Les renseignements américains ont-ils un droit d'accès légal à nos données?

Et si nos données privées étaient à la merci des autorités américaines? En toute légalité.
5 images
Et si nos données privées étaient à la merci des autorités américaines? En toute légalité. - © GLENN CHAPMAN - AFP

Et si les services de renseignement d’un autre pays venaient consulter vos informations confidentielles dans les centres de données situés en Europe ? C’est ce que revendiquent les autorités américaines dans le cadre du Patriot Act voté au lendemain du 11 septembre 2001. Microsoft tente de s’y opposer dans un bras de fer judiciaire débuté il y a deux ans et dont la conclusion est attendue dans les prochaines semaines. Un enjeu démocratique pour le respect de notre vie privée, doublé d’un enjeu économique pour les géants informatiques américains qui craignent de perdre des milliards de dollars dans l’opération.

Connu pour mener la chasse aux libertés individuelles aux Etats-Unis, le Patriot Act, renferme des clauses d’extra-territorialité qui téléporte la loi américaine par-delà ses frontières. C’est ainsi que les autorités américaines s’octroient le droit d’accéder aux données stockées sur les serveurs de sociétés américaines, y compris sur le territoire européen, et sans en informer les propriétaires des données concernées.

Le 4ème amendement ne concerne pas le "cloud"

C’est sur ce point que s’oppose Microsoft aux autorités américaines. Très concrètement, les USA veulent avoir accès à la messagerie d’un client dont les données sont stockées en Irlande, pays membre de l’Union européenne. Pour Microsoft, répondre à cette réquisition officielle constituerait un "chaos global", mais pour l’avocat du gouvernement américain, la question ne concernerait aucunement la localisation des données, mais bien l’entreprise qui les contrôle. Et Microsoft étant une entreprise US, elle est soumise au seul droit américain. Aux yeux de Washington, le 4ème amendement relatif à la saisie non motivée des données ne concerne pas le Cloud. Une position confirmée dans un premier temps par un tribunal en 2014. En mai de cette année-là, le juge James Francis, avait estimé que, dans le monde numérique, une entreprise ne peut s’opposer à la demande des autorités. Le texte invoqué était le "Stored Communications Act" qui s’applique aux fournisseurs américains de service Internet. Cela alors que Microsoft avait promis d'informer ses clients en cas d’injonction du gouvernement américain visant leurs données.

En appel de la première décision, Microsoft continue donc à soutenir le principe que les données stockées en dehors du territoire américain ne peuvent être revendiquées par les agences de renseignement américaines. La saga judiciaire en est là, l’épilogue étant attendu entre les mois d’octobre 2015 et de février 2016.

Preuve de l’importance du conflit : Satya Nadella, CEO de Microsoft (successeur de Steve Balmer en 2014) vient de recréer la fonction de président de l’entreprise pour la confier à Brad Smith. Celui-là même qui a représenté Microsoft lors de son combat contre le gouvernement américain. Brad Smith hérite dans la foulée de la direction des affaires juridiques. Difficile de croire qu’il s’agit là d’un pur hasard.

D’abord une question de principe…

La posture courageuse de Microsoft est aussi mercantile. Seul face aux autorités américaines, la société de Redmond est supportée par les plus grosses pointures du secteur. On retrouve, entre autres, Apple, Amazon, Cisco, HP Salesforce, eBay et Verizon. Alors qu’il n’était pas encore président, Brad Smith s’était déjà réjoui du soutien apporté par ses concurrents devenus pour l’occasion d’improbables alliés objectifs. Par la voix de Brad Smith, Microsoft n’est d’ailleurs pas opposé aux autorités. Il demande, en revanche, que les accords signés avec les pays concernés soient respectés.

En cours de procédure en décembre 2014, l’avocat de Microsoft était repris par toute la presse internationale lorsqu’il déclarait que "l’utilisation unilatérale par le gouvernement américain d’un mandat de perquisition pour obtenir un e-mail dans un autre pays met en danger les deux droits fondamentaux que sont la vie privée et les relations internationales cordiales".

…Ensuite une question d’argent

Par-delà les questions de principe, la méfiance née des révélations de l’affaire Snowden pourrait entraîner un manque à gagner considérable pour l’industrie IT d’outre-Atlantique.

Le coût industriel de la révélation sur l’espionnage de la NSA est estimé par l’ITIF à 35 milliards de dollars d’ici l’an prochain. Forrester Research va bien plus loin en évoquant une perte de 180 milliards de dollars d’ici deux ans. Ce qui représenterait 25% des revenus de l’industrie IT. Un arrêt en appel donnant raison aux autorités américaine pourrait entraîner une débâcle dans les centres de données appartenant aux entreprises américaines.

Ces entreprises ne sont d’ailleurs pas les seules à combattre la position liberticide du gouvernement. Les révélations d’Edward Snowden sur les agissements de la NSA (National Security Agency) ont largement contribué à ce mouvement vertueux.

Ce qui explique l’opposition de nombreuses organisations telles le Center for Democracy & Technology, l’Electronic Frontier Foundation ou l’American Civil Liberties Union.

La France en faveur d’une certification des gestionnaires de cloud

Partout en Europe, la défense s'organise. En France, l’association baptisée Cloud Confidence revendique une certification qui permettrait d’identifier les fournisseurs de stockage conformes aux normes européennes et qui ne donneraient pas suite aux réglementations étrangères de type Patriot Act. Les certifications seraient assurées par l’Anssi (Agence nationale pour la sécurité des systèmes d’information). Plusieurs prestataires se sont déjà engagés dans cette voie. Stéphane Verschueren, vice-président de la commission pour la protection de la vie privée estime une telle démarche envisageable en Belgique, mais elle a ses limites : "Ce type de certification est relatif. Le cloud se caractérise essentiellement par sa souplesse et, en général, les données sont stockées là où c’est le moins cher. Il est très difficile de savoir où elles sont conservées."

La confidentialité de nos données financières

En Belgique, Febelfin qui représente les banques et le monde financier belges explique qu’aucune loi spécifique n’interdit à nos entreprises de stocker des données financières à l’étranger. Il existe en revanche une directive européenne qui se transformera bientôt en règlement.

Dans le secteur financier, explique Rodolphe de Pierpont, porte-parole de Fedelfin, les données bancaires font l’objet d’une "confidentialité maximale". C’est ce que l’on appelle "l’obligation de discrétion". Le fameux secret bancaire. En termes de sécurité de stockage, les banques doivent se soumettre au règlement de la Banque Nationale de Belgique. Ce stockage peut se faire en Belgique et en Europe, mais il n'est pas interdit en dehors de l’Union. "Il s’agit d’un cas d’école, je n’en connais pas dans la réalité, mais le stockage pourrait se faire hors Europe à condition de respecter la même garantie juridique que dans le droit européen. Des banques extra-européennes pourraient confier des données à des centres installés à l’étranger. Mais s’il s’agit de données financières, l’autorisation de la Banque nationale sera requise." Ce que confirme la circulaire de la Banque Nationale (2004) sur les "saines pratiques". Ce document précise que la banque "veillera à ce que le fournisseur de services externes ait instauré des dispositifs …pour préserver la confidentialité et l’intégrité des données bancaires et relatives aux clients." Plus important : "La sous-traitance (ndlr : du stockage de données) ne peut avoir pour conséquence que des règles de droit, autres que celles convenues, s’appliquent à sa relation avec les clients." Et tout cela reste vrai en cas de "sous-traitance transfrontalière". C’est alors la CBFA (commission bancaire financière et des assurances) qui entre en action pour "examiner préalablement si les conditions sont remplies".

Mais la sécurité totale n'existe pas. A la commission de la Vie Privée, Stéphane Verschueren évoque le cas de grandes sociétés bancaires qui externalisent leurs données en Inde. Données qui, lors de tensions entre l’Inde et le Pakistan ont été scannées dans le cadre d'’enquête sur des opposants : "Le contrôle bancaire est alors très difficile". Une solution consiste, selon lui, à externaliser les données vers des pays avec lesquels la commission belge de la Vie Privée entretient des partenariat. C'est notamment le cas du Maroc.

Coalition belge de la cyber-sécurité

Pour lutter contre les tentatives de piratage de données s’est constituée sur notre territoire la Coalition de la Cyber Sécurité. Une initiative typiquement belge qui réunit aujourd’hui 65 entreprises, associations et organismes publics dans le seul but de lutter contre la destruction, le vol et le détournement de données. Selon les problématiques rencontrées, les experts se réunissent régulièrement pour comparer leurs expériences, évoquer les nouvelles menaces et des stratégies de défense.

Pour Natahelie Dewancker, cheville ouvrière de la coalition, un opérateur téléphonique (comme Mobistar, Proximus ou Base) ne peut fournir des données que sur réquisitoire d’un juge d’instruction. Une campagne de sensibilisation à la cybercriminalité sera lancée le 1er octobre pour sensibiliser le public.

Seul le verdict de la juridiction d’appel américaine permettra d’estimer le risque du cloud américain sur la confidentialité de nos données, mais la perspective de voir les données de la planète Terre rapatriées vers les agences de sécurité américaines est d’autant plus inquiétante que le modèle du "Cloud" se généralise au point de rendre les disques durs locaux obsolètes. Jamais l’informatique "Software As A Service (SAAS)" ne s’est autant développée, avec des taux de croissance passés à 150% en 2014 chez les principaux éditeurs de logiciels. La conclusion de Stéphane Verschueren de la commission de la Vie Privée est brève est sans appel : si la Cour d’appel donne raison aux autorités américaines, des entreprises comme Microsoft n’auront d’autre solution que de créer des filiales réellement détachées de la société mère. Mais la règle semble stricte :  "Sous l'angle de la confidentialité des données, s'adresser à une entreprise américaine est dangereux."

 

 

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK