Cloud : l’absence de protection des données en droit américain, pourrait bénéficier aux sociétés européennes
Publié le 26/04/2016 par Etienne Wery
Microsoft en a marre de se voir délivrer quotidiennement des requêtes, provenant d’autorités américaines qui désirent accéder aux données du client final stockées en cloud. La coupe est pleine. Microsoft contre-attaque et dépose plainte contre le gouvernement américain. Parallèlement, elle pourrait transférer en Europe une partie des données stockées afin de mieux les protéger.
Le 4ème amendement
Microsoft s’est engagée depuis quelques temps dans une bagarre à mort avec les autorités US au sujet du statut juridique des données stockées sur ses serveurs cloud.
Derrière cette question, il y a un texte central : le 4ème amendement.
Celui-ci fait partie des 10 amendements ratifiés en 1791 connus collectivement comme la Déclaration des Droits (Bill of Rights). Il protège contre des perquisitions et saisies non motivées et requiert un mandat (et une sérieuse justification) pour toute perquisition : “The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.”
La question consiste à savoir si cet amendement protège le cloud ? Ce n’est pas réellement le domicile, ce n’est pas réellement la personne, mais c’en est le prolongement virtuel.
L’enjeu
Le problème n’est pas que juridique ; il est surtout commercial.
Si les clients de Microsoft ont des raisons de croire que leurs données sont peu protégées, ils risquent de se détourner de la solution cloud. Or, pour Microsoft (et d’autres), le cloud est une question de survie (Azure, 365, CRM online, etc.).
Il ne faut pas nécessairement « avoir quelque chose à cacher » pour reprendre l’expression d’un patron du FBI, pour détester voir un tiers – fut-ce la police – fouiller dans ses affaires. Il ne se passe rien de répréhensible à mon domicile, mais je n’ai pas pour autant envie que les autorités viennent y fureter plus ou moins quand elles veulent et sans réel contrôle démocratique.
Par ailleurs, il y a des enjeux liés au secret des affaires. Le porosité entre les hautes autorités US et certaines grandes entreprises américaines, fait l’objet de nombreuses supputations. Prenons un exemple (fictif) : le service IT d’Airbus prendra-t-il la décision de migrer la messagerie en 365 s’il y a le moindre risque qu’à l’occasion de requêtes des autorités US, des mails top-secrets soient saisis, remontent vers l’exécutif américain et arrivent en fin de compte chez Boeing ? L’espionnage industriel est une réalité.
Les décisions
On l’a dit la bataille juridique fait rage, avec des décisions en sens divers.
Toutefois, les choses semblent se compliquer pour Microsoft et autres fournisseurs de cloud. Le climat ultra-sécuritaire n’y est pas étranger. Par exemple, même si les deux affaires divergent sur le plan juridique, le débat a été relancé suite au refus de Apple de fournir une clé permettant de déverrouiller l’iPhone utilisé par une personne arrêtée dans le cadre d’une fusillade terroriste en Californie.
Signe de cette évolution : un juge à New-York a estimé l’an passé que la saisie ordonnée aux USA vis-à-vis de Microsoft pouvait englober les données du client final stockées sur le serveur de Microsoft situé en Irlande. Une sorte de perquisition mondiale. La position du gouvernement US est rapportée par un site spécialisé : « Overseas records must be disclosed domestically when a valid subpoena, order, or warrant compels their production. The disclosure of records under such circumstances has never been considered tantamount to a physical search under Fourth Amendment principles, and Microsoft is mistaken to argue that the SCA provides for an overseas search here. As there is no overseas search or seizure, Microsoft’s reliance on principles of extra-territoriality and comity falls wide of the mark.”
Microsoft vient de contre-attaquer. La société a déposé plainte contre le gouvernement américain devant un juge fédéral de Seattle. La société dénonce les abus dont le gouvernement se rend coupable.
Une chance pour l’Europe?
Puisque le droit américain ne semble pas protéger efficacement les données stockées en cloud, pourquoi ne pas les transférer en Europe, là où le cadre juridique est plus clair ?
C’est ce que Microsoft a décidé de faire, parallèlement à son action judiciaire.
Elle vient de conclure un contrat de service avec une filiale de Deutsche Telekom. Objectif : les données générées par l’utilisation de MS Azure en Allemagne (solution en cloud pour les entreprises) seront stockés en Allemagne, par cette filiale.
Cerise sur le gâteau : Microsoft elle-même n’aura pas facilement accès aux données. Les hypothèses dans lesquelles Microsoft peut accéder au serveur et/ou aux données sont aussi minimalistes que possible, même dans le cadre de la maintenance.
Objectif de la manœuvre : pouvoir se défendre face à une requête américaine, en disant que Microsoft n’a aucune donnée en sa possession et ne peut donc répondre favorablement à l’injonction américaine.
La situation serait comique. L’Europe, parfois moquée pour sa protection excessive des libertés et droits individuels (et de la vie privée en particulier), en tirerait finalement avantage sur le plan concurrentiel car les fournisseurs de cloud américain y stockeraient l’essentiel des données…