« La souveraineté numérique, c’est être capable de résister aux sanctions extraterritoriales américaines ». Lors de la séance de questions au gouvernement de mi-janvier, Bruno Le Maire s’est attaqué frontalement au « Cloud Act » (Clarifying Lawful Overseas Use of Data Act) venu des Etats-Unis.
« Nous sommes en train, avec le Premier ministre, de travailler à un dispositif de protection des données stratégiques de nos entreprises pour qu’elles ne puissent pas être récupérées par l’administration américaine ou par la justice américaine sans qu’elles soient averties », a déclaré le ministre de l’Économie et des Finances.
Le Cloud Act, une ingérence juridique inédite
Ratifié le 23 mars 2018, le Cloud Act donne un cadre légal à la saisie par des agences gouvernementales ou des forces de police d’e-mails, documents et communications électroniques localisés dans des datacenters de sociétés américaines à l’étranger. A savoir Microsoft, Google, IBM, AWS, Salesforce, Oracle…
Ce texte de 32 pages, passé presque inaperçu dans le flot des 2 232 pages du budget fédéral, oblige ces géants du numérique à livrer les informations de leurs utilisateurs, qu’ils soient particuliers ou professionnels, sur demande des autorités américaines, sans devoir en informer les concernés. Concrètement : si l’administration Trump demande à Microsoft de divulguer les données hébergées dans un des quatre datacenters situés sur le territoire français, le géant du numérique doit les livrer. Et ce malgré le RGPD, qui est entré en vigueur deux mois plus tard.
Le Cloud Act, ou la fin de 5 ans de bataille judiciaire
Pour comprendre le Cloud Act, il faut remonter à 2013. À l’époque, la justice américaine avait sommé Microsoft de fournir le contenu des messageries électroniques d’un client irlandais soupçonné dans une affaire de trafic de drogue. Or, ses données étant stockées en Irlande, Microsoft a refusé. Faisant valoir le principe de territorialité, selon lequel l’hébergement de données à l’étranger est soumis au droit national où est situé le datacenter (irlandais en l’occurrence).
L’affaire est alors portée jusqu’à la Cour suprême, et traîne en attendant une nouvelle loi pour statuer… le Cloud Act, en 2018, qui enterre ainsi cinq ans de bataille judiciaire. C’est la consécration du principe de l’extraterritorialité des données.
En septembre dernier, Microsoft a riposté, en publiant six principes (autour de la sécurité et de transparence de l’utilisation des datas) qui pourraient être adoptés à l’échelle internationale dans le cadre d’accords entre Etats. Un pied-de-nez au Cloud Act applaudi par l’organisation américaine de défense des libertés numériques des citoyens, l’Electronic Frontier Foundation dans un billet publié en suivant.
Many of the CLOUD Act’s privacy failures—failure to require notice, failure to require prior judicial authorization—are addressed by Microsoft’s newly released principles. https://t.co/XvL73v7hoR
— EFF (@EFF) September 15, 2018
Le danger pour les utilisateurs tricolores
Outre la violation de la vie privée, le Cloud Act est considéré par de nombreux acteurs comme de l’espionnage industriel légalisé par les États-Unis.
« L’arrivée du Cloud Act qui, de l’avis de tous les experts, constitue une ingérence juridique jamais vue, est une menace pour le secret des affaires de toute entreprise tricolore contractant avec un prestataire américain », dénonçait Yves Garagnon, Directeur général de DiliTrust, dans l’Opinion.
Dans une tribune publiée sur le Journal Du Net Servane Augier et Olivier Iteanu, d’Hexatrust, une association qui regroupe les acteurs français de la cybersécurité estiment que « la solution est simple ». Selon eux, il faut « se tourner vers les nombreux acteurs offrant des alternatives souveraines, c’est-à-dire non seulement implantées en France, mais aussi et surtout de droit français ». Reste à trouver des serveurs aussi performants que ceux des Américains.
La mesure américaine pose également la question de la sécurité des données des administrations. L’enjeu est de taille puisqu’en France, les données de l’État sont actuellement stockées sur 50 000 serveurs répartis dans 120 datacenters, auxquels il faut ajouter 50 000 autres serveurs locaux. Depuis mai 2018, le Secrétaire d’Etat chargé du Numérique, Mounir Mahjoubi planche sur un projet d’hébergement public des données étatiques. Un cloud souverain.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
