Guillaume Renouard, à San Francisco
Le Cloud Act simplifie l’accès d’un pays étranger aux données de ses citoyens hébergées aux États-Unis. Le RoyaumeUni a été le premier à signer ce type d’accord bilatéral.
iStock
Une entreprise comme Google ou Facebook doit-elle fournir aux autorités américaines l'accès aux données confidentielles de ses utilisateurs si celles-ci le demandent ? Longtemps, cette question a donné lieu à d'âpres querelles juridiques, dont celle qui opposa récemment Microsoft au gouvernement américain. Ce dernier souhaitait que le géant de l'informatique lui permette d'accéder aux emails d'un trafiquant de drogue présumé, stockés par Microsoft sur des serveurs en Irlande.
C'est pour éviter ce type de bras de fer que le Cloud Act a été mis en place en mai 2018 par l'administration Trump. « Cloud » est ici un acronyme signifiant « Clarifying Lawful Overseas Use of Data Act » (loi clarifiant l'usage légal des données hébergées à l'étranger). Il oblige les entreprises technologiques américaines à donner aux autorités l'accès à leurs données dans le cadre d'une enquête, qu'elles soient situées sur des serveurs américains ou bien à l'étranger.
Ainsi, alors qu'une cour fédérale avait dans un premier temps donné raison à Microsoft, l'entreprise a, suite au Cloud Act, dû se plier à la requête du gouvernement. Cette loi reproduit, dans le secteur des nouvelles technologies, une logique déjà à l'œuvre dans la finance.
Le Cloud Act vise également à faciliter le processus par lequel un gouvernement étranger conduisant une enquête sur ses propres citoyens peut demander aux entreprises technologiques américaines l'accès à leurs données. Auparavant une requête devait être soumise, à chaque fois, auprès du ministère de la Justice américain, le Department of Justice (DoJ). Le Cloud Act donne aux pays tiers la possibilité de conclure un traité bilatéral avec les États-Unis, et ainsi de ne plus avoir à demander l'accord de la justice américaine par la suite. En octobre dernier, le Royaume-Uni a été le premier pays à conclure un accord de ce type.
Paradoxalement, le Cloud Act a été plutôt bien reçu par les géants des nouvelles technologies américains. Microsoft, Apple, Google et Facebook ont ainsi cosigné une lettre qualifiant la loi de « progrès notable pour la protection des droits des consommateurs ». Dans un article de blog, Brad Smith, le dirigeant de Microsoft, s'en explique en soulignant que le Cloud Act stipule que les accords bilatéraux tissés entre le gouvernement américain et des États tiers doivent établir des garanties en matière de respect des droits humains.
Chaque jour à 13h, l’essentiel de l’actualité industrielle.
Selon lui, la loi a également pour avantage de clarifier les procédures et les règles à suivre en matière de protection des données utilisateurs.
Mais le soutien de l'industrie des nouvelles technologies au Cloud Act est aussi stratégique, dans la mesure où celui-ci permet d'empêcher la mise en place de lois sur la souveraineté des données. En effet, en l'absence d'un cadre législatif précis permettant aux États étrangers de demander l'accès aux données de leurs citoyens détenues par les entreprises américaines, ces États risquaient d'exiger leur stockage sur le sol national, une mesure déjà prise par la Chine. Sa généralisation aurait été très mal accueillie par les géants du cloud que sont Google, Microsoft et Amazon, les marges et l'efficacité de leurs services reposant en partie sur la possibilité de déplacer facilement les données d'une région à l'autre.
S'il est soutenu par l'industrie des nouvelles technologies, le Cloud Act est loin de faire l'unanimité. Plusieurs organisations de défense des libertés individuelles, dont l'American Civil Liberties Union (Union américaine pour les libertés civiles), le Center for Democracy & Technology et l'Open Technology Institute, affirment que les garanties requises par le Cloud Act pour établir un accord bilatéral avec un autre État sont insuffisantes ou imprécises. Un régime autoritaire pourrait ainsi tisser un accord avec les États-Unis et se servir du Cloud Act pour mieux surveiller sa population.
La façon dont cette loi s'articule avec d'autres règles sur la protection des données utilisateurs, et notamment le règlement général sur la protection des données (RGPD) européen, reste aussi assez floue.
Selon lui, des discussions en vue d'un accord bilatéral entre les États-Unis et l'Union européenne sont en cours. Sans doute permettront-elles de clarifier cette question.
Pour Eileen Filmus, experte en cybersécurité et gestion globale des risques travaillant dans la Silicon Valley, il est toutefois peu probable que la tech se retourne contre le Cloud Act.
En revanche, la loi n'a pas mis fin aux différends entre les autorités américaines et les Gafa, comme l'illustre une affaire en cours, dans laquelle le FBI exige d'Apple qu'elle l'aide à déverrouiller le téléphone d'un militaire saoudien suspecté d'avoir assassiné trois personnes sur la base navale aéronavale de Pensacola, en Floride, en décembre dernier. Un cas non couvert par le Cloud Act, puisqu'il ne s'agit pas de données détenues et stockées par Apple. La manière dont la justice tranchera cette affaire aura donc d'importantes répercussions pour l'avenir.
Guillaume Renouard, à San Francisco
