CLOUD Act : pourquoi ça vous concerne

CloudRisquesSécurité
windows-antivirus-problemes

Comment protéger vos données d’entreprise face au CLOUD Act ? À l’heure où l’Europe esquisse une réponse entre les zones d’ombre, plusieurs solutions existent.

Pour Dominic Trott, directeur de recherche associé chez IDC dans le domaine de la sécurité et de la vie privée, le Cloud Act est une problématique qui s’adresse à chaque entreprise : face à l’incertitude juridique, cherchez des réponses chez vos fournisseurs technologiques. Le chiffrement en fait partie, aux côtés, entre autres, de la segmentation des données.

Concernés au premier chef, les prestataires de services cloud ont accentué leur communication pour éclairer la situation.

CLOUD Act : le « court-circuit »

Des dispositifs préexistaient au CLOUD Act pour permettre aux autorités américaines d’accéder à des données localisées hors des États-Unis. Notamment les lettres rogatoires, transmises entre tribunaux.

Autre mécanisme : l’entraide pénale internationale. Moyennant l’aval d’un juge indépendant, un gouvernement peut en solliciter un autre dans le cadre d’un accord d’assistance mutuelle (MLAT, pour « Mutual legal assistance treaty »). Les États-Unis ont signé de tels accords avec une soixantaine de pays.

Bien que plus rapide que les lettres rogatoires, les MLAT restent un dispositif contraignant. Les démarches prennent en moyenne 10 mois pour aboutir, d’après les données de l’Union européenne.

Le CLOUD Act « court-circuite » ces procédures en ouvrant la voie à des accords bilatéraux. C’est-à-dire des négociations entre pays pour lever les barrières aux réquisitions.
Aux États-Unis, par exemple, le SCA constitue le principal obstacle. De manière générale, il interdit aux entreprises soumises au droit américain de communiquer des données à des pays étrangers.

Les barrières levées, l’exécutif peut faire ses réquisitions directement auprès de deux catégories de fournisseurs. D’un côté, ceux qui procurent des « services de communications électroniques au public ». De l’autre, les « services d’informatique à distance » (les plates-formes cloud en font partie).

Les États-Unis ne peuvent solliciter que les fournisseurs soumis au droit américain. Tout n’est cependant pas clair sur ce point. Par exemple, avoir des clients sur place sans disposer d’une implantation peut-il être retenu comme critère ? Theodore Christakis, membre de l’Institut universitaire de France et du Conseil national du numérique, estime que non. Y compris quand on mentionne les doutes qu’exprime au contraire Frédéric Pierucci, l’ancien directeur d’Alstom Power (vidéo ci-dessous).

Contrôler a posteriori

Le CLOUD Act impose un certain nombre de conditions pour les demandes que formulent les autorités américaines. Elles doivent notamment être ciblées, basées sur « des faits raisonnables et crédibles » ou encore ne pas menacer la liberté d’expression.

Rien n’oblige à notifier les personnes physiques ou morales que visent ces requêtes. Elles ne font par ailleurs pas l’objet d’un contrôle a priori. Il appartient aux fournisseurs de services de les contester sous 14 jours devant la justice U.S. s’ils ont des raisons de croire :

  • que la personne visée n’est pas citoyen ou résident permanent des États-Unis (sont considérées comme tels les associations dont « un grand nombre de membres » sont citoyens ou résidents permanents américains) ;
  • qu’il existe un risque de conflit avec les lois d’un autre pays.

Pour être sollicités, les fournisseurs de services doivent avoir « la possession, le contrôle ou la responsabilité » des données recherchées.
Problème : la définition n’est pas harmonisée au niveau fédéral. Le deuxième circuit (Connecticut, New York, Vermont) en a l’une des interprétations les plus larges.

L’impact du RGPD

Certaines dispositions du RGPD encore plus de zones d’ombre, en tout cas pour ce qui est des données personnelles.

Il faudra en tenir compte dans le cadre de l’accord bilatéral qui se dessine au niveau européen, à travers le projet de règlement dit « e-Evidence », en discussion depuis 2016 après les attentats de Bruxelles.

La Commission européenne a proposé un texte en avril 2018.
L’objectif est le même qu’avec le CLOUD Act : créer un cadre juridique qui favorise l’accès transfrontière aux preuves électroniques dans le cadre de procédures pénales.

La principale mesure consiste à créer des injonctions de production et de conservation. Elles s’appliqueraient directement aux prestataires offrant des services dans l’Union et établis ou représentés dans un autre État membre, indépendamment de la localisation des données.

Le Conseil de l’Europe a arrêté sa position en décembre 2018 – et l’a précisée en mars 2019 concernant la désignation de représentants légaux pour la collecte de preuves. Il estime qu’un accord bilatéral noué avec les États-Unis sous l’égide du règlement « e-Evidence » permettrait de ramener à 10 jours le délai de transmission des données demandées.

RGPD : contrainte ou riposte ?

Le Parlement européen devrait arrêter sa position au mois d’octobre. Pourront alors s’engager les négociations en trilogue, avec en toile de fond les réserves exprimées notamment par le G29 (devenu le Comité européen de la protection des données). Celui-ci redoute que l’accès aux données de souscription (informations sur l’abonné à un service) constitue une ingérence dans le droit à la vie privée.

D’autres notions restent à préciser, telle celle de crime « sérieux », motif que les États-Unis peuvent avancer pour demander des données.

L’UE travaille aussi sur un protocole additionnel à la Convention de Budapest sur la cybercriminalité. Le but : établir un régime d’entraide judiciaire plus efficace entre les 63 États signataires.

Concernant le RGPD, on surveillera d’éventuels conflits avec les articles 44 et 50. Le premier pose les principes généraux du transfert de données personnelles vers des pays tiers ou à des organisations internationales. Le second traite de la coopération internationale dans le domaine.
Se pose la question de savoir si les accords bilatéraux tomberont sous le coup des dérogations mentionnées à l’article 49. Plus précisément leur nécessité « pour des motifs importants d’intérêt public ».

Photo d’illustration © Pixabay via Pexels.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur