Scandale PRISM : le Cloud Computing descend de son nuage

 |   |  1470  mots
crédit photos: www.davidferriere.com
crédit photos: www.davidferriere.com (Crédits : DR)
Quel avenir pour le cloud computing après le scandale Prism? Pour les avocats spécialisés dans les nouvelles technologies Henri Leben et Benjamin Gallic, l'économie de l'information risque de pâtir des révélations d'Edouard Snowden. Car sans confiance, pas de données, et sans données, aucune chance de pouvoir les monétiser...

Alors que les négociations sur le traité de libre-échange viennent de débuter entre les Etats-Unis et l'Union européenne, le scandale PRISM pourrait remettre en cause cette coopération commerciale transatlantique, et relance le débat sur la protection des données personnelles. La puissance des entreprises comme Facebook ou Google repose sur cette collecte des données, mais aussi sur la confiance qu'ont les utilisateurs en la préservation de la confidentialité de celles-ci. Si les données des citoyens, mais également des entreprises européennes sont accessibles par les autorités gouvernementales américaines, l'enjeu pour l'Europe n'est plus seulement éthique, mais devient aussi économique.

Un programme sous l'égide du Protect America Act

Révélé par un ancien de la NSA, désormais fugitif, le scandale PRISM n'a pas fini de faire sentir ses effets sur les relations entre l'Europe et les Etats-Unis. Pour mémoire, on rappellera brièvement que derrière cet acronyme, se cache le programme mis en place par les autorités américaines, leur permettant d'exiger des sociétés de communication la transmission des contenus en provenance de personnes résidant hors du territoire des Etats-Unis.

Si ce programme qui s'inscrit dans le cadre du Protect America Act de 2007 soulève d'évidentes questions en matière de protection de la vie privée et de respect des droits fondamentaux, ses conséquences économiques ne doivent également pas être négligées.

Une jurisprudence récente qui éclaire le scandale PRISM

Contexte légal : On sait à ce jour peu de choses du contexte légal dans lequel les Etats-Unis ont autorisé la mise en place du programme PRISM. Une décision de la Cour américaine de révision compétente en matière de surveillance des communications étrangères (United States Foreign Intelligence Court of review) en date du 22 août 2008 a cependant été rendue publique et permet de mieux cerner le schéma juridique mis en ?uvre avec PRISM.

Saisi par les autorités américaines d'une demande d'accès aux communications en provenance de l'étranger, un opérateur de télécommunications (la société Yahoo a priori - le nom du requérant étant classé confidentiel) a adressé un recours à la Foreign Intelligence Surveillance Court (FISC). La FISC ayant rejeté le recours de la requérante, celle-ci s'est adressée à la Cour de révision dont la décision du 22 août 2008 a été publiée.
Au terme d'un raisonnement juridique classique, la Cour compare les intérêts protégés par les dispositions du Protect America Act avec les atteintes éventuelles aux règles constitutionnelles américaines.

Légalement, les autorités américaines peuvent demander un accès aux communication de l'étranger

En l'espèce, les dispositions critiquées du Protect America Act étaient celles autorisant les autorités américaines à exiger des fournisseurs de services de communication un accès aux communications en provenance de l'étranger, sans avoir à produire de mandat émis par un juge. Une telle disposition paraît, a priori, contrevenir au quatrième amendement qui impose l'émission d'un mandat énumérant de manière précise les biens pouvant faire l'objet d'une saisie, mandat ne pouvant en outre être émis que sur la base d'éléments rendant probables l'existence d'une violation de la loi.

Après avoir examiné les arguments invoqués par les différentes parties, la Cour estime que le Protect America Act prévoit, au regard de la nécessité de protéger la sécurité nationale, suffisamment de garde-fous pour limiter le risque d'atteinte injustifiée aux intérêts des individus. Le recours est donc écarté et la requérante se voit contrainte de donner accès aux informations en provenance des non-résidents américains.

La confiance, l'élément constitutif du commerce de données

Il ressort de cette jurisprudence qu'une entreprise européenne qui transfère les données personnelles de ses clients vers une société américaine, ne dispose plus d'aucune garantie de confidentialité. Or, comme le soulignait la Commissaire Viviane Reding: « C'est seulement quand les clients seront certains que leurs données sont bien protégées qu'ils les confieront aux entreprises dédiées et aux autorités.». En d'autres termes, le commerce des données personnelles est dépendant de la confiance des consommateurs envers les récipiendaires de ces données.

Afin de rassurer les clients et utilisateurs, l'Union européenne et les Etats-Unis ont conclu, en 2001, l'accord « Safe Harbor ». Ce dernier a pour objectif d'encadrer et de sécuriser le transfert de données personnelles entre ces deux signataires, en garantissant un « niveau de protection adéquat » au sein des entreprises américaines (conformément à la Directive européenne de 1995).

La monétisation des données personnelles repose sur le Cloud

Or, ce système repose sur le volontariat des sociétés américaines participantes, qui certifient elles-mêmes respecter le degré de protection des données personnelles exigé par la législation communautaire, tout en restant simultanément contraintes de respecter les obligations américaines en matière de communication de telles données.

Les « Big four » que sont Google, Apple, Facebook et Amazon, dont le modèle économique intègre en grande partie la collecte, la gestion et le commerce des données personnelles, via leurs propres régies publicitaires, ont adhéré au « Safe Harbor ». Cette économie de la monétisation des données personnelles et de la publicité personnalisée, repose majoritairement sur le système du « Cloud ». Le « Cloud », selon le « Vocabulaire de l'informatique et de l'Internet » paru au Journal Officiel le 6 juin 2010, est « un mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire ».

Des données difficiles à localiser

Les consommateurs européens des « Big Four » utilisent ainsi des services, souvent américains, dérogeant aux règles communautaires en matière de protection. Par ailleurs, les données conservées sur les Cloud sont souvent transférées quotidiennement de pays en pays selon les capacités de stockage des serveurs dédiés, ce qui rend très difficile leur localisation, et donc la régulation de l'activité.

Le scandale PRISM révèle que les sociétés basées aux Etats-Unis sont tenues de communiquer aux autorités américaines compétentes les données personnelles collectées auprès de leurs clients. Ce constat ne peut qu'ébranler la notion même de « Safe Harbor » et remet en cause le lien de confiance instauré entre les ressortissants européens et les entreprises américaines.

Pour protéger les données, privilégier le cloud "made in France"

En effet, certaines failles viennent entacher l'accord « Safe Harbor ». Tout d'abord, un cadre légal ouvre accès à la transmission des données des entreprises au gouvernement américain, au nom de la lutte contre le terrorisme et la cybercriminalité, à travers le « Patriot Act » et le « Homeland Security Act » de 2002. Par ailleurs, le scandale PRISM illustre également que des captations illégales des données personnelles peuvent être institutionnellement commises, sans que les intéressés n'en soient informés.

Si les clients européens n'ont plus de garantie quant à la protection de leurs données personnelles, l'économie de l'information risque fortement d'en pâtir. L'alternative pour les utilisateurs est de se tourner désormais vers des services en ligne bénéficiant de serveurs implantés physiquement sur le sol national (Cloudwatt de Orange/Thales, Numergy de SFR/Bull...). L'assurance d'une protection efficace des données, encadrée par les législations françaises et européennes, devient ainsi un argument commercial de premier ordre.

La crise de confiance déborde sur les relations commerciales

Cette crise de confiance peut également se répercuter sur les relations commerciales entre les Etats-Unis et la France, en influençant les négociations sur l'accord de libre-échange. Si la France a finalement accepté d'ouvrir les discussions à la date prévue malgré le scandale PRISM, les réticences des politiques français et du Parlement européen risquent cependant d'en entraver les avancées.

Comme le rappelait le président de la République dans son discours de Berlin du 3 juillet 2013: "Il ne peut pas y avoir d'ouverture de négociations commerciales sans qu'il y ait dans le même temps, à la même date, l'ouverture de discussions et de vérifications avec les États-Unis sur l'activité des services de renseignement américains dans nos pays et la protection des données privées."
 

*Benjamin Galic est avocat associé IP/IT du cabinet CAPE CODE (Rennes); Henri Leben est avocat associé IP/IT au cabinat COLBERT

 

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 12/12/2013 à 10:01 :
Orange en France comme partenaire fiable ne divulguant pas nos informations...c'est cocasse ! Surtout avec l'article 13 de la loi de programmation militaire (voté dans une assemblée déserte).
a écrit le 03/08/2013 à 15:15 :
Ecrire que l un des éléments essentiels de Facebook est pour les utilisateurs la confidentialité des données ... C est vraiment une réflexion de juriste déconnecte de la réalité ... Le principe de Facebook c est le contraire de la confidentialité ...les utilisateurs exposent leur vie.... Peut être qu en France ..il y'a une certaine réserve mais dans le pays ou je vis... Facebook c est un déballage complet de la vie privée ..encore accentuée avec instagram ....
a écrit le 22/07/2013 à 15:27 :
J'ai toujours pensé que le Cloud est un attrappe-nigaud. Il est évident que si les données sont disponibles en clair dans le serveur elles peuvent être exploitées à votre insu. Vous ne pouvez pas faire confiance à une entreprise tierce. Donc ne transférez que des données chiffrées chez vous, avec un logiciel open-source, et un mot de passe très long.
a écrit le 20/07/2013 à 8:17 :
J'ai l'impression qu'on mélange un peu tout. Il ne faut pas confondre "cloud", "protection des données" et "monétisation". Ce sont trois sujets différents pas forcément liés entre eux. On peut monétiser des données anonymisées relevant du domaine public ou marchand tout en ayant des pbs de sécurité sur ces mêmes données avant anonymisation, on peut être piraté dans son propre centre de calcul comme on peut avoir une bonne sécurité sur le cloud, etc...Le cloud se justifie par la variabilisation des coûts de run (pay as you use) utile pour les PME mais ne dispense pas de se préoccuper de sécurité des données et logiciels.
a écrit le 19/07/2013 à 15:38 :
Article sans fond de ces deux apprentis cire-pompes gouvernementales. De quelles données veut-on parler ? Celles personnelles sont déjà connues. La protection qu'elles sont censées recevoir se limite, et encore, à leur non divilgation. Inutile de dire qu'il n'y en a de fait aucune. Nos dossiers médicaux, fiscaux sont ouverts : on peut savoir quelle maladie vous avez en lisant votre carte bancaire ou savoir votre niveau de vie en analysant votre ticket de supermarché. La question se pose uniquement pour les entreprises ayant des secrets à conserver. A ce niveau le regroupement actuel fera que seule moins de deux petites centaines subsisteront à un horizon de 18 ans! La IT en action détruit des milliers d'entreprises tandis que les champions qui progressent de 5% l'an alors que la croissance est de moins de 2, siphonent progressivement le potentiel. Ces entités si elles veulent survivrent auront les moyens et la volonté de se couvrir. Notre aventurier des services secrets ne changera rien à l'affaire, surtout pas pour le citoyen lambda.
a écrit le 19/07/2013 à 11:12 :
Le cloud n'est qu'une déclinaison marketing/commerciale des constructeurs et éditeurs de logiciels pour faire croire qu'en louant les ressources à distance, cela coûte moins cher. Au même titre qu'il y a eu les époques mainframe, offshoring des développements et des centres de support. Le revers est que cela permet au top 10 des éditeurs/constructeurs, quasiment tous US, de signer des contrats massifs d'équipements. Et comme ils sont tous soumis au patriot act... On peut même rappeler le mode de support de SAP (européen) qui obligeait à installer une connexion permanente avec Waldorf (en Allemagne) en vue de "surveillance" de l'usage de son logiciel. La protection des données est donc une vue de l'esprit.
a écrit le 19/07/2013 à 8:48 :
Et de quels matériels sont formés les Cloud Souverains? Cisco, HP, Juniper... des équipementiers US. Les backdoors, vous connaissez ?
Ah non, y a que les Chinois qui ont des backdoors ! :-)
a écrit le 18/07/2013 à 23:26 :
Le cloud? Mais quel être sensé et encore moins quelle entreprise peut avoir l'idée de stocker ses données sur le web, sur un serveur quelque part dans le monde ("on ne sait pas où") contrôlé par "on ne sait pas qui" ? Et bien dans ce monde qui marche sur la tête, des êtres adultes et responsables se sont laissé convaincre! Il faut vraiment avoir le QI d'une huitre! Espèrons que l'histoire PRISM leur rendra la raison...
a écrit le 18/07/2013 à 23:13 :
Très bon article. Bravo.
a écrit le 18/07/2013 à 20:24 :
Cela fera mal a ceux qui vendent du cloud, Americains comme Francais. Car le manque de confiance n'est qu'un des defauts du clous...
a écrit le 18/07/2013 à 20:06 :
Voilà qu'un illustre inconnu réveille les populations, sans qu'elles sachent d'ailleurs ni qu'il est ni qui il sert vraiment, alors que cela existe depuis bien avant Echelon. Au fait, combien parmis ceux qui s'étonnent de cet espionnage ont un antivirus... qui scanne tout, tout le temps... sachant qu'il en existe qu'un seul sur le marché n'intégrant pas Echelon ?
a écrit le 18/07/2013 à 16:50 :
C'est bien fait pour les teletubbies qui s'étaient émerveillés sur le cloud. Toujours dire amen à tout nouveau concept super hype. Pourquoi vous croyez tant que ça qu'on nous explique que les PC avec un disque dur c'est mal et que tout mettre dans le cloud c'est bien? pourquoi des pubs incessantes sur le cloud par International Business Machine? ça leur presse trop que toutes les firmes Européennes stockent des données sur des serveurs en Virginie ou à Sacramento: il faut expliquer pourquoi?

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :