Des services secrets, nous ne savons que les échecs et rarement les succès. Si l'échec provoque l'anathème, l'ingratitude est fille de la victoire. Quand à la gloire, il faut l'oublier, elle est pour les autres...

mercredi 29 janvier 2020

Cybersécurité : le Cloud Act, favorable ou préjudiciable à la vie privée des internautes ?


Destiné à permettre aux autorités d’avoir accès aux données hébergées à l’étranger, le texte fait débat : pour les défenseurs des droits humains, c’est une loi liberticide ; pour les Gafa et les industriels de la tech, elle protège les consommateurs...

Une entreprise comme Google ou Facebook doit-elle fournir aux autorités américaines l'accès aux données confidentielles de ses utilisateurs si celles-ci le demandent ? Longtemps, cette question a donné lieu à d'âpres querelles juridiques, dont celle qui opposa récemment Microsoft au gouvernement américain. Ce dernier souhaitait que le géant de l'informatique lui permette d'accéder aux emails d'un trafiquant de drogue présumé, stockés par Microsoft sur des serveurs en Irlande.

C'est pour éviter ce type de bras de fer que le Cloud Act a été mis en place en mai 2018 par l'administration Trump. « Cloud » est ici un acronyme signifiant « Clarifying Lawful Overseas Use of Data Act » (loi clarifiant l'usage légal des données hébergées à l'étranger). Il oblige les entreprises technologiques américaines à donner aux autorités l'accès à leurs données dans le cadre d'une enquête, qu'elles soient situées sur des serveurs américains ou bien à l'étranger.

Ainsi, alors qu'une cour fédérale avait dans un premier temps donné raison à Microsoft, l'entreprise a, suite au Cloud Act, dû se plier à la requête du gouvernement. Cette loi reproduit, dans le secteur des nouvelles technologies, une logique déjà à l'œuvre dans la finance.

« Les autorités américaines peuvent depuis des années avoir accès aux informations bancaires de leurs citoyens, où qu'elles se trouvent, afin de lutter contre le blanchiment d'argent », note Peter Swire, professeur de droit au Georgia Institute of Technology.

Le Cloud Act vise également à faciliter le processus par lequel un gouvernement étranger conduisant une enquête sur ses propres citoyens peut demander aux entreprises technologiques américaines l'accès à leurs données. Auparavant une requête devait être soumise, à chaque fois, auprès du ministère de la Justice américain, le Department of Justice (DoJ). Le Cloud Act donne aux pays tiers la possibilité de conclure un traité bilatéral avec les États-Unis, et ainsi de ne plus avoir à demander l'accord de la justice américaine par la suite. En octobre dernier, le Royaume-Uni a été le premier pays à conclure un accord de ce type.

Des garanties jugées insuffisantes et imprécises

Paradoxalement, le Cloud Act a été plutôt bien reçu par les géants des nouvelles technologies américains. Microsoft, Apple, Google et Facebook ont ainsi cosigné une lettre qualifiant la loi de « progrès notable pour la protection des droits des consommateurs ». Dans un article de blog, Brad Smith, le dirigeant de Microsoft, s'en explique en soulignant que le Cloud Act stipule que les accords bilatéraux tissés entre le gouvernement américain et des États tiers doivent établir des garanties en matière de respect des droits humains.

« Les pays qui veulent conclure un accord bilatéral avec les États-Unis dans le cadre du Cloud Act doivent prendre des engagements en matière de protection de la vie privée et des données utilisateurs. Le Royaume-Uni a ainsi, dans le cadre des négociations, institué une nouvelle loi donnant aux juges le pouvoir de refuser au gouvernement l'accès à des données confidentielles s'ils estiment cette requête abusive », souligne Peter Swire.

Selon lui, la loi a également pour avantage de clarifier les procédures et les règles à suivre en matière de protection des données utilisateurs.

« Les entreprises des nouvelles technologies disposent ainsi d'une feuille de route claire expliquant dans quelles circonstances bien précises elles sont tenues de laisser les autorités accéder aux données qu'elles détiennent. Elles apprécient cette clarification. »

Mais le soutien de l'industrie des nouvelles technologies au Cloud Act est aussi stratégique, dans la mesure où celui-ci permet d'empêcher la mise en place de lois sur la souveraineté des données. En effet, en l'absence d'un cadre législatif précis permettant aux États étrangers de demander l'accès aux données de leurs citoyens détenues par les entreprises américaines, ces États risquaient d'exiger leur stockage sur le sol national, une mesure déjà prise par la Chine. Sa généralisation aurait été très mal accueillie par les géants du cloud que sont Google, Microsoft et Amazon, les marges et l'efficacité de leurs services reposant en partie sur la possibilité de déplacer facilement les données d'une région à l'autre.

S'il est soutenu par l'industrie des nouvelles technologies, le Cloud Act est loin de faire l'unanimité. Plusieurs organisations de défense des libertés individuelles, dont l'American Civil Liberties Union (Union américaine pour les libertés civiles), le Center for Democracy & Technology et l'Open Technology Institute, affirment que les garanties requises par le Cloud Act pour établir un accord bilatéral avec un autre État sont insuffisantes ou imprécises. Un régime autoritaire pourrait ainsi tisser un accord avec les États-Unis et se servir du Cloud Act pour mieux surveiller sa population.

Le risque de conflits juridiques avec le RGPD

La façon dont cette loi s'articule avec d'autres règles sur la protection des données utilisateurs, et notamment le règlement général sur la protection des données (RGPD) européen, reste aussi assez floue.

« Supposons que le DoJ demande à Ford l'accès aux fichiers de ses employés français, stockés sur le sol américain. Le RGPD pourrait en théorie empêcher à la justice américaine d'avoir accès à ces fichiers, ce qui créerait un conflit juridique », affirme Peter Swire.

Selon lui, des discussions en vue d'un accord bilatéral entre les États-Unis et l'Union européenne sont en cours. Sans doute permettront-elles de clarifier cette question.

Pour Eileen Filmus, experte en cybersécurité et gestion globale des risques travaillant dans la Silicon Valley, il est toutefois peu probable que la tech se retourne contre le Cloud Act.

« La grande majorité des entreprises technologiques y voit une simple règle à laquelle elles doivent se plier plutôt qu'un véritable danger pour leurs affaires. Elles prennent en outre leurs décisions en fonction des risques pour leur réputation : telle mesure concernant la vie privée va-t-elle contrarier les consommateurs au point de les dissuader d'utiliser tel service ? Dans ce contexte, seule une indignation des citoyens suffisamment importante pour menacer la bonne marche des affaires conduirait ces entreprises à demander le retrait du Cloud Act. »

En revanche, la loi n'a pas mis fin aux différends entre les autorités américaines et les Gafa, comme l'illustre une affaire en cours, dans laquelle le FBI exige d'Apple qu'elle l'aide à déverrouiller le téléphone d'un militaire saoudien suspecté d'avoir assassiné trois personnes sur la base navale aéronavale de Pensacola, en Floride, en décembre dernier. Un cas non couvert par le Cloud Act, puisqu'il ne s'agit pas de données détenues et stockées par Apple. La manière dont la justice tranchera cette affaire aura donc d'importantes répercussions pour l'avenir.

Guillaume Renouard