Le Cloud Act, adopté il y a deux mois par Washington, permet aux Etats-Unis de pomper — à notre insu — tous nos secrets stockés sur Internet.
Vous envoyez vos e-mails via une messagerie Windows ? Vous stockez vos documents confidentiels dans un cloud Google ? Vous racontez votre vie sur Facebook ? Vous papotez sur WhatsApp ou par Skype ? Vous utilisez un logiciel (même français) dont les données sont stockées chez Amazon ? Alors vous n’avez plus rien à cacher : l’administration américaine, qui vient de se doter d’un permis officiel d’espionnage, peut désormais fourrer son nez dans tous vos petits secrets. Le Cloud Act, promulgué en catimini par Donald Trump le 23 mars, exige en effet que les opérateurs et fournisseurs de services électroniques américains révèlent les données de leurs clients lorsqu’elles intéressent les autorités US, et ce « quelle que soit leur localisation (…), à l’intérieur ou à l’extérieur des Etats-Unis ».
Sombre nuage
Le texte de ce Cloud Act (« Cloud » étant l’abréviation, en anglais, de : « clarification sur l’utilisation légale de données étrangères ») précise qu’il s’agit de corriger une insupportable anomalie : « Les Etats-Unis étaient [jusqu’à présent] gênés par l’impossibilité d’accéder aux données stockées à l’étranger. » [ NDLR : par des sociétes commerciales américaines ]. Les USA, commente la Cnil — la Commission nationale de l’informatique et des libertés —, ont « élargi leurs prérogatives au monde entier. Une nouvelle manifestation de l’extraterritorialité du drott américain ». Mais pas de rébellion pour si peu : « Nous étudions le texte avec nos homologues européens », indique prudemment la Commission. Depuis deux mois ?
L’affaire a commencé en 2013, quand la justice US a sommé Microsoft de lui fournir les courriels d’un de ses clients en Irlande, soupçonné de trafic de drogue. Le groupe américain — soucieux de se présenter en champion de la confidentialité de ses clients — a refusé. Saisie par le gouvernement, la Cour suprême devait se prononcer en juin. Ce ne sera plus nécessaire : en quatrième vitesse, Trump a fait intégrer dans les 2 282 pages du budget fédéral le fameux Cloud Act, qui n’a même pas fait l’objet d’une discussion spécifique. Windows [ NDLR : Microsoft, pas Windows, qui est une marque ], de son côté, s’est félicité de cette nouvelle législation, qui va l’autoriser à satisfaire les requêtes des autorités US (justice, mais aussi police et administration), sans pour autant passer pour une balance aux yeux de ses clients !
Pour l'historique, voir :
Paralysie européenne
« C’est une claque politique à l’Europe », estime Servane Augier, directrice du développement de Dassault Systèmes, 2e fabricant européen de logiciels. A peine mis en place par l’UE, le 25 mai, le règlement général sur la protection des données (RGPD) est en effet déjà piétiné par le Cloud Act — l’article 48 du RGPD, notamment, qui précise que les demandes de données par un pays tiers doivent être effectuées dans le cadre d’un accord international. Evidemment, rien de tel ici : la nouvelle loi américaine est parfaitement unilatérale.
Les exigences des Etats-Unis seront d’autant plus difficiles à contester que l’intéressé n’en sera même pas avisé ! Le fournisseur de services informatiques recevra la demande de l’administration américaine de manière confidentielle. Lui seul pourra éventuellement s’y opposer (pendant deux semaines) devant un tribunal américain. Mais pourquoi perdrait-il son temps et son argent quand tout indique qu’il se fera envoyer aux pelotes ?
Tant bien que mal, l’Europe essaie de bricoler un accord en réponse au Cloud Act américain. Le 17 avril, la Commission a soumis aux 28 pays membres une « proposition ». Cette dernière prévoit, entre autres, que « les sociétés étrangères aient un représentant légal en Europe, obligé de fournir les données de leurs clients que leur demanderont les pays européens », explique une collaboratrice de la commissaire européenne à la Justice, Vera Jourova. Mais ce n’est pas gagné : certains répugnent à ce que des pays soupçonnés de ne pas respecter les règles démocratiques —— la Pologne ou la Hongrie, par exemple - obtiennent en direct des informations sur des opposants à leur gouvernement.
On retrouve une fois encore l'ambiguité de l'UE et de ses pays membres : tout ce beau monde ne veut pas abolir la surveillance, tout ce beau monde veut pouvoir jouer avec les mêmes jouets de surveillance que les USA. Le RGPD est un écran de fumée.
Quand on n’est pas d’accord entre Européens, la défense collective ne vaut pas un cloud.
Dans le Canard enchaîné du 30 mai 2018.