CLOUD Act et Co. : Dans quelle mesure les offres cloud américaines sont-elles fiables ?

Amazon, Apple, Microsoft : ce ne sont que trois exemples de fournisseurs de services cloud basés aux États-Unis. Ils dominent le marché et sont parfois utilisés sans trop y réfléchir. Et ce n'est pas étonnant : ils sont souvent directement intégrés à d'autres services, ce qui les rend particulièrement faciles à utiliser. L'iCloud d'Apple, par exemple, fonctionne parfaitement avec les appareils du fabricant. Autre raison, en particulier pour les opérateurs de sites Web et les développeurs d'offres Web : un service cloud tel qu'Amazon Web Services propose de nombreux outils utiles. Il est pratique de pouvoir tout gérer au même endroit avec un seul compte.

‍

Les entreprises doivent regarder de plus près que les consommateurs

Cependant, les entreprises en particulier ne peuvent pas utiliser ces services sans hésitation. Cela est particulièrement vrai s'ils collectent, traitent et stockent des données personnelles. En 2020, la Cour de justice de l'Union européenne (CJUE) a de nouveau statué que la protection des données aux États-Unis n'était pas suffisante pour y stocker des données sensibles provenant d'Européens. L'accord « Privacy Shield » est donc devenu invalide. Cet accord visait à fournir un moyen facile d'utiliser les services américains populaires dans les entreprises.

À ce jour, il n'y a pas de successeur et il n'y a donc pratiquement aucune base juridique sûre. Même si la CJUE fait référence à l'accord entre les États-Unis et l'UE, les avocats voient le même problème pour l'accord séparé avec la Suisse.

‍

Ciblage de serveurs en dehors des États-Unis

Une solution possible consiste à s'appuyer exclusivement sur des serveurs cloud basés dans l'UE ou en Suisse. Tous les grands fournisseurs disposent de centres de données dans ce pays, ne serait-ce que pour être en mesure d'offrir de meilleures performances.

Cependant, c'est là que le CLOUD Act américain revient sur le devant de la scène : cela signifie que les États-Unis se sont donné unilatéralement le droit d'exiger la publication de données stockées sur des serveurs situés en dehors des États-Unis.

Selon le ministère américain de la Justice, cela se fait avec un « niveau élevé de protection des droits de ces citoyens ». Mais c'est précisément ce dont doutent les critiques. Le plus haut responsable allemand de la protection des données, Ulrich Kelber, par exemple, a déclaré que les données policières ne devraient jamais être stockées sur des services tels qu'Amazon. Le Contrôleur européen de la protection des données a également a traité la question en détail. Il a notamment critiqué le fait que les entreprises aient trop peu d'influence face aux demandes fondées sur le CLOUD Act.

‍

D'où vient le CLOUD Act ?

Le point de départ de cette loi américaine controversée était un litige entre le Federal Bureau of Investigation (FBI) et Microsoft. L'entreprise a refusé de communiquer les données car elles étaient stockées sur un serveur en Irlande.

Microsoft a ainsi exploité une faille juridique créée par les centres de serveurs répartis dans le monde entier. La loi sur les communications stockées, adoptée aux États-Unis en 1986, ne prévoyait pas encore que les informations puissent être stockées dans le monde entier.

Les législateurs américains ont finalement répondu avec la « Clarifying Legally Overseas Use of Data Act », ou CLOUD Act en abrégé. Les fournisseurs de services de communication basés aux États-Unis sont désormais tenus de stocker les données sur leurs serveurs et de les transmettre aux autorités répressives américaines sous certaines conditions, qu'elles soient stockées aux États-Unis ou non.

‍

La solution de l' « accord exécutif »

Fournisseurs américains ayant des clients dans ce pays sont donc confrontés à un dilemme juridique. D'une part, la législation nationale les oblige à divulguer des données qu'ils ne sont peut-être pas autorisés à divulguer en raison des réglementations locales en matière de protection des données.

Le CLOUD Act prévoit une solution à cette situation grâce à des « accords exécutifs » entre les États-Unis et d'autres pays. Cela permettrait de réglementer plus précisément l'accès aux données et donnerait également aux autorités répressives du pays partenaire les droits correspondants pour demander des informations stockées aux États-Unis.

À ce moment-là, les entreprises américaines auraient également meilleur effet de levier contre les demandes de données des États-Unis qui enfreignent les lois sur la protection des données dans ce pays. Selon une analyse réalisée par le cabinet d'avocats MLL:

« Les accords exécutifs introduisent ainsi une sorte de protection juridique indirecte pour les personnes non américaines et visent à promouvoir l'acceptation de l'approche extraterritoriale du CLOUD Act. »

L'Office fédéral suisse de la justice a récemment a traité cela en détail. Dans tout cela, la Suisse doit non seulement mettre en balance ses propres intérêts avec ceux des États-Unis, mais également maintenir un équilibre avec l'UE. Après tout, la Suisse est considérée par l'UE comme un pays tiers offrant un « niveau de protection des données adéquat ». Les entreprises de l'UE peuvent donc utiliser les services suisses sans hésitation. Et la Confédération suisse ne veut pas risquer ce statut.

En fin de compte, l'Office fédéral n'est pas encore parvenu à une évaluation finale. Le rapport vise plutôt à fournir une base de discussion.

‍

Espionnage industriel et surveillance

Cependant, lorsqu'il s'agit de l'utilisation des services cloud américains, les données personnelles ne sont pas les seules à poser problème. Au contraire, la mesure dans laquelle ces services peuvent être fiables est fondamentalement remise en question. Après tout, le lanceur d'alerte Edward Snowden, entre autres, déclaré en 2014 que la National Security Agency (NSA) utilise également son accès à l'information à des fins d'espionnage industriel. Ses révélations ont également révélé ce que seuls les théoriciens du complot soupçonnaient auparavant : les États-Unis surveillent systématiquement le trafic Internet et stockent ces données à grande échelle, même si elles sont cryptées.

Bien entendu, le chiffrement peut être un moyen de protéger les données dans le cloud. Il ne doit généralement pas être stocké en texte brut, ne serait-ce qu'à cause d'éventuelles attaques de pirates. La plus haute juridiction administrative de France, le Conseil d'État , est également parvenu à cette conclusion dans une décision que cela peut également être suffisant pour utiliser les services américains pour les données personnelles.

Mais la sécurité de ces cryptages à long terme est pour le moins discutable. Il suffit de penser au débat récurrent sur les portes dérobées correspondantes. Ce qui est officiellement destiné à être utilisé à des fins de lutte contre le terrorisme ou de prévention de la criminalité permettrait également une utilisation abusive.

‍

Mots de fin

La question de la véritable problématique du CLOUD Act et des lois similaires fait donc l'objet d'un débat qui se poursuit également dans les milieux spécialisés.

Cependant, elles constituent un problème fondamental avec les offres en provenance des États-Unis : elles proviennent d'un environnement politique différent de celui des concurrents européens. Cela risque de devenir un problème encore et encore à l'avenir. Cela est particulièrement vrai si les entreprises souhaitent les utiliser pour stocker des informations sensibles.

Les offres cloud en provenance de Suisse ou, en général, de l'Espace économique européen constituent donc également une alternative à envisager.

‍