Cybersécurité : le Cloud Act, favorable ou préjudiciable à la vie privée des internautes ? 3/5

ÉTATS-UNIS. Destiné à permettre aux autorités d’avoir accès aux données hébergées à l’étranger, le texte fait débat : pour les défenseurs des droits humains, c’est une loi liberticide ; pour les Gafa et les industriels de la tech, elle protège les consommateurs...
Le Cloud Act simplifie l’accès d’un pays étranger aux données de ses citoyens hébergées aux États-Unis. Le RoyaumeUni a été le premier à signer ce type d’accord bilatéral.
Le Cloud Act simplifie l’accès d’un pays étranger aux données de ses citoyens hébergées aux États-Unis. Le RoyaumeUni a été le premier à signer ce type d’accord bilatéral. (Crédits : iStock)

Une entreprise comme Google ou Facebook doit-elle fournir aux autorités américaines l'accès aux données confidentielles de ses utilisateurs si celles-ci le demandent ? Longtemps, cette question a donné lieu à d'âpres querelles juridiques, dont celle qui opposa récemment Microsoft au gouvernement américain. Ce dernier souhaitait que le géant de l'informatique lui permette d'accéder aux emails d'un trafiquant de drogue présumé, stockés par Microsoft sur des serveurs en Irlande.

C'est pour éviter ce type de bras de fer que le Cloud Act a été mis en place en mai 2018 par l'administration Trump. « Cloud » est ici un acronyme signifiant « Clarifying Lawful Overseas Use of Data Act » (loi clarifiant l'usage légal des données hébergées à l'étranger). Il oblige les entreprises technologiques américaines à donner aux autorités l'accès à leurs données dans le cadre d'une enquête, qu'elles soient situées sur des serveurs américains ou bien à l'étranger.

Ainsi, alors qu'une cour fédérale avait dans un premier temps donné raison à Microsoft, l'entreprise a, suite au Cloud Act, dû se plier à la requête du gouvernement. Cette loi reproduit, dans le secteur des nouvelles technologies, une logique déjà à l'œuvre dans la finance.

« Les autorités américaines peuvent depuis des années avoir accès aux informations bancaires de leurs citoyens, où qu'elles se trouvent, afin de lutter contre le blanchiment d'argent », note Peter Swire, professeur de droit au Georgia Institute of Technology.

Le Cloud Act vise également à faciliter le processus par lequel un gouvernement étranger conduisant une enquête sur ses propres citoyens peut demander aux entreprises technologiques américaines l'accès à leurs données. Auparavant une requête devait être soumise, à chaque fois, auprès du ministère de la Justice américain, le Department of Justice (DoJ). Le Cloud Act donne aux pays tiers la possibilité de conclure un traité bilatéral avec les États-Unis, et ainsi de ne plus avoir à demander l'accord de la justice américaine par la suite. En octobre dernier, le Royaume-Uni a été le premier pays à conclure un accord de ce type.

Des garanties jugées insuffisantes et imprécises

Paradoxalement, le Cloud Act a été plutôt bien reçu par les géants des nouvelles technologies américains. Microsoft, Apple, Google et Facebook ont ainsi cosigné une lettre qualifiant la loi de « progrès notable pour la protection des droits des consommateurs ». Dans un article de blog, Brad Smith, le dirigeant de Microsoft, s'en explique en soulignant que le Cloud Act stipule que les accords bilatéraux tissés entre le gouvernement américain et des États tiers doivent établir des garanties en matière de respect des droits humains.

« Les pays qui veulent conclure un accord bilatéral avec les États-Unis dans le cadre du Cloud Act doivent prendre des engagements en matière de protection de la vie privée et des données utilisateurs. Le Royaume-Uni a ainsi, dans le cadre des négociations, institué une nouvelle loi donnant aux juges le pouvoir de refuser au gouvernement l'accès à des données confidentielles s'ils estiment cette requête abusive », souligne Peter Swire.

Selon lui, la loi a également pour avantage de clarifier les procédures et les règles à suivre en matière de protection des données utilisateurs.

« Les entreprises des nouvelles technologies disposent ainsi d'une feuille de route claire expliquant dans quelles circonstances bien précises elles sont tenues de laisser les autorités accéder aux données qu'elles détiennent. Elles apprécient cette clarification. »

Mais le soutien de l'industrie des nouvelles technologies au Cloud Act est aussi stratégique, dans la mesure où celui-ci permet d'empêcher la mise en place de lois sur la souveraineté des données. En effet, en l'absence d'un cadre législatif précis permettant aux États étrangers de demander l'accès aux données de leurs citoyens détenues par les entreprises américaines, ces États risquaient d'exiger leur stockage sur le sol national, une mesure déjà prise par la Chine. Sa généralisation aurait été très mal accueillie par les géants du cloud que sont Google, Microsoft et Amazon, les marges et l'efficacité de leurs services reposant en partie sur la possibilité de déplacer facilement les données d'une région à l'autre.

S'il est soutenu par l'industrie des nouvelles technologies, le Cloud Act est loin de faire l'unanimité. Plusieurs organisations de défense des libertés individuelles, dont l'American Civil Liberties Union (Union américaine pour les libertés civiles), le Center for Democracy & Technology et l'Open Technology Institute, affirment que les garanties requises par le Cloud Act pour établir un accord bilatéral avec un autre État sont insuffisantes ou imprécises. Un régime autoritaire pourrait ainsi tisser un accord avec les États-Unis et se servir du Cloud Act pour mieux surveiller sa population.

Le risque de conflits juridiques avec le RGPD

La façon dont cette loi s'articule avec d'autres règles sur la protection des données utilisateurs, et notamment le règlement général sur la protection des données (RGPD) européen, reste aussi assez floue.

« Supposons que le DoJ demande à Ford l'accès aux fichiers de ses employés français, stockés sur le sol américain. Le RGPD pourrait en théorie empêcher à la justice américaine d'avoir accès à ces fichiers, ce qui créerait un conflit juridique », affirme Peter Swire.

Selon lui, des discussions en vue d'un accord bilatéral entre les États-Unis et l'Union européenne sont en cours. Sans doute permettront-elles de clarifier cette question.

Pour Eileen Filmus, experte en cybersécurité et gestion globale des risques travaillant dans la Silicon Valley, il est toutefois peu probable que la tech se retourne contre le Cloud Act.

« La grande majorité des entreprises technologiques y voit une simple règle à laquelle elles doivent se plier plutôt qu'un véritable danger pour leurs affaires. Elles prennent en outre leurs décisions en fonction des risques pour leur réputation : telle mesure concernant la vie privée va-t-elle contrarier les consommateurs au point de les dissuader d'utiliser tel service ? Dans ce contexte, seule une indignation des citoyens suffisamment importante pour menacer la bonne marche des affaires conduirait ces entreprises à demander le retrait du Cloud Act. »

En revanche, la loi n'a pas mis fin aux différends entre les autorités américaines et les Gafa, comme l'illustre une affaire en cours, dans laquelle le FBI exige d'Apple qu'elle l'aide à déverrouiller le téléphone d'un militaire saoudien suspecté d'avoir assassiné trois personnes sur la base navale aéronavale de Pensacola, en Floride, en décembre dernier. Un cas non couvert par le Cloud Act, puisqu'il ne s'agit pas de données détenues et stockées par Apple. La manière dont la justice tranchera cette affaire aura donc d'importantes répercussions pour l'avenir.

Sujets les + lus

|

Sujets les + commentés

Commentaires 10
à écrit le 27/01/2020 à 17:31
Signaler
Le CLOUD ? des clous ! Je ne suis pas Jésus Christ !

à écrit le 27/01/2020 à 15:07
Signaler
Parfois, il faut arrêter de réfléchir : ce cloud act est une atteinte au secret des affaires et un vol des entreprise : nombre d'entre elles ont externalisée leur messagerie, tout comme certaines administrations françaises. Et c'est bien connu, l'ana...

le 18/11/2021 à 10:10
Signaler
C'est clair. Les journalistes (pour la plupart) sont des faux naïfs

à écrit le 27/01/2020 à 11:32
Signaler
Ce n'est qu'une attaque sournoise de l'état américain contre les usagers d'internet du monde entier ou nous participons par manque de courage et que le service des gafa est bien pratique pour aller chercher ailleurs. L'exemple le plus intéressant es...

à écrit le 27/01/2020 à 8:37
Signaler
"dans laquelle le FBI exige d'Apple qu'elle l'aide à déverrouiller le téléphone d'un militaire saoudien suspecté d'avoir assassiné trois personnes sur la base navale aéronavale de Pensacola, en Floride, en décembre dernier. " Une énorme publicité...

à écrit le 26/01/2020 à 19:44
Signaler
et si en plus en faisant semblant de chercher des terroristes et des trafficants, on peut espionner par hasard les entreprises europeennes qui utilisent le cloud des americains, c'est mieux! et purement fortuit! du pur hasard! tout le monde a comp...

à écrit le 26/01/2020 à 18:28
Signaler
NSO entreprise israelienne commercialise bien un logiciel espion qui permet de lire les mails des téléphone portables. Info publiée par la presse française.

à écrit le 26/01/2020 à 11:20
Signaler
Le concept est le suivant : Tous coupables pour le système , c’est aux populations de prouver leur innocence ? Au delà de ce concept : il faudrait un codage sur cloud qui rend accessible photos et infos perso à qui ça appartient lors des migrations...

le 27/01/2020 à 11:14
Signaler
Ben non, si un smartphone a été vendu pour être incraquable et qu'une administration le réclame (je pense plus aux administations financières qui toute morale bue sont capables d'aller bien plus loin qu'une recherche normale) si ça se fait, tous les ...

à écrit le 26/01/2020 à 9:46
Signaler
Pourquoi oseriez vous confier votre vie a ce "minitel"? Il vous le fera payer!

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.