Tweet
Le "CLOUD Act", une législation adoptée il y a deux mois au Congrès des Etats-Unis, autorise les autorités américaines à réclamer les données personnelles récoltées par leurs entreprises à l'intérieur comme à l'extérieur des Etats-Unis. Explications.*
Vous êtes protégés sur Internet, vous serine-t-on depuis quelques semaines. Et ce, grâce à quatre lettres qui s'affichent partout, se glissant dans l'objet de vos mails ou sur les bandeaux de vos sites préférés : RGPD. Avec ce règlement européen de protection des données, entré en application le 25 mai, votre vie privée serait désormais mieux préservée des assauts scrutateurs des géants du web. Facebook, Twitter et consorts enfin empêchés de prendre vos informations personnelles ? Pas si vite : il y a deux mois, une loi américaine passée presque incognito au Congrès, le "CLOUD Act", permet à la superpuissance de réclamer à tous les fournisseurs de service travaillant sur le sol des Etats-Unis les données stockées sur leurs serveurs et ce, "quelle que soit" la localisation de ces derniers.
Si le CLOUD Act fait bien sûr référence au "cloud", ces énormes plateformes de stockage de données en ligne, le nom de cette loi est en réalité l'acronyme de "Clarifying Lawful Overseas Use of Data Act", c'est-à-dire "Acte de clarification légale de l'utilisation de données à l'étranger". Un nom à rallonge qui cache le dernier-né de la gigantesque pompe à données mondiale qu'est le gouvernement américain. "Le Cloud Act offre un cadre légal à la saisie de documents, de mails, en bref de toutes les communications captées à l’étranger par les serveurs des sociétés américaines", nous explique Nathalie Devillier, professeure en droit du numérique à l'école du management de Grenoble. La loi permet en effet de résoudre un vieux problème des autorités américaines : leur incapacité à se procurer les documents stockés à l'étranger, dans le cadre de leurs enquêtes.
Un texte voté en douce
L'imbroglio à résoudre datait de décembre 2013. Il opposait Microsoft Corp, l'une des plus puissantes entreprises américaines et troisième plus grand groupe de tech au monde, à l'Etat américain. Le contexte : une enquête sur un trafic de drogue. Le Département de Justice américain demande à obtenir une copie de l'ensemble des mails des suspects, qui se trouvent sur les serveurs de Microsoft. Mais quelque chose coince : les serveurs concernés ne sont pas localisés aux Etats-Unis mais en Irlande. Microsoft Corp estime qu'elle n'a donc aucune obligation de transférer ces données situées dans un pays étranger à l'Etat américain. Pendant près de cinq ans, l'entreprise ne cède pas. Le procès finit par s'ouvrir début 2018 et deux mois plus tard, le 17 avril, la Cour suprême se saisit du sujet. Sa décision est attendue en ce mois de juin.
Mais les autorités américaines peuvent désormais se passer de la Cour suprême. Lors du passage mouvementé de la loi sur les Dépenses 2018 au Congrès, un tout petit texte de 32 feuillets s'est inséré dans les 2.232 pages du texte ; ce que l'on appelle un cavalier législatif, glissé dans le texte du budget par l'Administration Trump afin de le faire voter ni vu ni connu. C'est le fameux "CLOUD Act", qui sera effectivement voté, puis paraphé par Donald Trump au moment de la ratification du budget, le 1er juin. "Il dit clairement qu'il existe pour prendre les données des utilisateurs de ces grandes entreprises et il n'a fait l'objet d'aucun débat au Congrès, soupire Nathalie Devilliers. Au bout du compte, on ne l'a médiatisé qu'après sa mise en place, lorsque nous avons tous été mis devant le fait accompli".
Plus de barrière entre la police américaine et les données
Ironie de l'histoire, quand le texte a émergé des cartons en février dernier, c'est-à-dire en même temps que l'affaire Microsoft Corps contre le gouvernement américain, il a été soutenu par une lettre dithyrambique signée des géants américains de la tech, parmi lesquels Apple, Facebook, Google, Oath (la société mère de Yahoo) et… Microsoft ! Tous manifestement ravis de s'inféoder encore un peu plus au gouvernement. "Le Cloud Act encourage le dialogue diplomatique mais donne également au secteur de la technologie deux droits statutaires de protéger les consommateurs et de résoudre les conflits de droit s'ils se produisent", n'hésitait pourtant pas à affirmer le courrier.
"Il bafoue surtout les règles et les accords de coopération internationale !", s'étrangle Nathalie Devilliers. Le Cloud Act outrepasse en effet les accords internationaux existants d'assistance juridique, baptisés MLAT (pour "Mutual Legal Assistant Treaty"). Ce sont eux qui permettent dans le droit actuel d'échanger des données. Négociés entre gouvernements, ils doivent être ratifiés par le Sénat aux Etats-Unis. Et même une fois en place, toute requête dans leur cadre du département de Justice américain doit être validée par un juge. Avec le Cloud Act, plus besoin de toutes ces procédures, ni de juges ni du Sénat, tout passe par l'exécutif : désormais, il suffit au gouvernement américain de négocier des accords bilatéraux avec les pays étrangers, pour que la police américaine puisse ensuite réclamer les données convoitées.
"Il y a quelques limites, relève néanmoins Pierre Bellanger, PDG de la radio Skyrock et auteur d'un livre sur la souveraineté numérique. Il faut qu'une requête soit liée à une enquête criminelle, qu'elle cible non pas une population mais une personne ou bien un élément identifiant, c'est-à-dire par exemple un détail ou une adresse". Mais "ces restrictions manquent de précision et surtout, reposent sur la seule bonne volonté car comment les vérifier ou contraindre à les appliquer ?". Bien que le Cloud Act laisse deux semaine aux personnes ou aux sociétés concernées pour un recours en justice, rien n'oblige en effet les entreprises qui ont transmis leurs données à prévenir leurs clients. Et si l'article 48 de la RGPD européenne spécifie qu'aucune décision d'un pays étranger ne peut permettre de divulguer les données personnelles des utilisateurs du continent, on peut douter de la volonté des Etats-Unis de respecter scrupuleusement ce nouveau règlement…
Suite logique du Patriot Act
La latitude donnée par le Cloud Act aux autorités fédérales américaines rappelle un exemple : celui d'un énorme scandale, révélé par un certain Edward Snowden en juin 2013. Avec un document top-secret de la National security agency (NSA) publié dans le Guardian, la planète entière découvre que Verizon, titan de la téléphonie américain, transmet les données de ses clients à l'agence américaine de renseignement. D'autres révélations suivront : à chaque fois, Snowden livre des exemples de compromissions entre les entreprises américaines et les services de renseignement. Ce programme de surveillance de masse, nommé PRISM, était largement permis par une disposition votée au Congrès dans l'émotion post-11 septembre 2001 : le Patriot Act.
Aujourd'hui, le Cloud Act ressemble à un dérivé de son prédécesseur alloué à la police fédérale. "Avant, l'accès aux données pour les agences de renseignement était garanti par le Patriot Ac . Le Cloud Act y ajoute l'accès pour les autorités de police sans mandat judiciaire sous réserve d'un accord entre Etats", confirme Pierre Bellanger. "Le Cloud Act est la suite logique du Patriot Act et du Freedom Act (qui a restauré en 2015 certains aspects du Patriot Act, ndlr)", abonde Eric Léandri, fondateur du moteur de recherche européen Qwant.
Si le Cloud Act est d'une si contestable lignée, pourquoi alors l'Europe ne réagit-elle pas afin de protéger ses citoyens des risques pour leur vie privée ? "L'Europe n’a pas été à la hauteur du scandale révélé par Snowden. Elle a protesté mais est restée paralysée comme un lapin dans les phares. Une Europe faible ne protège pas ses citoyens : c'est une non-assistance à données en danger", cingle Pierre Bellanger.
"C'est une arme commerciale comme une autre, ils n'hésiteront pas à piétiner le droit européen pour s'en servir"
Au-delà du risque démocratique, c'est également celui de l'espionnage économique qui est soulevé. "C'est un système non seulement de lutte contre le terrorisme, de lutte contre les menaces, mais aussi d'intelligence économique absolu", accuse Pierre Bellanger. Car si les entreprises françaises ou européennes font appel à des sociétés américaines pour stocker leurs données, elles prennent le risque d'une ingérence des Etats-Unis et de la divulgation outre-Atlantique de leurs données. Un cheval de Troie venu de l'Oncle Sam ? Nombre d'experts jugent que oui. "Ce n'est pas au service de la justice mais des Etats-Unis. C'est une arme commerciale comme une autre, qu'ils vont utiliser de manière très réelle. Ils n'hésiteront pas à piétiner le droit européen pour s'en servir", estime ainsi Chems Akrouf, expert en renseignement et en intelligence stratégique.
La solution : la souveraineté numérique
Les entreprises françaises dont les données transitent par des serveurs américains sont nombreuses. Mais aucune d'entre elles ne semble vouloir parler du Cloud Act… "Nous ne pouvons pas évoquer ce sujet avec vous", nous a-t-on invariablement répondu quand nous avons essayé de joindre des sociétés spécialisées dans la data…. Le risque est pourtant réel. "Quand une entreprise française met ses données entre les mains d'une société américaine, c'est comme si nos chercheurs mettaient le résultat de leurs recherches sur dropbox (service de stockage de données en ligne, ndlr), c'est une aberration", note Nathalie Devellier. Eric Léandri, qui se félicite de n'avoir installé aucun serveur de Qwant aux Etats-Unis, fait le même constat : "Je ne peux pas mettre l'ensemble de mes informations dans un cloud américain sous le simple prétexte que ce n'est pas cher. Il faut que je recense, que je trie mes informations pour savoir si c'est de la data médicale, des infos sensibles et en fonction de ça, il va falloir que je fasse des choix. Que se passe-t-il si on vous prend les données des Français parce que vous les avez déposées dans un cloud complètement ouvert ?".
Quelle solution reste-t-il à l'Europe ? "Il serait temps d'appliquer le principe de précaution, que l'on voit partout dans notre société sauf dans la data !", plaide Eric Léandri, qui en appelle à la responsabilité des entreprises françaises et européennes : "Il faudrait peut-être réfléchir et exclure ceux qui constituent un vrai risque pour nos données". "L'Europe peut se faire entendre : elle pèse 25% du PNB mondial, soit autant que les États-Unis", insiste Pierre Bellanger. Pour contrer le Cloud Act, il ne reste selon lui qu'une chose à faire : que les entreprises européennes reprennent la maîtrise de leurs données : "Nous pouvons localiser physiquement et juridiquement les serveurs, faire des données un bien commun souverain. La souveraineté numérique est notre seule alternative collective pour ne pas tout perdre".
Marianne
Vous êtes protégés sur Internet, vous serine-t-on depuis quelques semaines. Et ce, grâce à quatre lettres qui s'affichent partout, se glissant dans l'objet de vos mails ou sur les bandeaux de vos sites préférés : RGPD. Avec ce règlement européen de protection des données, entré en application le 25 mai, votre vie privée serait désormais mieux préservée des assauts scrutateurs des géants du web. Facebook, Twitter et consorts enfin empêchés de prendre vos informations personnelles ? Pas si vite : il y a deux mois, une loi américaine passée presque incognito au Congrès, le "CLOUD Act", permet à la superpuissance de réclamer à tous les fournisseurs de service travaillant sur le sol des Etats-Unis les données stockées sur leurs serveurs et ce, "quelle que soit" la localisation de ces derniers.
Si le CLOUD Act fait bien sûr référence au "cloud", ces énormes plateformes de stockage de données en ligne, le nom de cette loi est en réalité l'acronyme de "Clarifying Lawful Overseas Use of Data Act", c'est-à-dire "Acte de clarification légale de l'utilisation de données à l'étranger". Un nom à rallonge qui cache le dernier-né de la gigantesque pompe à données mondiale qu'est le gouvernement américain. "Le Cloud Act offre un cadre légal à la saisie de documents, de mails, en bref de toutes les communications captées à l’étranger par les serveurs des sociétés américaines", nous explique Nathalie Devillier, professeure en droit du numérique à l'école du management de Grenoble. La loi permet en effet de résoudre un vieux problème des autorités américaines : leur incapacité à se procurer les documents stockés à l'étranger, dans le cadre de leurs enquêtes.
Un texte voté en douce
L'imbroglio à résoudre datait de décembre 2013. Il opposait Microsoft Corp, l'une des plus puissantes entreprises américaines et troisième plus grand groupe de tech au monde, à l'Etat américain. Le contexte : une enquête sur un trafic de drogue. Le Département de Justice américain demande à obtenir une copie de l'ensemble des mails des suspects, qui se trouvent sur les serveurs de Microsoft. Mais quelque chose coince : les serveurs concernés ne sont pas localisés aux Etats-Unis mais en Irlande. Microsoft Corp estime qu'elle n'a donc aucune obligation de transférer ces données situées dans un pays étranger à l'Etat américain. Pendant près de cinq ans, l'entreprise ne cède pas. Le procès finit par s'ouvrir début 2018 et deux mois plus tard, le 17 avril, la Cour suprême se saisit du sujet. Sa décision est attendue en ce mois de juin.
Mais les autorités américaines peuvent désormais se passer de la Cour suprême. Lors du passage mouvementé de la loi sur les Dépenses 2018 au Congrès, un tout petit texte de 32 feuillets s'est inséré dans les 2.232 pages du texte ; ce que l'on appelle un cavalier législatif, glissé dans le texte du budget par l'Administration Trump afin de le faire voter ni vu ni connu. C'est le fameux "CLOUD Act", qui sera effectivement voté, puis paraphé par Donald Trump au moment de la ratification du budget, le 1er juin. "Il dit clairement qu'il existe pour prendre les données des utilisateurs de ces grandes entreprises et il n'a fait l'objet d'aucun débat au Congrès, soupire Nathalie Devilliers. Au bout du compte, on ne l'a médiatisé qu'après sa mise en place, lorsque nous avons tous été mis devant le fait accompli".
Plus de barrière entre la police américaine et les données
Ironie de l'histoire, quand le texte a émergé des cartons en février dernier, c'est-à-dire en même temps que l'affaire Microsoft Corps contre le gouvernement américain, il a été soutenu par une lettre dithyrambique signée des géants américains de la tech, parmi lesquels Apple, Facebook, Google, Oath (la société mère de Yahoo) et… Microsoft ! Tous manifestement ravis de s'inféoder encore un peu plus au gouvernement. "Le Cloud Act encourage le dialogue diplomatique mais donne également au secteur de la technologie deux droits statutaires de protéger les consommateurs et de résoudre les conflits de droit s'ils se produisent", n'hésitait pourtant pas à affirmer le courrier.
"Il bafoue surtout les règles et les accords de coopération internationale !", s'étrangle Nathalie Devilliers. Le Cloud Act outrepasse en effet les accords internationaux existants d'assistance juridique, baptisés MLAT (pour "Mutual Legal Assistant Treaty"). Ce sont eux qui permettent dans le droit actuel d'échanger des données. Négociés entre gouvernements, ils doivent être ratifiés par le Sénat aux Etats-Unis. Et même une fois en place, toute requête dans leur cadre du département de Justice américain doit être validée par un juge. Avec le Cloud Act, plus besoin de toutes ces procédures, ni de juges ni du Sénat, tout passe par l'exécutif : désormais, il suffit au gouvernement américain de négocier des accords bilatéraux avec les pays étrangers, pour que la police américaine puisse ensuite réclamer les données convoitées.
"Il y a quelques limites, relève néanmoins Pierre Bellanger, PDG de la radio Skyrock et auteur d'un livre sur la souveraineté numérique. Il faut qu'une requête soit liée à une enquête criminelle, qu'elle cible non pas une population mais une personne ou bien un élément identifiant, c'est-à-dire par exemple un détail ou une adresse". Mais "ces restrictions manquent de précision et surtout, reposent sur la seule bonne volonté car comment les vérifier ou contraindre à les appliquer ?". Bien que le Cloud Act laisse deux semaine aux personnes ou aux sociétés concernées pour un recours en justice, rien n'oblige en effet les entreprises qui ont transmis leurs données à prévenir leurs clients. Et si l'article 48 de la RGPD européenne spécifie qu'aucune décision d'un pays étranger ne peut permettre de divulguer les données personnelles des utilisateurs du continent, on peut douter de la volonté des Etats-Unis de respecter scrupuleusement ce nouveau règlement…
Suite logique du Patriot Act
La latitude donnée par le Cloud Act aux autorités fédérales américaines rappelle un exemple : celui d'un énorme scandale, révélé par un certain Edward Snowden en juin 2013. Avec un document top-secret de la National security agency (NSA) publié dans le Guardian, la planète entière découvre que Verizon, titan de la téléphonie américain, transmet les données de ses clients à l'agence américaine de renseignement. D'autres révélations suivront : à chaque fois, Snowden livre des exemples de compromissions entre les entreprises américaines et les services de renseignement. Ce programme de surveillance de masse, nommé PRISM, était largement permis par une disposition votée au Congrès dans l'émotion post-11 septembre 2001 : le Patriot Act.
Aujourd'hui, le Cloud Act ressemble à un dérivé de son prédécesseur alloué à la police fédérale. "Avant, l'accès aux données pour les agences de renseignement était garanti par le Patriot Ac . Le Cloud Act y ajoute l'accès pour les autorités de police sans mandat judiciaire sous réserve d'un accord entre Etats", confirme Pierre Bellanger. "Le Cloud Act est la suite logique du Patriot Act et du Freedom Act (qui a restauré en 2015 certains aspects du Patriot Act, ndlr)", abonde Eric Léandri, fondateur du moteur de recherche européen Qwant.
Si le Cloud Act est d'une si contestable lignée, pourquoi alors l'Europe ne réagit-elle pas afin de protéger ses citoyens des risques pour leur vie privée ? "L'Europe n’a pas été à la hauteur du scandale révélé par Snowden. Elle a protesté mais est restée paralysée comme un lapin dans les phares. Une Europe faible ne protège pas ses citoyens : c'est une non-assistance à données en danger", cingle Pierre Bellanger.
"C'est une arme commerciale comme une autre, ils n'hésiteront pas à piétiner le droit européen pour s'en servir"
Au-delà du risque démocratique, c'est également celui de l'espionnage économique qui est soulevé. "C'est un système non seulement de lutte contre le terrorisme, de lutte contre les menaces, mais aussi d'intelligence économique absolu", accuse Pierre Bellanger. Car si les entreprises françaises ou européennes font appel à des sociétés américaines pour stocker leurs données, elles prennent le risque d'une ingérence des Etats-Unis et de la divulgation outre-Atlantique de leurs données. Un cheval de Troie venu de l'Oncle Sam ? Nombre d'experts jugent que oui. "Ce n'est pas au service de la justice mais des Etats-Unis. C'est une arme commerciale comme une autre, qu'ils vont utiliser de manière très réelle. Ils n'hésiteront pas à piétiner le droit européen pour s'en servir", estime ainsi Chems Akrouf, expert en renseignement et en intelligence stratégique.
La solution : la souveraineté numérique
Les entreprises françaises dont les données transitent par des serveurs américains sont nombreuses. Mais aucune d'entre elles ne semble vouloir parler du Cloud Act… "Nous ne pouvons pas évoquer ce sujet avec vous", nous a-t-on invariablement répondu quand nous avons essayé de joindre des sociétés spécialisées dans la data…. Le risque est pourtant réel. "Quand une entreprise française met ses données entre les mains d'une société américaine, c'est comme si nos chercheurs mettaient le résultat de leurs recherches sur dropbox (service de stockage de données en ligne, ndlr), c'est une aberration", note Nathalie Devellier. Eric Léandri, qui se félicite de n'avoir installé aucun serveur de Qwant aux Etats-Unis, fait le même constat : "Je ne peux pas mettre l'ensemble de mes informations dans un cloud américain sous le simple prétexte que ce n'est pas cher. Il faut que je recense, que je trie mes informations pour savoir si c'est de la data médicale, des infos sensibles et en fonction de ça, il va falloir que je fasse des choix. Que se passe-t-il si on vous prend les données des Français parce que vous les avez déposées dans un cloud complètement ouvert ?".
Quelle solution reste-t-il à l'Europe ? "Il serait temps d'appliquer le principe de précaution, que l'on voit partout dans notre société sauf dans la data !", plaide Eric Léandri, qui en appelle à la responsabilité des entreprises françaises et européennes : "Il faudrait peut-être réfléchir et exclure ceux qui constituent un vrai risque pour nos données". "L'Europe peut se faire entendre : elle pèse 25% du PNB mondial, soit autant que les États-Unis", insiste Pierre Bellanger. Pour contrer le Cloud Act, il ne reste selon lui qu'une chose à faire : que les entreprises européennes reprennent la maîtrise de leurs données : "Nous pouvons localiser physiquement et juridiquement les serveurs, faire des données un bien commun souverain. La souveraineté numérique est notre seule alternative collective pour ne pas tout perdre".
Marianne