CLOUD Act et autres : quelle est la fiabilité des offres cloud américaines ?

Amazon, Apple, Microsoft : ce ne sont que trois exemples de fournisseurs de services cloud basés aux États-Unis. Ils dominent le marché et sont parfois utilisés sans grande réflexion. Ce n'est pas étonnant : ils sont souvent directement intégrés dans d'autres offres et donc particulièrement faciles à utiliser. L'iCloud d'Apple, par exemple, fonctionne parfaitement avec les appareils du fabricant. Une autre raison, surtout pour les exploitants de sites ainsi que les développeurs d'offres web : Un service cloud comme Amazon Web Services propose de nombreux outils utiles. Il est pratique de pouvoir tout traiter en un seul endroit avec un seul compte.

‍

Les entreprises doivent être plus attentives que les consommateurs

Mais ce sont surtout les entreprises qui ne peuvent pas utiliser ces services sans hésitation. C'est notamment le cas lorsqu'elles collectent, traitent et stockent des données à caractère personnel. Ainsi, en 2020, la Cour de justice de l'Union européenne (CJUE) a une nouvelle fois constaté que la protection des données aux États-Unis n'était pas suffisante pour y stocker des données sensibles d'Européens. L'accord "Privacy Shield" est donc devenu caduc. Cet accord devait offrir une possibilité simple d'utiliser les services américains populaires dans l'entreprise également.

Jusqu'à présent, il n'y a pas de successeur et donc pas de base juridique sûre. Même si la CJCE se réfère à l'accord entre les États-Unis et l'UE, les avocats considèrent que le problème se pose également pour l'accord séparé avec la Suisse.

‍

Des serveurs en dehors des États-Unis dans le collimateur

Une solution possible consiste à miser exclusivement sur des serveurs en nuage situés dans l'UE ou en Suisse. Tous les grands fournisseurs ont des centres de données dans ce pays, ne serait-ce que pour pouvoir offrir de meilleures performances.

La loi américaine "CLOUD Act" revient ici sur le devant de la scène : Les Etats-Unis se sont ainsi unilatéralement donné le droit d'exiger la remise de données stockées sur des serveurs situés en dehors des Etats-Unis.

Selon le ministère américain de la Justice, cela se fait avec un "haut niveau de protection des droits des citoyens" [Original : ensuring a high level of protection of those citizens' rights]. Mais c'est précisément ce que les critiques mettent en doute. Ulrich Kelber, le plus haut responsable de la protection des données en Allemagne, avait par exemple déclaré que les données de la police ne devraient en aucun cas être stockées sur des sites comme Amazon. Le Contrôleur européen de la protection des données s 'est également penché sur la question. Il a notamment critiqué le fait que les entreprises ont trop peu de moyens d'action contre les demandes basées sur le CLOUD Act.

‍

D'où vient le CLOUD Act ?

Le point de départ de cette loi américaine controversée a été un litige entre le Federal Bureau of Investigation (FBI) et Microsoft. L'entreprise refusait de fournir des données parce qu'elles étaient stockées sur un serveur en Irlande.

Microsoft a ainsi exploité un vide juridique créé par des centres de serveurs répartis dans le monde entier. En effet, le "Stored Communications Act" adopté en 1986 aux États-Unis n'avait pas encore prévu que les informations pourraient être stockées à l'échelle mondiale.

Le législateur américain a finalement réagi avec le "Clarifying Lawful Overseas Use of Data Act", en abrégé CLOUD Act. En vertu de cette loi, les fournisseurs de services de communication basés aux États-Unis sont désormais tenus de conserver les données sur leurs serveurs et de les remettre aux autorités pénales américaines sous certaines conditions, que ces données soient stockées aux États-Unis ou non.

‍

La solution de l'"executive agreement

Les fournisseurs américains ayant des clients dans ce pays se trouvent donc dans un dilemme juridique. D'une part, le droit national les oblige à fournir des données qu'ils n'ont peut-être pas le droit de transmettre en raison de la législation locale sur la protection des données.

Le CLOUD Act prévoit une solution par le biais d'"accords exécutifs" entre les États-Unis et d'autres États. Cela permettrait de réglementer plus précisément l'accès aux données et, en outre, les autorités de poursuite pénale du pays partenaire obtiendraient également les droits correspondants pour demander des informations stockées aux États-Unis.

A ce moment-là, les entreprises américaines auraient en outre des moyens d'action plus importants contre les demandes de données en provenance des Etats-Unis qui contreviennent à la protection des données dans ce pays. Dans une analyse du cabinet d'avocats MLL, on peut lire ce qui suit :

"Les Executive Agreements introduisent donc une sorte de protection juridique indirecte pour les non-US-persons et devraient ainsi favoriser l'acceptation de l'approche extraterritoriale du CLOUD Act".

L'Office fédéral de la justice suisse s'est récemment penché en détail sur la question. Dans tout cela, la Suisse doit non seulement mettre en balance ses propres intérêts avec ceux des États-Unis, mais aussi maintenir en même temps l'équilibre avec l'UE. Enfin, du point de vue de l'Union, la Suisse est considérée comme un pays tiers offrant un "niveau de protection des données adéquat". Les entreprises de l'UE peuvent donc recourir sans crainte aux services suisses. Et la Confédération ne veut pas risquer de perdre ce statut.

L'Office fédéral n'est pas encore parvenu à une évaluation définitive. L'objectif de ce rapport est plutôt d'offrir une base de discussion.

‍

Espionnage économique et surveillance

Lorsqu'il s'agit d'utiliser des services informatiques en nuage américains, ce ne sont pas seulement les données personnelles qui posent problème. Il s'agit plutôt de se demander dans quelle mesure on peut faire confiance à ces services. En effet, le lanceur d'alerte Edward Snowden avait déjà déclaré en 2014 que la National Security Agency (NSA) utilisait son accès aux informations également pour l'espionnage économique. Ses révélations ont en outre montré ce que seuls les théoriciens du complot avaient soupçonné jusqu'à présent : Les Etats-Unis surveillent systématiquement le trafic Internet et enregistrent ces données à grande échelle - même si elles sont cryptées.

Car le cryptage peut bien sûr être un moyen de protéger les données dans le nuage. De manière générale, elles ne devraient pas être stockées en texte clair, ne serait-ce qu'en raison de possibles attaques de pirates informatiques. La plus haute juridiction administrative française, le Conseil d'État, avait en outre conclu dans un arrêt que cela pouvait suffire pour utiliser les services américains également pour les données personnelles.

Mais la sécurité de ces cryptages à long terme est pour le moins discutable. Il suffit de penser au débat récurrent sur les portes dérobées. Ce qui, selon la lecture officielle, doit être utilisé pour la défense contre le terrorisme ou la lutte contre la criminalité, permettrait également des abus.

‍

Mot de la fin

La question de savoir à quel point CLOUD Act et autres sont réellement problématiques est donc un débat qui se poursuit également dans les milieux spécialisés.

Ils représentent toutefois un problème fondamental avec les offres en provenance des Etats-Unis : celles-ci proviennent d'un autre environnement politique que les concurrents européens. Il est fort probable que cela devienne un sujet récurrent à l'avenir. C'est surtout le cas lorsque les entreprises veulent les utiliser pour stocker des informations sensibles.

Les offres de cloud en provenance de Suisse ou, plus généralement, de l'Espace économique européen constituent donc également une alternative à prendre en considération.