Le 23 mars 2018, le président des États-Unis Donald Trump signe le Consolidated Appropriations Act, 2018, un ensemble de lois définissant principalement des budgets fédéraux pour l’année 2018, mais également des amendements de lois existantes. C’est au milieu de ce document de plus de 2000 pages qu’apparaît le Clarifying Lawful Overseas Use of Data Act – plus connu sous son acronyme Cloud Act. Cette loi a notamment pour objectif de clarifier les obligations des acteurs numériques états-uniens lorsque les autorités fédérales réclament l’accès à des données qu’elles stockent en dehors de leurs frontières. Elle vient en premier lieu répondre à une joute juridique entre Microsoft et le Department of Justice (DoJ), ce dernier réclamant l’accès à des données d’un compte Hotmail stocké en Irlande, accès refusé par Microsoft qui considère ces données hors de portée pour la justice américaine.
Pour un prestataire de services numériques, la garantie de confidentialité des données est en effet un élément essentiel du contrat avec ses clients. Si ce client est un particulier, il n’a aucune envie de voir ses données personnelles être fouillées et analysées, certainement pas par un gouvernement, qu’il soit le sien ou étranger. Et s’il est une entreprise, il veut être certain que ses données, qui sont un actif essentiel, restent sa propriété sans risque de fuite vers ses concurrents. Ce qui pousse Microsoft à aller contre les autorités fédérales, c’est la volonté de se présenter comme un fournisseur prêt à se battre pour ses clients, quitte à affronter l’administration et les plus hautes sphères de la justice, menant la bataille jusqu’à la Cour Suprême.
L'origine du Cloud Act
Si Microsoft tient tant à défendre la confidentialité des données de son client – il est question de trafic de drogue –, c’est que la société fait partie des acteurs ayant été épinglés par Edward Snowden lors de ses révélations sur le programme PRISM, un programme d’espionnage électronique massif opéré par la NSA sous prétexte de lutte contre le terrorisme, fruit de l’union du Patriot Act et du programme Echelon. Sa position de fournisseur de solutions de communication et de traitement des données en ligne – la suite Office 365 –, un marché qu’elle partage notamment avec Google et sa suite G Suite, en a fait un partenaire de choix pour les services de renseignements américains. Email, espaces de stockage et outils de travail collaboratif en ligne font partie des services dont la démocratisation s’est faite grâce à ces acteurs du numériques, et qui sont utilisés aussi bien par les particuliers que par les entreprises. Ces acteurs du numérique sont constamment tiraillés entre leur rôle de fournisseurs de solutions tournées vers l’innovation – qui mettent la sécurité des données au cœur de leurs préoccupations – et leurs devoirs en tant que sociétés soumises aux lois des États-Unis d’Amérique.
L’annonce du Cloud Act a été commentée en deux temps par Microsoft. Dans un premier temps, l’entreprise a salué un bon compromis, qui appelle à négocier des accords bilatéraux pour « faciliter » la coopération judiciaire, et qui permet surtout d’avancer dans le litige qui l’oppose au DoJ. Dans un second temps, elle propose une série de 6 principes à mettre en œuvre lors de la négociation d’accords de coopération, parmi lesquels une obligation de transparence et de notification des intéressés, ainsi que la garantie de l’encadrement par un juge de la procédure. Ce sont bien évidemment des suggestions, n’ayant pas d’autre effet que de chercher à positionner un peu plus Microsoft comme un acteur prêt à défendre la confidentialité des données de ses clients.
La nécessité de redorer la confidentialité des données
L’annonce du Cloud Act n’a pas manqué de faire réagir les Européens : à quelques semaines de l’entrée en vigueur du Règlement Général de Protection des Données (RGPD), les États-Unis promulguaient une loi venant en confrontation directe avec ses principes : d’un côté, le Cloud Act est présenté comme la clé ouvrant l’accès sans condition aux données de n’importe quelle entité hébergée par un acteur américain, face à un RGPD parangon de la protection des données personnelles. La réalité est évidemment bien plus nuancée, mais l’incertitude liée aux interactions entre ces outils juridiques, et surtout la volonté de leur législateur respectif à imposer leur norme, rend le sujet éminemment complexe.
Cependant, si la question de la portée législative du Cloud Act a fait réagir l’exécutif européen, elle a également fait réagir les entreprises européennes du numérique, qui ont fait de la question de la souveraineté des données un élément au cœur de leur projet industriel. Pour faire face à l’hégémonie des solutions de Microsoft et Google, mais également à la domination d’Amazon dans les services d’hébergement numérique flexible – le fameux Cloud –, la filière européenne cherche à faire émerger des champions. Le fâcheux épisode du Cloud souverain de 2013 mis de côté, la France compte sur les services d’OVH et de 3DS Outscale, la filiale Cloud de Dassault Systèmes, pour développer une plateforme de confiance, hors de portée des États-Unis. Le message, rôdé au fil des ans et des législations (le Patriot Act et PRISM hier, le Cloud Act aujourd’hui), est clair : toute aussi relative que doit être la confiance placée dans votre prestataire d’hébergement de données, il vaut mieux que ce dernier ne soit tout de même pas soumis aux desiderata d’intérêts étrangers. Héberger ses données chez un prestataire américain, c’est ouvrir l’accès à ses données au gouvernement américain, pour preuve : le Cloud Act.
L'indignation européenne liée au RGP
La réponse des acteurs américains à ces assertions est double. Leur première défense est que leur intérêt est des préserver avant tout ceux de leurs clients. Optant pour une approche se voulant pédagogique, ils expliquent qu’ils n’ont aucun intérêt à ouvrir sans conditions l’accès aux données de leurs clients à diverses instances américaines, et que la portée du CLOUD Act est de toute façon exagérée. Jouant la carte de la transparence, ils publient régulièrement des rapports sur le nombre de requêtes qu’ils reçoivent de la part de leur gouvernement – ainsi que de gouvernements étrangers – et sur les réponses qu’ils apportent à ces requêtes. L’objectif étant de démontrer leur capacité à protéger les données d’intrusions étatiques en limitant aux demandes strictement justifiées et encadrées.
La seconde réponse est une antienne bien connue du monde de l’hébergement web : ne nous faites pas confiance ! Chiffrez vos données pour que ne puissions pas les lire, nous mettons tous les outils nécessaires à votre disposition pour vous simplifier la tâche. En effet, si un prestataire ne peut pas fournir autre chose que des données illisibles à la justice, elle devra soit s’en contenter, soit s’adresser directement à leur propriétaire légitime qui sera ainsi conscient de l’intérêt qui lui est porté.
L’argument mis en avant par les acteurs américains, « nous vous permettons de rendre inopérant le Cloud Act », est un argument fort tant que la problématique est centrée sur la question de la confidentialité des données. Or ce n’est qu’une partie du problème : l’extraterritorialité qui s’affirme au travers du Cloud Act est le véritable danger de cette loi.
Les rapports Berger-Lellouche et Gauvain rappellent que dans le cadre du Foreign Corrupt Practices Act, le simple fait de faire transiter un email par un serveur présent sur le territoire américain justifie de la compétence d’un tribunal américain. En étendant virtuellement le territoire américain hors de ses frontières au travers du Cloud Act, le législateur se dote d’outils qui, demain, pourraient lui permettre de « justifier » de sa compétence sur de nouvelles affaires, qu’elles soient liées à la corruption ou au non-respect de sanctions décidées unilatéralement, sous le prétexte que sa cible utilise des services liés à des prestataires américains, et ce, sans avoir besoin d’accéder au contenu des données, mais par leur simple fait d’exister.
Il est donc nécessaire de sortir de la dialectique qui veut que la donnée ne soit utile qu’en tant que preuve par son contenu : soumise au Cloud Act, elle devient aujourd’hui un vecteur d’attaque par son unique existence.
Cédric Joly