il est important de noter qu'il s'agit uniquement de cas qui ont été rendus publics parce que les entreprises se sont opposées aux demandes du gouvernement. En revanche, lorsque les entreprises coopèrent avec les autorités gouvernementales, ces informations ne sont généralement pas rendues publiques.
Lorsqu'une autorité gouvernementale demande des données à une entreprise, il peut arriver que celle-ci soit obligée de les fournir, même si elles proviennent d'un client d'un autre pays, comme la Suisse par exemple.
En résumé, le recours à des fournisseurs étrangers de cloud et de stockage de données par des prestataires de services financiers suisses comporte des risques en termes de protection des données. Le USA Patriot Act et les lois similaires donnent aux autorités gouvernementales de larges pouvoirs pour accéder aux données des entreprises étrangères, ce qui remet en question les déclarations de protection des données de ces fournisseurs. Il est donc important pour les prestataires de services financiers suisses de minimiser les risques en termes de protection des données et de recourir à des fournisseurs suisses. Une solution suisse offre l'avantage d'une protection des données plus élevée et d'une meilleure sécurité juridique dans le traitement des données sensibles.