Aujourd’hui, la confidentialité et la sécurité des données sont devenues des enjeux majeurs pour toutes les organisations. Le souci, c’est qu’aujourd’hui, malgré le règlement général sur la protection des données (RGPD) valable en Europe, les données des entreprises françaises ne sont pas protégées si elles sont confiées à un prestataire américain ou si elles sont hébergées sur le sol américain.
En cause ? L’extraterritorialité du droit américain favorisé par Le Cloud Act et l’USA Patriot Act. En effet, ces deux lois permettent aux autorités américaines de contraindre les prestataires de services et les sociétés américaines à fournir les données d’un utilisateur ou d’une entreprise, quelle que soit sa nationalité et la localisation des données.
Que sont le Cloud Act et le Patriot Act ?
Le Cloud Act
Adopté le 23 mars 2018, le Clarifying Lawful Overseas Use of Data Act (Acte de clarification légale de l’utilisation de données à l’étranger) ou CLOUD Act est une loi fédérale américaine qui concerne l’accès aux données personnelles. Elle permet aux instances judiciaires des Etats-Unis (fédérales, locales, voire municipales) de forcer les fournisseurs de services installés sur le territoire des Etats-Unis à fournir les données relatives aux communications électroniques des citoyens et résidents américains, stockées sur des serveurs, qu’ils soient situés aux États-Unis ou à l’étranger.
Le Cloud Act a vu le jour après que Microsoft se soit opposé au gouvernement américain qui voulait accéder aux communications d’un trafiquant de drogue présumé, stockées par Microsoft sur des serveurs en Irlande.
L’un des principaux problèmes de cette loi, c’est que les instances de justice américaines peuvent demander l’accès aux communications personnelles d’un individu sans que ce dernier, ni son pays de résidence, ni le pays où sont stockées les données n’en soit informé. C’est pour cela que le Cloud Act est vivement critiqué par plusieurs associations de défense de la vie privée et groupes de défense des droits civiques tels que Electronic Frontier Foundation (EFF), American Civil Liberties Union, Amnesty International ou encore Human Rights Watch.
Le Patriot Act
Signé le 26 octobre 2001 par le président George W. Bush, l’USA Patriot Act est une conséquence directe des attentats terroristes du 11 septembre 2001. Votée dans l’urgence, cette loi ne devait durer que quatre ans, mais elle a été reconduite à plusieurs reprises par le Congrès, et est toujours en vigueur aujourd’hui.
L’USA Patriot Act est un acronyme qui signifie « Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism », c’est-à-dire « unir et renforcer l’Amérique en fournissant les outils appropriés pour détecter et contrer le terrorisme ». Cette loi permet de renforcer le pouvoir de surveillance des autorités américaines telles que la CIA, le FBI, la NSA et l’armée américaine, et de simplifier les procédures de lutte contre le terrorisme au détriment des libertés individuelles.
Quelles sont les conséquences pour les entreprises ?
Dropbox, Google, Amazon, Microsoft, etc., une grande partie des fournisseurs de services en ligne ainsi que les leaders sur le marché du cloud sont majoritairement américains, et la plupart des sociétés françaises leur confient leurs données sans trop se poser de questions.
Si tel est votre cas, sachez que les données privées de vos clients ainsi que vos informations stratégiques peuvent être consultées et analysées sans limite par les autorités américaines sans que vous en soyez informé, et sans aucun recours possible.
Outre leur obligation de se plier à la loi sous peine de lourdes sanctions, certaines de ces firmes américaines ont des pratiques malveillantes mises à jour par les nombreux scandales qui ont éclaté un peu partout dans le monde. C’est le cas du scandale Facebook-Cambridge Analytica, révélé en mars 2018, où les données personnelles de 87 millions d’utilisateurs Facebook ont été recueillies par la société Cambridge Analytica et utilisées pour influencer les intentions de vote en faveur de certains hommes politiques.
Puisque toutes les données sont consultables, les business models, budgets, données stratégiques et autres secrets industriels des entreprises européennes ne sont plus à l’abri. Le Cloud Act légalise ainsi l’espionnage industriel, le vol de la propriété intellectuelle et donc la concurrence déloyale.
Aujourd’hui, l’avance technologique des GAFAM (les géants du web que sont Google, Apple, Facebook, Amazon et Microsoft) est considérable et difficile à rattraper pour la France et l’Europe. Et les options pour détrôner les leaders américains du web et se protéger du Cloud Act ne sont pas très nombreuses.
Comment s’en protéger ?
Aujourd’hui, les entreprises françaises se retrouvent confrontées au challenge de se conformer au RGPD pour protéger leurs données alors qu’elles continuent d’utiliser les services des GAFAM.
Cependant, il existe quelques possibilités pour se protéger du Patriot Act et du Cloud Act, et éviter la saisie de ses données par les autorités américaines.
L’une des meilleures solutions est de privilégier la souveraineté des données en faisant appel à des prestataires de services français dont les données sont hébergées sur des serveurs implantés sur le territoire français. C’est le cas de Wimi, une société française qui confie l’hébergement de ses données à une autre société française : Scaleway SAS (Group Illiad). Vos données sont donc protégées par le RGPD et sont hors de portée du Cloud Act et du Patriot Act.
Le chiffrement de bout en bout est l’autre rempart possible contre l’atteinte aux libertés individuelles et à la vie privée. Il s’agit de la méthode de cryptage la plus sûre qui existe à ce jour. Le chiffrement de bout en bout a été conçu pour crypter toutes sortes d’informations et de données : messages, photos, vidéos, fichiers audio et documents divers. La sécurité est telle que les entreprises utilisant un chiffrement de bout en bout sont dans l’incapacité de fournir des messages et autres documents aux autorités car ils sont impossibles à déchiffrer.
Cette méthode a été spécialement élaborée pour lutter contre la cybercriminalité, l’espionnage industriel ainsi que la surveillance des autorités abusives.
Vous savez désormais ce qu’il vous reste à faire pour protéger votre organisation et vous assurer que vos données échappent à l’emprise du Cloud Act et du Patriot Act.