Cloud Act et données hébergées au Canada par des entreprises américaines - Faut-il le craindre ?

Le « Clarifying Lawful Overseas Use of Data », (CLOUD) Act est une nouvelle loi de sécurité américaine adoptée en 2018 pour permettre aux agences de renseignement et forces de l’ordre américaines d’obtenir des fournisseurs de service infonuagique l’accès aux données de leurs clients, que ces données soient situées aux États-Unis ou à l’étranger et ce, sans que le pays où sont stockées ces données et le client n’en soient informés. Le raz-de-marée de cette loi vient du fait que la localisation des serveurs désormais importe peu. Seule la nationalité du fournisseur compte. Le CLOUD act est une loi extra-territoriale.


Sécurité intérieure vs Privacy, le bras de fer éternel

La controverse sur cette loi oppose d’une part, le droit à la protection de la vie privée des clients de toutes nationalités qui utilisent des services comme Azur, Google ou Facebook, à d’autre part, la sécurité intérieure des États-Unis et la lutte anti-terroriste.


Le contexte et l’esprit « officiel » de la loi selon les américains

Adopté en catimini et sans débat par l’administration Trump lors de l’examen du projet de budget fédéral, cet acte a mis fin à la bataille qui opposait Microsoft et l’administration américaine, Microsoft refusant de donner initialement accès aux informations de l'un de ses clients dont les données se trouvaient en Irlande. C’est donc dans un esprit de lutte anti-terroriste et pour protéger les États-Unis, que l’administration fédérale américaine a cherché à simplifier la procédure et renforcé son pouvoir de surveillance. Il faut cependant savoir que ce renforcement de la surveillance peut être bilatéral avec la signature d’accords individuels entre les USA et d’autres nations. Ainsi, il devient possible pour le pays signataire d’avoir la réciprocité de l’accord. Le Royaume-Uni, premier à avoir signer cet accord bilatéral, n’a donc plus besoin de demander l’autorisation des États-Unis, s’il veut connaître les données d’un citoyen ou résident anglais dont les informations sont stockées aux USA ou par un fournisseur américain, dont les informations sont stockées ailleurs qu’aux USA.


Le droit de refus

Il est toutefois important de signaler qu’il existe une possibilité pour un fournisseur d’opposer encore un refus au Cloud Act si d’une part, le risque de divulgation viole les lois du territoire étranger (à condition qu’il en existe !), si cela n’est pas dans l’intérêt de la justice (hum..), et si le client n’est pas américain ou résident américain.


Les GAFAM partagées mais a priori plutôt pour

Pour les GAFAM , il semble que la loi ait l’avantage de clarifier les conditions exactes dans lesquelles l’accès aux données peut être autorisé. Avant le Cloud Act, Les GAFAM redoutaient que les pays décident de rapatrier leurs données chez eux (comme la Chine) par manque de clarification des conditions d’accès et permettent la mise en place de lois souveraines sur les données (Chez moi, à moi ). Il y avait donc un risque de perte d’affaires significatif à redouter. D’un autre côté, les GAFAM vivent de la satisfaction de leurs clients vis-à-vis de la protection de leur vie privée. Il faudrait un mouvement massif de citoyens envers les GAFAM pour pousser au retrait du Cloud Act.


Une loi liberticide ?

Le Cloud Act rentre en conflit avec la RGPD européenne et pourrait même être vu comme une réplique des USA à la RGPD de l’union européenne. Plusieurs associations de défense des libertés individuelles clament au manque de clarté et aux dérives qui pourraient survenir notamment chez les autres pays signataires plus ou moins démocratiques.


Une loi qui encourage l’espionnage industriel ?

Malheureusement, le Cloud Act offre un terrain fertile aux possibilités d’exfiltrer des secrets industriels et de la propriété intellectuelle dés lors qu’il devient possible d’accéder aux données des clients quelle que soit la localisation des données et des serveurs et sans que le pays ou le propriétaire des données ne soit informés.


La position du Canada ?

Le Canada est actuellement en train de négocier avec les USA sur ce sujet. Il est clair que l’avantage essentiel du Cloud Act réside dans la facilité d’investigation des données stockées chez des fournisseurs américains dans le cas des enquêtes criminelles et c’est bien ce qui est mis en avant par l’esprit de la loi. Fini les procédures judiciaires qui n’en finissent pas pour accéder aux mails d’un terroriste en puissance, c’est tentant.


Alors quelles solutions ?

La première et la plus simple serait sans doute d’éviter de stocker ses données chez des fournisseurs non nationaux, en évitant les Google, Facebook et Azur de ce monde. En particulier, tout secret industriel et tout secret d’état devrait résider et être stocké chez un fournisseur national. L’autre solution consisterait à mettre en place un chiffrement fort de bout en bout, et quand on dit fort, on dit fort au point de résister à la puissance de calcul à disposition des agences gouvernementales américaines. La troisième est de se convaincre du bien fondé de l’esprit de la loi dans un pays où le maccarthysme et le populisme ont présidé il n’y a pas si longtemps.


Avec la pandémie et les dérives de la mondialisation, sommes-nous en train d’aborder un repli local ?


En savoir plus : nous contacter