L’avenir du cloud se joue … devant la cour suprême américaine
Publié le 02/03/2018 par Etienne Wery
Un procès hors norme s’est ouvert ce 27 février devant la cour suprême américaine. C’est l’avenir du cloud qui se joue indirectement. Si le gouvernement américain obtient le droit de saisir les données qui sont stockées par une entreprise américaine sur tous ses serveurs, mêmes ceux des filiales étrangères, c’est tout l’écosystème du cloud qui peut basculer.
Google, Microsoft, Oracle, Apple, Amazon, etc… ont un point commun : en tant que sociétés américaines, leur siège social est aux USA et soumis à l’intégralité du droit américain. Elles disposent en outre toutes de dizaines de filiales dans le monde, soumises en principe chacune au droit local du pays où elles sont implantées. Microsoft a ainsi révélé qu’elle dispose de 100 centres de données situés dans 40 pays différents.
Que doit faire la société concernée lorsqu’elle reçoit de la justice américaine, au siège de sa maison-mère, un mandat judiciaire ?
C’est la question qui s’est posée en 2013 lorsque le FBI s’adresse à Microsoft et, mandat d’un juge à l’appui, enjoint la société américaine de communiquer l’intégralité des e-mails appartenant à un client suspecté dans une enquête judiciaire.
Microsoft s’exécute comme d’habitude :
- toutes les données du client concerné, hébergées sur l’ensemble des serveurs situés aux États-Unis, sont transmises au FBI ;
- le FBI est informé qu’il existe d’autres données hébergées en Irlande, mais les données non-américaines ne sont pas jointes.
Le FBI revient à la charge : il veut toutes les données auxquelles Microsoft a techniquement accès, même si elles sont hébergées sur des serveurs situés en dehors des USA et même si ces serveurs appartiennent à des filiales. Pour le FBI, dès l’instant où Microsoft dans son ensemble a techniquement accès une donnée, directement ou indirectement, où que soit la donnée dans le monde, elle est incluse dans le mandat émis par la justice américaine.
Microsoft refuse : en l’espèce, les données concernées étaient sur des serveurs situés en Irlande. Microsoft considère dès lors que le FBI doit appliquer le protocole américano-irlandais de 2001 sur l’entraide judiciaire.
Un débat juridique
Derrière cette problématique, il y a le 4ème amendement.
Celui-ci fait partie des 10 amendements ratifiés en 1791 connus collectivement comme la Déclaration des Droits (Bill of Rights). Il protège contre des perquisitions et saisies non motivées et requiert un mandat (et une sérieuse justification) pour toute perquisition : “The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.”
Comment, dans ce cadre, interpréter le « Stored Communication Act » de 1986 ? En 1986, on ne parlait pas encore de cloud …
Pour microsoft : « The emails are stored in Ireland, and the government is asking us to go and fetch them from Ireland ».
Pour le gouvernement US : « the production of information by a U.S. company in a U.S. court is ‘domestic conduct’, whether or not the production involves the company’s overseas facilities ».
Un débat politico-économique
Le problème n’est pas que juridique ; il est aussi (et surtout) commercial.
Le gouvernement américain a mauvaise réputation en matière de protection des données : il aurait tendance à tout vouloir, tout le temps, pour n’importe quel motif. Dans ce pays hyper-judiciarisé ou tout est possible si la sécurité est peu ou prou en jeu, un nombre considérable d’agences et autres organismes plus ou moins connus peuvent solliciter la communication d’informations en tout genre. Rappelons-nous le débat autour des PNR : les données passagers des voyageurs vers les USA. Bien malin celui qui sait exactement ce qui se passe avec les données de monsieur et madame Dupont qui passent leurs vacances en Floride. Le gouvernement américain est au courant, sait qu’ils ont commandé un menu végétarien dans l’avion, qu’ils ont voyagé avec leurs amis Durand, qu’ils ont été l’année auparavant en Ethiopie, etc. Ils ont aussi leurs empreintes digitales. Les USA stockent ces données (et d’autres), mais quant à savoir ce qu’ils en font … ?
Les non-américains ont donc pour habitude d’exiger des fournisseurs US que leurs données n’y soient pas hébergées. Les Européens exigent que leurs données soient hébergées … en Europe.
C’est souvent une clause essentielle du contrat pour des raisons de sécurité.
Cela peut devenir un enjeu bloquant si l’on prend en compte les exigences légales, tel le GDPR, l’hébergement de la comptabilité d’une entreprise ou encore les données de santé. Si les données sont aux USA, on bascule dans un autre régime juridique.
Si n’importe quelle réquisition américaine a pour effet de transmettre aux autorités US les données des non-américains stockées ailleurs qu’aux USA, le cloud va vite avoir mauvaise presse. Or, le cloud c’est sacré en termes d’enjeu stratégique, d’économie, d’emplois, etc.
Par ailleurs, il y a des enjeux liés au secret des affaires. Le porosité entre les hautes autorités US et certaines grandes entreprises américaines, fait l’objet de nombreuses supputations. Prenons un exemple (fictif) : le service IT d’Airbus prendra-t-il la décision de migrer la messagerie en Microsoft 365 s’il y a le moindre risque qu’à l’occasion de requêtes des autorités US, des mails top-secrets soient saisis, remontent vers l’exécutif américain et arrivent en fin de compte chez Boeing ? L’espionnage industriel est une réalité.
Et l’Europe ?
L’Europe observe avec prudence.
Si la justice US peut avoir en pratique accès à toutes les données dans le monde, où qu’elles soient, en s’adressant à une société aux USA, comment assurer la protection des données des citoyens Européens ?
Economiquement aussi les choses sont intéressantes. Si le droit américain ne protège plus efficacement les données stockées en cloud, pourquoi ne pas les transférer en Europe, là où le cadre juridique est plus clair ? C’est du reste ce que Microsoft a décidé de faire, parallèlement à son action judiciaire en concluant un contrat de service avec une filiale de Deutsche Telekom. Objectif : les données générées par l’utilisation de MS Azure en Allemagne (solution en cloud pour les entreprises) seront stockés en Allemagne, par cette filiale, et Microsoft elle-même n’a en principe pas accès aux données.
Objectif de la manœuvre : pouvoir se défendre face à une requête américaine, en disant que Microsoft n’a aucune donnée en sa possession et ne peut donc répondre favorablement à l’injonction américaine.
La situation serait comique. L’Europe, parfois moquée pour sa protection excessive des libertés et droits individuels (et de la vie privée en particulier), en tirerait finalement avantage sur le plan concurrentiel car les fournisseurs de cloud américain y stockeraient l’essentiel des données…