Le magazine L’Usine nouvelle revient, sous la plume de Jules-Henri Gavetti, fondateur et président d'Ikoula (un hébergeur informatique), sur les inquiétudes que suscite le «Cloud Act», au sein de l’Union européenne.(*)
Le Clarifying Lawful Overseas Use of Data Act ou Cloud Act (H.R. 4943) est une loi fédérale des Etats-Unis adoptée le 23 mars 2018 qui organise la surveillance des données personnelles, notamment dans le Cloud.
Elle modifie principalement le chapitre 121 du Titre 18 du United States Code, dénommé Stored Communications Act de 1986, en permettant aux forces de l'ordre (fédérales ou locales, y compris municipales) de contraindre les fournisseurs de services américains, par mandat ou assignation, à fournir des données stockées sur leurs serveurs, qu'ils soient situés aux Etats-Unis ou dans des pays étrangers.
Telle est en gros la teneur du texte incriminé, à juste titre.
Les prestataires de service doivent communiquer les «contenus de communications électroniques et tout enregistrement ou autre information relatifs à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des Etats-Unis».
Aussi, l’administration américaine a toute latitude pour entrer en possession des données, notamment personnelles ou de contenu, à l’insu de la personne «ciblée» ou du pays où sont stockées ces données.
La loi est l’aboutissement d’un bras de fer judiciaire qui a opposé, de longues années, la société Microsoft au gouvernement fédéral. L’affaire remonte au temps de l’administration Obama ; elle a trouvé son couronnement en septembre 2015 lorsque la deuxième cour d'appel de New York a été invitée à déclarer, deux ans après le début des hostilités, si une entreprise américaine est tenue ou non de divulguer les données de ses clients aux autorités fédérales, même si elles sont stockées à l'étranger.
Microsoft a fait de la résistance jusqu’au terme du procès en soutenant qu’elle n’avait pas à communiquer les données de ses clients aux autorités américaines lorsqu'elles sont stockées sur des serveurs situés à l'étranger.
Pour rappel, Microsoft a refusé de transmettre aux forces de l'ordre, dans le cadre d'une enquête sur une affaire de stupéfiants, des emails se trouvant dans l'un de ses serveurs situé à Dublin, prétextant que l'affaire relevait de l'autorité du gouvernement irlandais.
Le mandat de perquisition lui enjoignait de remettre les contenus d’un compte e-mail utilisé par un trafiquant de drogue présumé, même si les messages visés étaient stockés en Irlande. Microsoft avait refusé de s’exécuter, en soutenant qu’effectuer une saisie dans un serveur à Dublin revenait à fouiller un domicile dans un autre pays que les Etats-Unis.
L’administration Obama s’est appuyée sur un fameux précédent : l’accès des autorités américaines aux relevés de transactions des filiales étrangères des banques, ajoutant que les données en question lui étaient nécessaires pour lutter contre les criminels informatiques, qu'ils soient basés aux Etats-Unis ou ailleurs.
C’est à l’occasion de l’examen du projet de budget fédéral que le Congrès américain a adopté le Cloud Act, sans débat et dans le secret.
En effet, la nouvelle loi a été jointe au projet de loi sur le budget fédéral (le Consolidated Appropriations Act, 2018), sans examen spécifique (c'est-à-dire qu'elle a été votée ipso facto par le vote sur la loi de finances), par les deux chambres, avant d'être promulguée le 23 mars 2018. Outre l’accès aux données, quelle que soit leur localisation, le Cloud Act permet à l’administration américaine, sauf avis contraire du Congrès, de conclure des accords bilatéraux pour que les deux parties accèdent aux informations détenues par des fournisseurs de services, sans recourir aux instruments habituellement usités. Enfouie dans la gigantesque loi de finances (relative au budget de l'Etat, qui compte quelque 2 000 pages) signée par la Maison Blanche, la nouvelle loi permet au ministère américain de la Justice de signer des accords avec d'autres pays pour accélérer les demandes de ce type en certifiant – par son seul jugement — que ces pays respectent les libertés individuelles et la vie privée. Ce qui permet de contourner le long processus diplomatique pour conclure des traités d’entraide judiciaire ou obtenir des commissions rogatoires internationales.
Les critiques n’ont pas tardé à fuser.
Du côté des Etats, «l'Europe montre ses muscles avec le RGPD (Règlement européen sur la protection des données), dont l'article 48 proscrit les transferts ou divulgations de données hors de l'UE et qui entre en vigueur le 25 mai (2018, ndlr)». Le RGPD ambitionne de mieux encadrer la collecte, le traitement et la gestion des données personnelles et numériques dans l'Union, tout en imposant de lourdes sanctions en cas de non-respect.
«Le texte américain tente d'imposer en douce le principe d'extraterritorialité, dans la logique du «Make America Great Again», commente Sputnik.(**)
Les critiques touchent d’abord à l’étendue ou au «périmètre des demandes des agences gouvernementales américaines», considéré comme étant «très large» : «Elles concernent les enquêtes criminelles, y compris (mais pas seulement) celles relatives au terrorisme. Or, dans la section 2 du projet de loi adopté, le Sénat américain précise que l’accès aux données détenues par les fournisseurs de services est un élément essentiel pour également «protéger l’ordre public», notion beaucoup plus large…»
«Le Cloud Act renforce les pouvoirs des agences de surveillance américaines, en facilitant leur accès aux données stockées dans des datacenters appartenant à des sociétés d’origine américaine, peu importe que ce soit en France, en Europe ou aux Etats-Unis», commente encore l’Usine nouvelle.
Ce qui irrite au plus haut point les défenseurs des droits de l’Homme qui y voient une atteinte à la vie privée et aux droits numériques notamment de la part de gouvernements peu soucieux de leur respect et enclins à une surveillance accrue pour affaiblir la protection des défenseurs des droits civiques, de journalistes, intellectuels et autres dissidents.
A. B.
(*) Jules-Henri Gavetti, Le Cloud Act, un texte sécuritaire américain qui inquiète, L’Usine Nouvelle, 1er février 2019.
https://www.usine-digitale.fr/article/le-cloud-act-un-texte-securitaire-americain-qui-inquiete.N800995
(**) Gaëlle Nicolle, Protection des données personnelles : les Européens face au Cloud Act US… et aux GAFA, Sputnik, 18 mai 2018
https://fr.sputniknews.com/international/201805181036436825-donnes-personnelles-protection/
