Cybersécurité : le Cloud Act, favorable ou préjudiciable à la vie privée des internautes ? 3/5

 |   |  1164  mots
Le Cloud Act simplifie l’accès d’un pays étranger aux données de ses citoyens hébergées aux États-Unis. Le RoyaumeUni a été le premier à signer ce type d’accord bilatéral.
Le Cloud Act simplifie l’accès d’un pays étranger aux données de ses citoyens hébergées aux États-Unis. Le RoyaumeUni a été le premier à signer ce type d’accord bilatéral. (Crédits : iStock)
ÉTATS-UNIS. Destiné à permettre aux autorités d’avoir accès aux données hébergées à l’étranger, le texte fait débat : pour les défenseurs des droits humains, c’est une loi liberticide ; pour les Gafa et les industriels de la tech, elle protège les consommateurs...

Une entreprise comme Google ou Facebook doit-elle fournir aux autorités américaines l'accès aux données confidentielles de ses utilisateurs si celles-ci le demandent ? Longtemps, cette question a donné lieu à d'âpres querelles juridiques, dont celle qui opposa récemment Microsoft au gouvernement américain. Ce dernier souhaitait que le géant de l'informatique lui permette d'accéder aux emails d'un trafiquant de drogue présumé, stockés par Microsoft sur des serveurs en Irlande.

C'est pour éviter ce type de bras de fer que le Cloud Act a été mis en place en mai 2018 par l'administration Trump. « Cloud » est ici un acronyme signifiant « Clarifying Lawful Overseas Use of Data Act » (loi clarifiant l'usage légal des données hébergées à l'étranger). Il oblige les entreprises technologiques américaines à donner aux autorités l'accès à leurs données dans le cadre d'une enquête, qu'elles soient situées sur des serveurs américains ou bien à l'étranger.

Ainsi, alors qu'une cour fédérale avait dans un premier temps donné raison à Microsoft, l'entreprise a, suite au Cloud Act, dû se plier à la requête du gouvernement. Cette loi reproduit, dans le secteur des nouvelles technologies, une logique déjà à l'œuvre dans la finance.

« Les autorités américaines peuvent depuis des années avoir accès aux informations bancaires de leurs citoyens, où qu'elles se trouvent, afin de lutter contre le blanchiment d'argent », note Peter Swire, professeur de droit au Georgia Institute of Technology.

Le Cloud Act vise également à faciliter le processus par lequel un gouvernement étranger conduisant une enquête sur ses propres citoyens peut demander aux entreprises technologiques américaines l'accès à leurs données. Auparavant une requête devait être soumise, à chaque fois, auprès du ministère de la Justice américain, le Department of Justice (DoJ). Le Cloud Act donne aux pays tiers la possibilité de conclure un traité bilatéral avec les États-Unis, et ainsi de ne plus avoir à demander l'accord de la justice américaine par la suite. En octobre dernier, le Royaume-Uni a été le premier pays à conclure un accord de ce type.

Des garanties jugées insuffisantes et imprécises

Paradoxalement, le Cloud Act a été plutôt bien reçu par les géants des nouvelles technologies américains. Microsoft, Apple, Google et Facebook ont ainsi cosigné une lettre qualifiant la loi de « progrès notable pour la protection des droits des consommateurs ». Dans un article de blog, Brad Smith, le dirigeant de Microsoft, s'en explique en soulignant que le Cloud Act stipule que les accords bilatéraux tissés entre le gouvernement américain et des États tiers doivent établir des garanties en matière de respect des droits humains.

« Les pays qui veulent conclure un accord bilatéral avec les États-Unis dans le cadre du Cloud Act doivent prendre des engagements en matière de protection de la vie privée et des données utilisateurs. Le Royaume-Uni a ainsi, dans le cadre des négociations, institué une nouvelle loi donnant aux juges le pouvoir de refuser au gouvernement l'accès à des données confidentielles s'ils estiment cette requête abusive », souligne Peter Swire.

Selon lui, la loi a également pour avantage de clarifier les procédures et les règles à suivre en matière de protection des données utilisateurs.

« Les entreprises des nouvelles technologies disposent ainsi d'une feuille de route claire expliquant dans quelles circonstances bien précises elles sont tenues de laisser les autorités accéder aux données qu'elles détiennent. Elles apprécient cette clarification. »

Mais le soutien de l'industrie des nouvelles technologies au Cloud Act est aussi stratégique, dans la mesure où celui-ci permet d'empêcher la mise en place de lois sur la souveraineté des données. En effet, en l'absence d'un cadre législatif précis permettant aux États étrangers de demander l'accès aux données de leurs citoyens détenues par les entreprises américaines, ces États risquaient d'exiger leur stockage sur le sol national, une mesure déjà prise par la Chine. Sa généralisation aurait été très mal accueillie par les géants du cloud que sont Google, Microsoft et Amazon, les marges et l'efficacité de leurs services reposant en partie sur la possibilité de déplacer facilement les données d'une région à l'autre.

S'il est soutenu par l'industrie des nouvelles technologies, le Cloud Act est loin de faire l'unanimité. Plusieurs organisations de défense des libertés individuelles, dont l'American Civil Liberties Union (Union américaine pour les libertés civiles), le Center for Democracy & Technology et l'Open Technology Institute, affirment que les garanties requises par le Cloud Act pour établir un accord bilatéral avec un autre État sont insuffisantes ou imprécises. Un régime autoritaire pourrait ainsi tisser un accord avec les États-Unis et se servir du Cloud Act pour mieux surveiller sa population.

Le risque de conflits juridiques avec le RGPD

La façon dont cette loi s'articule avec d'autres règles sur la protection des données utilisateurs, et notamment le règlement général sur la protection des données (RGPD) européen, reste aussi assez floue.

« Supposons que le DoJ demande à Ford l'accès aux fichiers de ses employés français, stockés sur le sol américain. Le RGPD pourrait en théorie empêcher à la justice américaine d'avoir accès à ces fichiers, ce qui créerait un conflit juridique », affirme Peter Swire.

Selon lui, des discussions en vue d'un accord bilatéral entre les États-Unis et l'Union européenne sont en cours. Sans doute permettront-elles de clarifier cette question.

Pour Eileen Filmus, experte en cybersécurité et gestion globale des risques travaillant dans la Silicon Valley, il est toutefois peu probable que la tech se retourne contre le Cloud Act.

« La grande majorité des entreprises technologiques y voit une simple règle à laquelle elles doivent se plier plutôt qu'un véritable danger pour leurs affaires. Elles prennent en outre leurs décisions en fonction des risques pour leur réputation : telle mesure concernant la vie privée va-t-elle contrarier les consommateurs au point de les dissuader d'utiliser tel service ? Dans ce contexte, seule une indignation des citoyens suffisamment importante pour menacer la bonne marche des affaires conduirait ces entreprises à demander le retrait du Cloud Act. »

En revanche, la loi n'a pas mis fin aux différends entre les autorités américaines et les Gafa, comme l'illustre une affaire en cours, dans laquelle le FBI exige d'Apple qu'elle l'aide à déverrouiller le téléphone d'un militaire saoudien suspecté d'avoir assassiné trois personnes sur la base navale aéronavale de Pensacola, en Floride, en décembre dernier. Un cas non couvert par le Cloud Act, puisqu'il ne s'agit pas de données détenues et stockées par Apple. La manière dont la justice tranchera cette affaire aura donc d'importantes répercussions pour l'avenir.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 27/01/2020 à 17:31 :
Le CLOUD ? des clous ! Je ne suis pas Jésus Christ !
a écrit le 27/01/2020 à 15:07 :
Parfois, il faut arrêter de réfléchir : ce cloud act est une atteinte au secret des affaires et un vol des entreprise : nombre d'entre elles ont externalisée leur messagerie, tout comme certaines administrations françaises. Et c'est bien connu, l'analyse d'une BAL numérique est une vraie mine d'or... Je ne sais pas à quoi pensent les intellectuels et politiciens, mais la ils ont clairement un airbus de retard, l'Europe est sous pillage numérique des US et il faut répondre à ces attaques car c'est clairement une stratégie de domination économique, mais c'est bien connu, au nom de la sécurité, on peut tout faire passer...
a écrit le 27/01/2020 à 11:32 :
Ce n'est qu'une attaque sournoise de l'état américain contre les usagers d'internet du monde entier ou nous participons par manque de courage et que le service des gafa est bien pratique pour aller chercher ailleurs.
L'exemple le plus intéressant est Amazone, au lieu de passer par une recherche compliquée par ebay ou alibaba, attendre un mois voire plus mais dès fois 10 jours par chance, on passe par Amazone on ça arrive de façon supersonique même si c'est plus cher et l'empreinte carbone un désastre, l'arrivée par bâteau en Allemagne puis dans les entrepots ou c'est stocké et ça repart par camion ou fourgonnette, alors que de Chine c'est au plus court.
Si les clients d'Amazone sont scrutés contrôlés par la bande à Trump c'est le prix à payer par les serfs de l'Amérique.
On est revenus au moyen-âge et la guerre de 100 ans, m'en fout ma famille à cette époque la du côté du manche, lol!
a écrit le 27/01/2020 à 8:37 :
"dans laquelle le FBI exige d'Apple qu'elle l'aide à déverrouiller le téléphone d'un militaire saoudien suspecté d'avoir assassiné trois personnes sur la base navale aéronavale de Pensacola, en Floride, en décembre dernier. "

Une énorme publicité pour apple de la part de l’état Amricain, roi du business !
a écrit le 26/01/2020 à 19:44 :
et si en plus en faisant semblant de chercher des terroristes et des trafficants, on peut espionner par hasard les entreprises europeennes qui utilisent le cloud des americains, c'est mieux!
et purement fortuit!
du pur hasard!
tout le monde a compris quelle etait la vraie finalite
ca me rappelle michel sapin qui jurait ses grands dieux que ramener les paiements en liquide a 1000 euros, c'etait pas pour lutter contre le travail au noir! non, un bon socialiste honnete comme lui ne ment pas, c'est pour lutter contre la vente d'ak47 en banlieue!
sans deconner! et en plus il a dit ca 15 jours avant le bataclan, pas de chance, hein?
a écrit le 26/01/2020 à 18:28 :
NSO entreprise israelienne commercialise bien un logiciel espion qui permet de lire les mails des téléphone portables. Info publiée par la presse française.
a écrit le 26/01/2020 à 11:20 :
Le concept est le suivant :

Tous coupables pour le système , c’est aux populations de prouver leur innocence ?

Au delà de ce concept : il faudrait un codage sur cloud qui rend accessible photos et infos perso à qui ça appartient lors des migrations d’un appareil à l’autre , et empêcher des employés ou autres de visionner des photos et infos personnels sans accord ou consentement des personnes qui sont propriétaires des photos et infos.
Peut être un système performant IA pour contrôler les données ?( sans intervention humaine et sans paramètres orientés nocives à la liberté )?

Par contre lors d’infractions, c’est normal que Apple devrait coopérer avec la justice de tous les pays

Car il est impossible de faire un deuil sans vérité , sans justice sans écrire fin à cette histoire de deuil pour les victimes directs ou collatéraux.
Réponse de le 27/01/2020 à 11:14 :
Ben non, si un smartphone a été vendu pour être incraquable et qu'une administration le réclame (je pense plus aux administations financières qui toute morale bue sont capables d'aller bien plus loin qu'une recherche normale) si ça se fait, tous les utilisateurs sont en droit de réclamer le remboursement au prix du neuf, c'est un deal entre les clients et Apple et pas avec l'état américain.
a écrit le 26/01/2020 à 9:46 :
Pourquoi oseriez vous confier votre vie a ce "minitel"? Il vous le fera payer!

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :