Recevez chaque jour toute l'actualité du numérique

x

Cloud Act et souveraineté numérique

Cette semaine, Eric A. Caprioli, du cabinet d'avocats Caprioli & Associés, revient sur les tenants et aboutissants du Cloud Act en termes de souveraineté numérique... et sur les inquiétudes que le texte génère.
Twitter Facebook Linkedin Flipboard Email
×

Cloud Act et souveraineté numérique
Cloud Act et souveraineté numérique © Loving earth - Flickr - C.C.

Promulgué par le président Trump le 26 mars 2018, le le CLOUD Act (« Clarifying  Lawful  Overseas Use of Data Act ») établit de nouvelles règles pour simplifier (« clarifier ») l’échange de données électroniques entre les autorités américaines et étrangères dans le cadre de procédures judiciaires. Accusé d’ouvrir la porte à un accès indiscriminé aux données au profit des services de renseignement américains, ce texte suscite une vive inquiétude des utilisateurs du cloud en Europe.


Un texte adopté à la sauvette dans le sillage de l’affaire Microsoft

L’adoption du CLOUD Act est une séquelle du bras de fer judiciaire entre les autorités judiciaires américaines et Microsoft de 2013 à 2018. Dans le cadre d’une enquête sur des faits de trafic de stupéfiants, la société avait refusé au Department of Justice (DoJ) l’accès à des mails stockés dans un data center irlandais. Microsoft faisait valoir dans un premier temps que le contenu des courriels, n’appartenant qu’à ses clients, n’était pas sous son contrôle : le DoJ avait l’obligation d’utiliser un mandat de perquisition (« search warrant ») plutôt qu’une citation à comparaître (« subpoenas ») pour demander la communication du contenu des mails stockés en Irlande. Dans un 2ème temps, Microsoft avait contesté la légalité du mandat de recherche émis sous l’empire du Store Communication Act de 1986, au motif qu’il ne pouvait être appliqué sur le sol irlandais.


Domaine d’application du CLOUD Act

Sans attendre la décision de la Cour suprême, qui a abandonné les poursuites contre Microsoft le 3 avril 2018, le Congrès adopte un texte prévoyant qu’en présence de « serious crime », les autorités judiciaires disposent d’un droit de communication des données afférentes stockées dans des datacenters situés hors du territoire américain.

Le périmètre du CLOUD Act est tout d’abord délimité aux procédures judiciaires de nature criminelles.

Sur le champ d’application territoriale, la question de la localisation des données ne se pose plus : un fournisseur de service américain doit communiquer les données qu’il stocke où qu’elles soient. Les données doivent être accessibles depuis les Etats-Unis, même stockées en dehors du territoire américain : elles sont supposées se trouver « à portée de clics » des autorités fédérales et par une fiction techno-juridique, se trouver sur le sol américain.

S’agissant ensuite des données concernées, celles-ci peuvent être des données de contenu (substance et signification des messages, documents et communications électroniques), des métadonnées (ID, logs, adresses électroniques) et des données de souscription concernant un abonné (nom, prénom, adresse, numéro de téléphone, moyen de paiement, numéro de carte bancaire).

Enfin, quant aux sociétés concernées, le CLOUD Act n’est pas limité aux seules entreprises américaines traitant ou hébergeant des données hors du territoire des E-U, bien que les GAFAM opérant en Europe soient les plus directement concernés.


Quelques rappels importants

Le CLOUD Act n’est pas un nouveau cheval de Troie au service de l’espionnage industriel des Etats-Unis et ne donne pas un droit d’accès indiscriminé aux données détenus dans les datacenters européens. Seuls sont concernés les données relatives à des procédures judiciaires « criminelles ». Or, n’oublions pas que la section 702 du Foreign Intelligence Surveillance Amendment Act (FISA) permet depuis 1978 aux services secrets américains de collecter sans mandat, auprès d’entreprises américaines, des données concernant des citoyens non-américains se trouvant hors des USA. Cette disposition a été reconduite par le Président Trump le 19 janvier 2018 pour six ans. L’inquiétude des européens devraient se concentrer sur ce point.

Ensuite, le texte permet aux prestataires de cloud de contester la démarche diligentée par les autorités américaines en présentant une requête en modification ou en annulation de la demande de communication, à condition que l’Etat ait signé un accord bilatéral avec les Etats-Unis (« executive agreement »).

Last, but not least, le CLOUD Act s’applique réciproquement aux autorités judiciaires européennes effectuant des demandes de communication de données détenues dans des data centers localisés sur le territoire des USA. Alors, réciprocité ?


Mais de nombreux angles morts demeurent...

Cependant, de nombreux angles morts peuvent justifier certaines angoisses des opérateurs de CLOUD. Sur les infractions concernées, le texte vise les « serious crime, including terrorism » à travers la protection de la « public safety », autant de notions floues susceptibles de recouvrir des infractions très variées et de dissimuler des décisions judiciaires fondées sur une logique davantage économique que juridique (ex : l’affaire Megaupload). La question du périmètre des « serious crime » est donc ouverte, comme celle de « content » (contenus), notion volontairement vague ne permettant pas de faire de distinction entre les données concernées.

Enfin, le texte dispose que chaque pays doit négocier avec le gouvernement américain un accord régissant les conditions d’accès aux données dans le cadre du CLOUD Act. Sans accord bilatéral, le fournisseur européen ne pourra s’opposer à une demande de communication des autorités américaines. Mais le problème vient des solutions d’hébergement proposées par les GAFAM (et autres : ex : Sales force) : les Etats-Unis ont désormais un accès facilité à toutes les données contrôlées par ces entreprises actuellement en position dominante sur le marché européen du cloud. Le CLOUD Act révèle ainsi la faiblesse structurelle de l’Europe : l’absence de clouds souverains européens.


Proposition de Règlement e-Evidence : la réponse du berger à la bergère

« La souveraineté numérique, c’est d’être capable de résister aux sanctions extraterritoriales américaines, au Cloud Act américain (…) », a déclaré Bruno Le Maire en janvier. Face à l’application extraterritoriale du CLOUD Act, la résistance s’organise en France et en Europe. La Commission européenne a proposé le 17 avril 2018 un règlement e-Evidence prévoyant une « injonction de production » qui permet aux autorités judiciaires d’un Etat membre de demander des preuves électroniques directement auprès du prestataire. Cette proposition semble a priori insatisfaisante d’un point de vue pratique, en ce qu’elle organise un jeu à somme nulle avec le CLOUD Act. La seule réponse devrait être celle d’un accord bilatéral de coopération judiciaire transatlantique (existe-t- il encore une quelconque volonté de coopération du gouvernement Trump ?).


Le « cloud souverain » à la française

La France planche sur la promotion d’un « cloud souverain », qui pourrait se traduire par des propositions du gouvernement avant l’été. Ce concept doit concrètement inciter les entreprises françaises à adopter une stratégie « multicloud », se résumant à travers la formule campagnarde pleine de bon sens : « ne pas mettre tous ses œufs dans le même panier ». Principe, au demeurant, à la base de la cybersécurité.


Le « multicloud » consiste en premier lieu à privilégier les hébergeurs et développeurs français d’applications pour le stockage et le traitement des données les plus sensibles. Sur les informations moins cruciales ensuite, les entreprises peuvent continuer à se reposer sur d’autres prestataires, y compris étrangers (US). Pour rassurer les clients tout en protégeant la souveraineté des données contre le risque d’intrusions américaines, les fournisseurs doivent proposer des solutions multi-hébergement en fonction de la nature des données, et séparer hermétiquement les données des clients américains des clients européens. La stratégie multicloud impose une réorganisation profonde des fournisseurs, orientée vers une segmentation ultra-affinée des offres d’hébergements.


Eric A. Caprioli, Avocat à la Cour, Docteur en droit, membre de la délégation française aux Nations Unies
Société d’avocats membre de JurisDéfi


Les avis d'experts sont publiés sous la seule responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media