CLOUD Act : tout ce qui est à toi est à moi, tout ce qui est à moi on verra 

23 mars 2018 : le congrès américain promulgue un texte de 2232 pages consacré au budget de l’État. Sauf que les trente dernières pages ajoutées au dernier moment n’ont aucun lien avec la finance mais traitent de la possibilité donnée à l’administration des États-Unis de récupérer toute donnée gérée par des opérateurs de services américains, et ce indépendamment de leur localisation.

En catimini

Depuis 2013, le Department of Justice (DoJ) demandait à Microsoft de lui donner accès pour un suspect à des informations Outlook stockées à Dublin. Le DoJ s’appuyait sur le « Stored Communication Act » (SCA) de 1986 statuant sur la communication des enregistrements détenus par les fournisseurs de services. Cette règlementation, limitée au territoire US est interprétée plus largement par le DoJ pour qui l’administrateur Outlook n’avait pas à quitter le territoire pour accéder à ces informations.  Après que la justice a donné raison à Microsoft, le DoJ a porté l’affaire devant la Cour Suprême qui n’a pas eu à trancher car le pouvoir législatif a entre temps éprouvé le besoin de clarifier le SCA en baptisant d’un subtil acronyme son texte : Clarifying Lawful Overseas Use of Data Act, ou CLOUD Act. L’entrée en vigueur du texte n’a pas tardée sous le haut patronage du président Donald Trump, il y a eu ni débat ni revue approfondie du texte. Le texte prévoit la réciprocité de la part d’autres pays, mais qui supposerait l’accord d’un juge US.

Et de fait, la page 2203 du document est particulièrement claire : un fournisseur de service informatique doit se conformer à la divulgation du contenu sous le contrôle du fournisseur, que ce dossier soit aux États-Unis ou ailleurs (« A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States. »).

Pour l’exprimer autrement : pour peu que vos données aient eu le moindre lien avec une organisation US, l’administration US s’attribue le droit de les approprier. Et ce, sans avoir à avertir les personnes concernées ni les autorités judiciaires ou locales.

… et tout bronzé

Ne vous leurrez pas : vous êtes par défaut totalement à découvert sur Internet. Exemples : Microsoft dévoile le projet Artemis destiné à traquer les prédateurs qui chercheraient à attirer des enfants ; Jane Horvath, Senior Director of Global Privacy d’Apple, annonce au CES 2020 scanner vos photos sur iCloud pour repérer les images pédopornographiques. Le but est noble, la mise en œuvre dérange. La procédure met en évidence que nul obstacle technique n’entrave les fournisseurs de services dans leurs moissons de données, quelle que soit leur nature, et que toute donnée collectée est disponible sur requête de l’administration US.

Après analyse, le gouvernement néerlandais ne trouve pas dans Office 365 les garanties de confidentialité suffisante et en déconseille l’usage. Vos documents, autrefois confinés sur votre machine, sont maintenant à la libre disposition de l’administration US. Cela dit, les fournisseurs de service ne s’en cachent pas et sont sans ambigüité sur la question.

Prenons au hasard les explicites conditions d’utilisation de Google.

« Nos systèmes automatisés analysent vos contenus (y compris les e-mails) ». Dit autrement : un mail sur Gmail dispose de la même confidentialité qu’une carte postale sans enveloppe. Peut-être est-il est préférable de se retenir avant de signaler un déplacement de quinze jours à l’étranger ou de préciser qu’on a oublié les clefs sur la serrure.

L’utilisation des services passe par l’acceptation de votre profil où « (…) vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d'utilisation, d'hébergement, de stockage, de reproduction, de modification, de création d'œuvres dérivées ». Sont concernés Youtube, Chrome, Android, Google Earth, Gmail pour n’en citer que quelques uns. L’alternative est sans finesse : accepter les conditions ou renoncer au service.

Microsoft n’est pas en reste avec une fonction grâce à laquelle par défaut « Microsoft recueillera des échantillons du contenu que vous tapez ». Autrement dit un keylogger. La désactivation est possible, une simple case à cocher. Le tout est de savoir où la trouver, « espionner votre clavier » est habillé d’un vocable peu révélateur : « Améliorer l’écriture manuscrite et la saisie ».

Facebook vous avise de son côté : « vous nous accordez une licence non exclusive, transférable, sous-licenciable, gratuite et mondiale pour héberger, utiliser, distribuer, modifier, exécuter, copier, représenter publiquement ou afficher publiquement, traduire et créer des œuvres dérivées de votre contenu ». L’administration US n’a plus qu’à se servir. Conséquence annexe : si vous tombez sur un énorme panneau publicitaire où apparaît votre visage avec un nez de clown et un chapeau pointu, vous ne pourrez rien dire car vous avez approuvé les conditions générales de Facebook. Vous ne pourrez pas demander de compensation financière. Vos contenus ont été cédés à Facebook.

Cloud Act et RGPD

Le RGPD (Règlement Général sur la Protection des Données personnelles) a suivi de très peu la promulgation du CLOUD Act. L’un a-t-il devancé l’autre pour anticiper ?

Le RGPD est explicite quant à la possibilité d’exiger la divulgation de données personnelles dans son article 48 : impossible sauf accord international prévu dans le CLOUD Act sous le nom de Executive Agreement.

Mais ces Executive Agreements souffrent d’asymétrie. Alors que toute infraction (« subject to jurisdiction of the United States ») peut déclencher de la part des États-Unis une demande de données, il faut une raison grave (« serious crime ») pour qu’une demande de données soit prise en compte par les États-Unis. Un tel accord a été signé avec le Royaume-Unis en octobre 2019.

Parades

Comment retrouver une certaine intimité ?

Une première chose pourrait être de statuer service par service dans quelle mesure les offres « GAFAM » sont incontournables. Le Cloud est-il indispensable à la bureautique ou des solutions locales ne suffiraient-elles pas ? Aussi performant soit-il, Google est-il irremplaçable ? L’acquisition de deux ou trois disques ne rendraient-ils pas le même service que la sauvegarde sur le Cloud ? Ils ont l’avantage de ne pas être en permanence sous tension.

Autre parade : le chiffrement. Quoiqu’à la merci d’hypothétiques calculateurs quantiques, il reste à l’air actuelle une solution joliment efficace. Le tout est de savoir ce que l’on chiffre. La sécurité apportée par le « s » de https ne concerne que la traversée d’Internet jusqu’au site destination, un VPN chiffre entre votre machine et le site proposant le VPN. Avec le réseau TOR, le site destination ne connaît pas votre adresse IP mais votre message arrive en clair. Ces solutions chiffrent tout ou partie du transport mais pas le site controversé. Le chiffrement doit être de bout en bout.

Les données à chiffrer sont celles que vous laissez à la disposition des fournisseurs de services, dans le Cloud, les mails, Dropbox ou autres. Vous devez être détenteur des clefs de chiffrement et le fournisseur de service ne doit manipuler que des données chiffrées pour que vous soyez tranquilles. En stockant des données chiffrées vous garderez une certaine opacité.

CLOUD Act et Cloud Computing

Une remise en cause plus fondamentale se dessine.

L’impact du Cloud Computing sur l’optimisation du fonctionnement des entreprises est significatif. L’externalisation transforme les charges de fonctionnement en charges locatives, l’entreprise se consacre à son cœur de métier avec des charges proportionnelles à son activité. Mais par construction, les tiers à qui on délègue ont la main sur nos processus et nos données. Nous n’avons pas d’autres choix que de faire confiance.

Le CLOUD Act introduit une forme de régulation voire de régularisation pour un état de fait : mécaniquement, la confidentialité de nos données à disposition des sous-traitants dépend du bon vouloir desdits sous-traitants. Les États-Unis annoncent que leurs lois autorisent l’administration à utiliser ces données dans leurs procédures sans avoir à prévenir les intéressés. Mais CLOUD Act ou pas, vos données sont déjà dans un état de fragilité dès qu’un prestataire extérieur quelle que soit sa nationalité ou sa forme juridique en dispose.

À mon sens la question est la balance entre externaliser avec pour avantages des coûts moindres et une gestion plus souple ou réintégrer des services sujets à divulgation de données critiques propres à chaque industrie. Ma préférence va vers la relocalisation d’un maximum d’applications, celles relevant de la bureautique en tête.

Qu’en conclure ?

Résumons le CLOUD Act : « tout ce qui est à toi est à moi, tout ce qui est à moi on verra ». On sait qu’on a compris le CLOUD Act quand on se sent saisi d’un sain courroux.

L’asymétrie créée par la dépendance de notre industrie face aux GAFAMs, par la simple infraction suffisante pour que l’administration US lance la procédure alors que seule une raison grave impérative peut déclencher la réciprocité montre le peu de cas qui est fait de nous. À quoi s’ajoute l’opacité de rigueur pour la chose.

Cela dit, quitte-t-on le droit fil de la philosophie d’Internet, plateforme sans frontière ni régulation ? L’universalité du support sert de base à l’échange de messages, de fichiers,  voire de monnaies. Fondamentalement, Internet reste un grand tuyau planétaire dans lequel on envoie des informations en demandant à ceux qui ne sont pas concernés de se boucher les oreilles. Les États-Unis nous confirment que mécaniquement toute information peut être glanée et qu’ils ne se priveront pas d’en faire usage. Mais ce n’est pas parce que seules les États-Unis ont édicté leurs règles que vos données sont hors d’atteinte d’autres fournisseurs de services.

Pour ma part, le conseil de Gérard Peliks de ne jamais dire plus sur Internet qu’on ne dirait à un inconnu me semble se traduire à la lumière du CLOUD Act par faire le tri dans les services proposés.

Pour une information complète sur le CLOUD Act, le livre blanc d'Hexatrust est incontournable : https://www.hexatrust.com/livre-blanc-cloud-act/

Tous les liens correspondent à des consultations effectuées le 17 janvier 2020.

 

< Revenir à la newsletter

Auteur: 
Jacques Baudron - Secrétaire Forum ATENA - janvier 2020 - jacques.baudron@ixtel.fr

Ajouter un commentaire

Full HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Vous pouvez utiliser du code PHP. Vous devrez inclure les tags <?php ?>.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Filtered HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.