Cette nouvelle question a été soulevée involontairement par Gordon Frazer, directeur général de Microsoft UK. Nous oublions que le Patriot Act américain concerne les sociétés américaines que se soit aux USA mais aussi dans le monde entier. Cela signifie que des données stockées par une société américaine aux USA peuvent être fournies aux autorités sur simple demande mais surtout, si un fournisseur américain stocke des informations en Allemagne ou en Pologne, les autorités américaines peuvent aussi y accéder en invoquant le Patriot Act ! Et cela concerne toutes les sociétés américaines ayant des implantations dans le monde !
Les conditions d'utilisation de Office 365 sont claires sur le sujet : « Question: Can Microsoft Online Services use or disclose my data without my permission?
In a limited number of circumstances, Microsoft may need to disclose data without your prior consent, including as needed to satisfy legal requirements, or to protect the rights or property of Microsoft or others (including the enforcement of agreements or policies governing the use of the service).
en bref, dans certains cas, Microsoft devra dévoiler les données d'un utilisateur sans que celui n'en soit prévenu pour des questions de sécurité légale. Et la suite enfonce le problème :
Question: What is the Microsoft Online Services process if law enforcement request my data? What does Microsoft do when subpoenaed or legally mandated to produce customers' information?
Microsoft Online Services believes that its customers should control their own information to the extent possible. Accordingly, if a governmental entity approaches Microsoft Online Services directly for information hosted on behalf of our customers, Microsoft Online Services will try in the first instance to redirect the entity to the customer to afford it the opportunity to determine how to respond. If nonetheless required to respond to the demand, Microsoft Online Services will only provide information belonging to its customers when it is legally required to do so, will limit the production to only that information which it is required to disclose and will use commercially reasonable efforts to notify the enterprise customer in advance of any production unless legally prohibited.
Or en Europe, la directive sur la protection des données devrait primée en Europe mais cela ne semble pas être le cas et comme par hasard, aucune fournisseur américain ne communique clairement sur le sujet même si les conditions générales l'indiquent…
Au parlement européen, des députés demandent des éclaircissement sur le Patriot Act et les fondamentaux européens :
1. La Commission est-elle au courant que les dispositions du Patriot Act autorisent les autorités américaines à accéder aux données personnelles enregistrées dans l'Union par des entreprises ayant leur siège aux États-Unis? (http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/11225).
2. Comment la Commission évalue-t-elle la situation au vu de sa déclaration en juillet 2007 (http://www.europarl.europa.eu/sides/getAllAnswers.do?reference=P-2007-3213&language=EN): «5. La Commission et les autorités de protection des données des États membres ont examiné si des organisations du secteur commercial, développant des opérations ou des activités aux États-Unis, notamment les entreprises offrant des services financiers, ont fait l'objet de mesures adoptées par les autorités américaines leur demandant de fournir des données personnelles enregistrées dans l'Union. Il apparaît que les autorités de protection des données des États membres ne sont pas au courant de ces mesures, même si l'une d'entre elles a toutefois reconnu que certaines entreprises présentes sur son territoire ont fait l'objet de cette demande, indépendamment de tout mécanisme d'assistance juridique internationale?».
3. La Commission considère-t-elle que le Patriot Act transgresse en effet la directive européenne 95/46/CE relative à la protection des données?
4. Que compte faire la Commission pour remédier à cette situation et veiller à ce que les règles européennes pour la protection des données soient bel et bien appliquées et que la législation de pays tiers ne prenne pas le dessus sur la réglementation européenne?
ces questions datent du 13 juillet 2011. il devient urgent que les fournisseurs cloud clarifient ouvertement la situation et préviennent systématiquement les utilisateurs de manière claire et immédiate.
Google a confirmé officiellement lui aussi cet état de fait : http://www.zdnet.com/blog/igeneration/google-admits-patriot-act-requests-handed-over-european-data-to-us-authorities/12191
Google ne pouvait pas ne pas être soumis car étant société américaine. Rappelons qu'il s'agit d'un risque potentiel mais il existe et pour une entreprise européenne cela peut poser problème de confidentialité surtout que l'utilisateur peut ne pas être mis au courant !
notre conseil immédiat : Demandez expressément à votre fournisseur un point précis sur les données privés, et l'ensemble du privacy. si vous avez un service juridique demandez un examen urgent de la situation.
François Tonic cloudmagazine.fr
