Le Cloud Act et vos choix stratégiques sur l’infogérance

  • 2373_038.jpg

    Drapeau américain
    Il semble donc très prudent d’éviter la souscription de tout service hébergé de société américaine comme AWS, Google (G-Suite) et Microsoft (incluant Office 365) même proposant un hébergement en France ou en Europe.
  • Beaucoup d’encre a déjà coulé sur le Cloud Act, voté au printemps 2018. Néanmoins les approximations et récupérations en tout genre nous ont motivé pour vous faire part de notre propre analyse, aussi factuelle et précise que possible.

    Le Cloud Act prend acte que les données sont de plus en plus disséminées dans le monde entier et que cela complique, ralentit, voire empêche certaines enquêtes criminelles américaines. 

    Les limites de la loi « Stored Communications Act (SCA) » en vigueur depuis 1986, sont apparues au grand jour avec la procédure entre Microsoft et les Etats-Unis pour son refus de fournir des emails stockés en Irlande dans le cas d’un trafic de drogue, procédure qui a fini devant la Cour Suprême des Etats-Unis.

    Le Cloud Act, subtilement inséré dans les 2232 pages de la loi budgétaire américaine qui devait impérativement être votée pour éviter un nouveau shutdown du gouvernement américain, permet donc, sous certaines conditions et uniquement dans le cas d'acte criminel grave supposé, la saisie et/ou l’interception de données stockées hors des Etats-Unis par les forces de l'ordre américaine, et dans certains cas l'inverse (si un accord mutuel « Executive Agreement » a été signé). Cette demande est faite aux entreprises de télécommunication ou d'infogérance (CSP - Communication Service Provider ou RSP Remote Service Provider). 

    Á noter que ce texte est arrivé lors d'une activité juridique très importante autour des données personnelles : entrée en vigueur du « RGPD - Règlement Général sur la Protection des Données », renouvellement aux US pour 5 ans du « FISA - Foreign Intelligence Surveillance Act », production d'une 1ère version du texte « e-Evidence » par la Commission Européenne. Tout cela sans parler du « Privacy Shield » de 2016 entre l'UE et la Suisse d'une part, et les Etats-Unis d'autre part.

    Des conclusions hâtives

    Quelques années après le scandale des dérives des écoutes de la National Security Agency (NSA) révélées par E. Snowden et malgré l'abolition des clauses les plus critiquées du « Patriot Act », le Cloud Act a fait bondir certains défenseurs des droits privés individuels, de même que l’extra-territorialités a fait bondir les pourfendeurs de l’hégémonie américaine, chacun tirant les conclusions qui les arrangent par exemple :

    1. Que potentiellement ce texte est un risque pour la confidentialité des données personnelles

    Plutôt inexact : Le Cloud Act ne concerne que les enquêtes pour activités criminelles majeures supposées incluant le terrorisme. Les forces de l'ordre américaine doivent obtenir un mandat pour pouvoir déclencher la demande.  A noter de plus, que ce texte ne régit pas les activités de renseignement et ne concerne donc ni la NSA, ni la CIA

         2. Que seules les sociétés américaines ayant une présence à l’étranger sont concernées

    Inexact. Contrairement à ce que des hébergeurs européens laissent penser, ceci n’est pas exact. Les sociétés européennes devront s’y conformer si elles ont une présence aux Etats-Unis avec accès aux données européennes. 

         3. Que les citoyens Européens ne sont pas concernés 

    Inexact. Les requêtes peuvent concerner des "non "US persons". Plus inquiétant, si le pays n'a pas signé d'Executive Agreement, l'hébergeur (Américain ou Européen avec une présence aux U.S./accès aux données E.U.), ne pourra contester la demande.

    Un autre regard sur le sujet

    Globalement notre interprétation nous amène aux analyses suivantes : 

    • l'hébergement onpremise/colocation n'est pas concerné.
       
    • que les datacenters en Europe d'AWS, Microsoft ou Google ne protègent en rien juridiquement les données d'une requête judiciaire américaine, tout du moins tant qu'un Executive Agreement n'est pas en vigueur entre les États-Unis et l'UE ou la France.
       
    • que pour les sociétés d'infogérance et de télécommunication concernées par le Cloud Act (américaines ou européenne à présence U.S./accès aux données E.U.), refuser de transmettre les informations demandées sans qu'un Executive Agreement soit en place, leur font courir le risque d'une procédure aux États-Unis.
       
    • que l'UE a, à priori intérêt à négocier pour tous ses États membres un Executive Agreement pour bénéficier de réciprocité et de recours pour les demandes concernant les citoyens Européens. Néanmoins ceci demandera certainement d'amender le RGPD, ce qui rend la probabilité faible.
       
    • que le Cloud Act n’est pas totalement contraire au RGPD stipulant (art.48) qu’aucune donnée ne peut être transmise à un pays tiers en dehors d’un accord international tel qu’un traité d'entraide mutuel (MTLA – « Mutual legal assistance treaty »), procédure en vigueur avant le CloudAct, car l’article 49 introduit des exceptions sans parler de l’article 25 qui permet des exceptions nationales.
       
    • que malgré certaines références indiquant qu'il deviendrait interdit de fournir des backdoors aux forces de l'ordre, nous n'avons rien trouvé en ce sens dans le texte (par ailleurs le projet de loi présenté au Congrès en 2018 à ce sujet, le « Secure Data Act » n’a jamais abouti). Les requêtes judiciaires demandant des données devront bien sûr être fournies décryptées par l’infogérant si celui-ci fait un cryptage. Si un cryptage applicatif est réalisé (donc par le Client ciblé), il sera intéressant de voir l’issue.

    Ce qu'il faut retenir

    On constate que "dans un monde idéal" (aucune dérive) et dans un cadre de la lutte contre la criminalité et le terrorisme international, ce texte semble à peu près équilibré si un « Executive Agreement »  a été signé ce qui n’est pas le cas avec U.E., ni avec la France.

    Dans le cas actuel, les problématiques sont :

    • une portée sur les citoyens non américains/non-résidents, sans réciprocité et sans notification des autorités judiciaires du pays d'origine de l'utilisateur visé.
       
    • la non-définition de « Serious crime » (à noter qu’enfreindre des embargos américains entre à priori dans cette catégorie, point très important).
       
    • l’impossibilité par le CSP de contester la demande sauf à invoquer le « common law comity principles », éventuellement indiquant une certaine contradiction avec le RGPD mais avec une issue totalement incertaine.

    D’une façon générale, la conservation des données sensibles pour une société européenne sera la moins problématique :

    • Onpremise (tout en assurant le même niveau de sécurité que les infogérants professionnels).
       
    • En colocation chez un infogérant européen sur le territoire européen.

    Concernant le Cloud (l'organisation n'est pas propriétaire de l'infrastructure) :

    • Dans un Cloud privé (dédié) souverain (société E.U sans présence U.S avec accès données E.U)

    En conclusion, il semble donc très prudent d’éviter la souscription de tout service hébergé de société américaine comme AWS, Google (G-Suite) et Microsoft (incluant Office 365) même proposant un  hébergement en France ou en Europe, tout du moins en attendant que la jurisprudence autour de CloudAct et du RGPD commence à être connue. Á noter que pour Office 365 la problématique concerne le stockage des données (OneDrive, Teams, Sharepoint Online) et non les applications bureautiques en elles-mêmes.

    Article rédigé par Christopher Potter, CEO-Vision S.A.S
    CEO-Vision SAS, éditeur de la plateforme collaborative GoFAST n'est pas un cabinet juridique, néanmoins le travail ci-dessous se base sur une analyse importante des textes et analyses du Cloud Act.

    À lire sur Archimag

    Commentaires (1)

    • Portrait de SPT

      Le Cloud Act tourne déjà chez Microsoft qui communique sur le sujet. Si vous souhaitez comprendre leur vision, leur process de traitement des demandes, avoir les chiffres des leurs et de leurs concurrents, vous pouvez aller voir par ici https://sppublish.wordpress.com/2020/02/12/cloud-act-et-cloud-microsoft-en-france/ PS : pour ce qui est des hébergeurs européens, prenez en un qui n'ait pas de filiale aux USA sinon lui aussi devra se plier au Cloud Act ;)

      fév 17, 2020
    Les podcasts d'Archimag
    Pour cet épisode spécial Documation, nous nous sommes penchés sur une autre grande tendance de l'année 2024 : la cybersécurité, et plus particulièrement la sécurité dans le domaine de la gestion des données. La protection des données contre les menaces internes et externes est non seulement cruciale pour garantir la confidentialité, l'intégrité et la disponibilité des données, mais aussi pour maintenir la confiance des clients. Julien Baudry, directeur du développement chez Doxallia, Christophe Bastard, directeur marketing chez Efalia, et Olivier Rajzman, directeur commercial de DocuWare France, nous apportent leurs éclairages sur le sujet.

    supplement-confiance-numerique-270500.png