Alors que le groupe américain Diligent veut s’emparer de Brainloop, spécialiste allemand de la protection des données, les entreprises européennes s’inquiètent de la récente entrée en vigueur du Cloud Act, qui renforce l’extraterritorialité du droit américain sur les données sensibles.

Le 10 juillet, l’Américain Diligent, fournisseur de logiciels pour conseils d’administration et entreprises, a annoncé sa volonté de racheter Brainloop, fleuron allemand positionné sur le même secteur. Loin d’être une OPA comme les autres, la tentative d’acquisition suscite une véritable controverse en Allemagne compte tenu de la nature des activités de la société basée à Munich. Protégeant les données de près de 70 % du DAX allemand comme Adidas, Allianz, Bayer, BMW, ainsi que de plusieurs poids lourds français (Vallourec, Suez, etc.), Brainloop fait de son label « IT Security Made in Germany » un argument commercial pour garantir la sécurité des informations confidentielles dont elle a la charge. « Brainloop est le seul fournisseur de solutions à stocker les données dans des centres de data locaux en Allemagne, Autriche, Suisse et d’autres pays européens », se targue l’entreprise. Pourtant, si Diligent venait à la racheter, ses clients encourraient un risque réel pour le secret de leurs affaires, notamment en matière de fusion/acquisition, en pleine période de guerre commerciale américano-européenne et de crise diplomatique entre les États-Unis et l’Allemagne. Et pour cause : malgré l’entrée en vigueur le 25 mai du Règlement Général pour la Protection des Données (RGPD) en Europe, cette OPA entraînerait automatiquement l’application du droit américain sur la société allemande via le redouté Cloud Act.

Risques d’espionnage industriel

Depuis le 23 mars, l’instauration du Cloud Act autorise en effet l’administration US (police, justice, etc.) à accéder aux données des entreprises étrangères stockées à l’intérieur et surtout en dehors du territoire américain. C’est ainsi le cas pour les informations des clients de Microsoft, qui conservent leur data en Irlande. « L’arrivée du Cloud Act qui, de l’avis de tous les experts, constitue une ingérence juridique jamais vue, est une menace pour le secret des affaires de toute entreprise tricolore contractant avec un prestataire américain », analyse Yves Garagnon, directeur général de DiliTrust, éditeur de solutions de gouvernance et de partage de données sensibles. « Tant que les entreprises françaises feront appel à des prestataires de Cloud computing d’origine américaine, elles seront confrontées au renforcement de l’ingérence de l’oncle Sam sur ces opérateurs », confirme Jules-Henry Gavetti, patron de la société d’hébergement Ikoula. Pour Leila Ackerman, juriste d’entreprise, « la situation, qui dépasse largement le seul cadre des données personnelles, est alarmante car elle expose le monde entier à des risques d’espionnage industriel mais aussi des risques pour la sécurité nationale et la propriété intellectuelle ».

Incertitude accrue pour les données

Du côté de Brainloop, le PDG Thomas Deutschmann avait lui-même mis en garde contre les dangers de la nouvelle législation américaine sur la protection des données. « Les pays étrangers n’ont aucune influence sur l’opérateur. Les lois US comme le Patriot Act et le récemment adopté Cloud Act constituent un risque pour la data en Europe. […] Une incertitude accrue est à prévoir concernant la souveraineté des données en coopération avec les entreprises américaines. » Si l’Office fédéral allemand de lutte contre les cartels examine actuellement le projet d’acquisition par Diligent, nombre des clients de Brainloop pourraient sortir de son portefeuille, la société n’ayant toujours pas communiqué sur les futures modalités de stockage des données. Pour Servane Augier et Olivier Iteanu, représentants de l’association Hexatrust qui regroupe les acteurs français de la cybersécurité, « la solution est simple : se tourner vers les nombreux acteurs offrant des alternatives souveraines, c’est-à-dire non seulement implantées en France, mais aussi et surtout de droit français ». Là où le RGDP prévaut.

Cet article a été proposé à la rédaction par Mohamed Benkhlifi, juriste en propriété intellectuelle. Il ne reflète aucunement la position de la rédaction Actu-Economie.