Avec le Cloud Act, nouvelle loi votée outre-Atlantique, Microsoft et autres Cloud providers étrangers disposant de serveurs en France, ou hors Etats-Unis, peuvent être contraints de dévoiler au gouvernement américain les données stockées, ce qui apparaît en contradiction avec les lois et valeurs européennes sur la protection des données personnelles. Faut-il alors se passer de ces géants de l’IT ?
Fin mars, le président américain Donald Trump a ratifié une loi donnant un cadre légal à la saisie d’emails ou autres données à l’étranger. Le Cloud Act, inséré dans la gigantesque loi de finances, permet au ministère américain de la Justice de signer des accords avec d’autres pays pour accélérer les demandes de ce type en certifiant que ces pays respectent les libertés individuelles et la vie privée. Ce texte était notamment motivé par le conflit qui oppose depuis 2013 Microsoft au gouvernement américain et que la Cour Suprême avait examiné avec perplexité fin février. L’affaire avait débuté sous la forme d’un mandat de perquisition enjoignant Microsoft à remettre les contenus d’un compte email utilisé par un trafiquant de drogue présumé. Problème, les messages visés étaient stockés en Irlande. Microsoft gère une centaine de centres d’hébergement de données répartis dans 40 pays. Le groupe avait refusé de s’exécuter, en soutenant qu’effectuer une saisie dans un serveur à Dublin revenait à fouiller un domicile dans un autre pays que les Etats-Unis. Face à ce casse-tête, la magistrate de la Cour Suprême Sonia Sotomayor avait alors suggéré d’attendre le Cloud Act.
Il s’agit d’une loi « forte » qui représente « un bon compromis » Brad Smith, Microsoft
Microsoft, Oracle, Amazon Web Services, Google… autant de sociétés américaines qui hébergent documents et communications électroniques dans des datacenters hors Etats-Unis et qui sont donc concernées.
Les Gafam et autres concernés
Pour Brad Smith, président et Chief Legal Officer de Microsoft, cette loi crée un « cadre juridique moderne », écrivait-il le 21 mars sur le blog de Microsoft. Il s’agit d’une loi « forte » qui représente « un bon compromis ». Pour le responsable, elle permettra à Microsoft de « défendre les droits à la vie privée de nos clients partout dans le monde ». Si les groupes technologiques plaidaient en faveur d’une législation claire sur le sujet, certains défenseurs de la vie privée et des droits numériques estiment que la nouvelle loi ne prémunit pas assez contre les gouvernements qui enfreignent les droits de l’Homme, ce qui pourrait ouvrir la voie à une surveillance accrue et affaiblir la protection des militants des droits de l’Homme, de journalistes, etc. « Les polices américaine et étrangère auront de nouveaux mécanismes pour saisir des données dans le monde entier, s’alarme notamment David Ruiz de l’organisation Electronic Frontier Foundation (EFF). […] Vos courriels privés, vos conversations en ligne, vos photos Facebook, Google, Flickr, vos vidéos Snapchat, vos vies privées en ligne, vos moments partagés numériquement entre ceux en qui vous avez confiance seront ouverts aux forces de l’ordre étrangères sans mandat et avec peu de restrictions sur l’utilisation et le partage de vos informations. » Pour l’ACLU (American Civil Liberties Unions, Union des libertés civiles américaines), le Cloud Act porte « atteinte aux droits des individus à l’intérieur et à l’extérieur des États-Unis », écrit-elle dans une lettre sur son blog.
Le Cloud Act en contradiction avec les dispositions du RGPD
En France, Hexatrust, porte-drapeau de l’écosystème cybersécurité et Cloud français, s’inquiète. Dans une tribune co-écrite par Servane Augier et Olivier Iteanu, respectivement administrateur et vice-président d’Hexatrust, le groupement aux 60 membres adhérents explique que ce « texte suscite de nombreuses préoccupations car il renforce l’ingérence des autorités américaines sur les opérateurs de Cloud computing. » Les auteurs ajoutent que la loi « pose des difficultés en termes de respect de la vie privée, des Européens en particulier. » Ils précisent : « Le Cloud Act entre ainsi en contradiction avec les dispositions du RGPD (Règlement UE 2016/679), notamment les articles 44 et suivants et spécialement l’article 48 sur les Transferts ou divulgations non autorisés par le droit de l’Union qui dispose que “Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international […] ” ».
« Il faut se tourner vers les nombreux acteurs offrant des alternatives souveraines. »
Servane Augier et Olivier Iteanu, Hexatrust
Un retour en arrière
Interrogé sur le sujet, Jules-Henri Gavetti, président d’Ikoula, spécialiste de l’hébergement informatique, des serveurs dédiés et du Cloud français, renchérit : « Le Cloud Act va renforcer les pouvoirs des agences de surveillance américaines, en facilitant leur accès aux données stockées dans des datacenters appartenant à des sociétés d’origine américaine. Emails, conversations en ligne, photos et vidéos des abonnés résidentiels, comptes clients, documents corporate et confidentiels et communications des entreprises, toutes ces données seront susceptibles de faire l’objet d’une demande d’accès ». Puis ajoute : « Tant que les entreprises françaises feront appel à des prestataires de cloud computing d’origine américaine, elles seront confrontées au renforcement de l’ingérence de l’oncle Sam sur ces opérateurs… et au risque de divulgation de leurs données à ces autorités ». Pour Servane Augier et Olivier Iteanu, le Cloud Act marque « un retour en arrière » et une forme « d’ingérence numérique ». « La situation entraîne des risques liés à l’Espionnage industriel, la sécurité nationale, la propriété intellectuelle, la protection des données personnelles. »
Vers des alternatives souveraines
Mais quelles alternatives alors que la majorité des entreprises utilisent par exemple les messageries Outlook ou Gmail, le CRM Salesforce, la suite Office 365… ? La solution apparaît simple aux yeux d’Hexatrust : « Se tourner vers les nombreux acteurs offrant des alternatives souveraines, c’est-à-dire non seulement implantés en France, mais aussi et surtout de droit français. »
Jules-Henri Gavetti indique : « Le premier réflexe à adopter serait de prendre l’habitude de ne pas partager ses données et document sensibles et confidentiels via ce genre d’outils, mais de les crypter via un protocole sécurisé, avant de les sauvegarder dans des outils internes et/ou chez un prestataire français, qui les hébergera exclusivement sur le territoire national, et qui obéira seulement au droit local. L’utilisation au maximum de solutions open source est aussi un bon réflexe à avoir. »
David Chassan, Chief communications Officer d’Outscale, fournisseur de services d’infrastructure Cloud, nous déclare : « En effet. D’une part de nombreuses applications hébergent déjà les données sur des serveurs localisés hors de France, voire simplement aux USA. D’autre part, même si certaines sociétés américaines annoncent l’hébergement des données en France, elles restent des entreprises soumises au Cloud Act. »
« Les entreprises et organisations du secteur public ont le choix : soit de choisir un prestataire américain même s’il annonce un centre de données en France, soit un prestataire français, de droit français et garantissant la localisation des données en France. Il en est de même pour les applications. Par exemple, il est possible d’avoir Office 365 dont l’application est hébergée en France et les données aussi. Nous l’expliquons ici : https://fr.outscale.com/les-offres-de-services-de-cloud-computing/licences-microsoft-windows-office-365-o365/.
Enfin, l’entreprise peut choisir les dernières technologies de Cloud on-Premise françaises (https://fr.outscale.com/les-offres-de-services-de-cloud-computing/top-cloud-hybride-nouvelle-generation/) qui permettent une grande agilité IT tout en répondant aux exigences de sécurité, de gouvernance et de souveraineté des données. En effet, une appliance Cloud, certifiée ISO 27001-2013, intégrant matériel et OS Cloud, permet de servir tous les besoins de l’entreprise : sécurité, scalabilité et services managés. »
Comme le rappelle Jean-Noël de Galzain, président d’Hexatrust et par ailleurs CEO de Wallix « L’innovation et l’industrie européenne sont la clé de la souveraineté européenne ».
