Désinformation ou réel danger pour les données des européens ? Le « Cloud Act » américain soulève de nombreuses interrogations. Le Syntec mène un travail de lobbyiste en faveur des fournisseurs Cloud pour dédramatiser le texte.
Début octobre, Godefroy de Bentzmann publiait dans le quotidien Les Echos une tribune sur le Cloud Act, une tribune où en tant que président du Syntec Numérique, il dénonçait une campagne de désinformation portant sur ce texte. Ce règlement signé par Donald Trump doit donner un accès aux juges sur les emails, documents et communications stockés par les fournisseurs américains, y compris si ceux-ci sont hébergés à l’étranger. Le Syntec, dont Amazon Web Services, IBM, Microsoft et Google sont membres, est monté au créneau pour expliquer le texte afin d’éviter de voir s’édifier une défiance vis-à-vis du Cloud.
Rappelant que le Cloud Act, acronyme de « Clarifying Lawful Overseas Use of Data » n’est pas un règlement à proprement parler sur le Cloud, mais sur l’accès aux données hors du territoire des Etats-Unis, le président du Syntec souligne que le texte s’applique tant aux opérateurs de services Cloud américain qu’aux hébergeurs et offreurs de services français présents outre-Atlantique. Il rappelle surtout que les demandes de communication de données ne pourront intervenir que dans le cadre d’enquêtes judiciaires, avec un mandat délivré par une juridiction, et que les services de renseignement n’auront pas porte ouverte aux données. Néanmoins, la notion d’extraterritorialité introduite par le texte pose question.
Les négociations des accords bilatéraux n’ont pas démarré
Le président du Syntec pointe avec justesse le besoin de se concentrer sur la négociation d’un accord franco-américain, ce qu’a confirmé Guillaume Poupard, le directeur général de l’ANSSI, lors des Assises de la Sécurité : « Le Cloud Act fait référence à des accords entre les Etats-Unis et l’Europe ou ses Etats membres, ce n’est pas défini. Ce sera probablement avec chaque Etat membre et c’est l’objet des discussions actuelles. »
Guillaume Poupard s’est montré prudent sur l’analyse du texte américain: « Très concrètement, quelles seront les obligations d’un industriel américain ou d’un industriel français qui a une activité aux Etats-Unis ? Quels seront les risques potentiels que cela engendrera ? Nous n’avons pas aujourd’hui la réponse claire, unanime et partagée par l’ensemble des acteurs. » De l’aveu même de Guillaume Poupard, les négociations d’un accord franco-américain n’ont même pas encore été engagées, mais il a souligné que tout n’est pas négatif dans ce règlement : « Le but est d’aider la justice à faire son travail, ce avec quoi on ne peut être que d’accord, mais ce Cloud Act ne doit pas masquer le Patriot Act : j’ai plus peur des services de renseignements que des juges ! »
Les clients d’OVH protégés du Patriot Act.
Quant au Cloud Act…
Octave Klaba, fondateur d’OVH, l’a révélé à l’occasion de l’OVH Summit, OVH dispose actuellement de deux datacenters aux Etats-Unis et de ce fait, il est soumis au Patriot Act. Michel Paulin, nouveau PDG d’OVH, a expliqué comment OVH soustrayait ses clients européens à la surveillance de l’oncle Sam : « D’un point de vue juridique, nous avons isolé les Etats-Unis dans notre structure, de même que le Canada. Nous avons en quelque sorte créé un silo si bien que les clients européens et hors des Etats-Unis ne sont pas affectés par le Patriot Act et sont placés hors de son emprise. Le Cloud Act est différent car il introduit une notion d’extraterritorialité. C’est avant tout une question politique : pourquoi des pays accepteraient que des lois américaines l’emportent sur leurs lois nationales ? Ce n’est bien évidemment pas acceptable. «
