Historique :
Pour répondre à cette question, le ministère de la justice et de la sécurité des Pays-Bas a commandité une analyse à ce sujet à un cabinet d'avocats ricain et l'a publié (bien joué :) ). Réponse en juillet 2022.
Le CLOUD Act amende deux sections de l'Electronic Communications Privacy Act (ECPA) :
Il n'existe pas une norme bien établie pour identifier si une entité européenne est soumise au CLOUD Act (la Cour Suprême ne s'est pas prononcée, par exemple).
Les deux critères macroscopiques sont :
Le cabinet d'avocat tire des indices de la jurisprudence :
Évidemment, il faut cumuler les indices ci-dessus pour en déduire une soumission à la juridiction ricaine.
À titre personnel, en dérivant le deuxième indice, je trouve pertinent de regarder s'il y a une segmentation du réseau informatique mondial de l'entité (pour les informaticiens : plusieurs AS administrés par des équipes différentes à la solde de directions différentes), les localités dans lesquelles l'entité pourvoit le plus ses postes en informatique et/ou dans lesquelles sont établies son service d'exploitation des réseaux.
En cas de reconnaissance de la juridiction états-unienne, environ 335 agences fédérales états-uniennes peuvent ordonner à des entités européennes de leur filer des documents et des informations. La fameuse Cour FISA des documents Snowden (de son vrai nom Foreign Intelligence Surveillance Court), qui délivre des mandats secrets pour le renseignement ricain visant les non-ricains, le peut aussi.
Une demande peut porter sur un Européen client d'une entité européenne qui a des contacts suffisants avec les États-Unis. L'entité européenne peut alors se défendre en arbitrant trouzemilles concepts comme l'importance de l'information demandée, l'existence de moyens moins intrusifs pour l'obtenir, la balance des intérêts ricains et européens, le statut de l'Européen (exilé politique type Snowden ?), etc. Bien sûûûûr, une société commerciale a que ça à faire de défendre ses clients (pour rappel, Microsoft et Google avaient renoncé devant le flou de la loi ricaine avant le CLOUD Act et son interprétation aléatoire par les tribunaux ricains).
Les avocats notent qu'ils ne voient pas trop comment la justice ricaine pourrait condamner une entité européenne qui a aucun lien avec les États-Unis (cf. ci-dessus) pour ne pas avoir exécuté un mandat. Comment la forcer à payer une amende ? Ils notent que le gouvernement ricain arrivera peut-être à convaincre le gouvernement étranger. Cela dépasse le cadre du droit.
Quid des clouds souverains / de confiance français comme Bleu (Capgemini + Orange + Microsoft), S3NS (Thales + Google), et Atos + Amazon ?
Je me base sur ces trois articles de presse : Thales et Google détaillent le fonctionnement de S3ns sur le « cloud de confiance », Quand OVHcloud explique le nuage (souverain) avec une disquette et des voitures, Les « clouds de confiance » Bleu et S3ns seront bien soumis au Cloud Act américain.
En gros, chaque cloud sera une copie du fournisseur ricain. L'exploitant s'engage à suivre les mises à jour et à les observer dans un bac à sable avant de mettre à jour la production. Le cloud de Thales aura de la télémétrie vers Google. Dans les deux cas (observation des mises à jour et télémétrie), Thales vérifie uniquement en cas de doute. Les employés ne seront pas des personnes détenant la nationalité états-unienne. Des ingénieurs de Google pourront aider, guider, et dépanner ceux de Thales. Chiffrement des données.
Mouais… Comment suivre jusqu'à 50 000 mises à jour poussées par l'acteur ricain (OVH a renoncé) ? Comment l'observation en bac à sable permet-elle de détecter une porte dérobée ou autre dont le principe est d'attendre sa mise en prod' avant de l'activer ? L'allemand T-Systems a laissé tomber (coût de l'infra en double / triple, complexité et délai de l'analyse des mises à jour, etc.). Comment l'ingénieur européen détectera que son homologue états-unien lui file une « commande idiote » ?
Où est l'indépendance ? En cas de conflit avec les États-Unis ou avec le fournisseur ricain, on se retrouve avec du logiciel pas à jour et on prévoit des plans de migration (cf. la réponse de Thales)… Absence de différenciation technique entre les acteurs européens qui vendront du cloud ricain sous licence, donc, à ce jeu-là, de gros acteurs (qui pourront proposer des prix plus attractifs) accapareront le marché. Cela signifie aussi hégémonie des technologies puisque les revendeurs européens de cloud ricains ne pourront pas conserver une fonctionnalité ou en développer de nouvelles, scellant l'absence d'alternative aux ricains…
Le chiffrement ? Soit tous les clients font du chiffrement de bout-en-bout, soit l'exploitant dispose de la clé privée et il faudra alors se demander si les autorités ricaines ne pourront pas contraindre l'exploitant à divulguer des données.
En effet, j'ai du mal à concevoir que ces clouds échappent aux ricains selon les critères énumérés plus haut : licences d'exploitation, tout le cloud, donc toute l'activité repose sur du logiciel ricain, de l'assistance d'ingénieurs ricains, et des contrats avec des entités ricaines qui sont, de fait, bien plus que des fournisseurs, etc.
En lisant les réponses de Thales, je comprends qu'elle se repose beaucoup sur le contrat commercial qu'elle a avec Google pour proposer des garanties. OVH témoigne que Google a tenté, avec lui, de changer les règles du jeu en cours de route. Des promesses contractuelles se sont déjà fait invalidées par les Autorités européennes de Protection des Données personnelles dans le cas de transfert de données vers les États-Unis (décision 2020-1013 de l'EDPS, mise en demeure de la CNIL du 10/02/2022 portant sur Google Analytics, etc.).
Au final, d'un côté, on retrouve l'extraterritorialité et l'impérialisme bien connus des États-Unis.
Ils sanctionnent la BNP pour des transactions en dollars qui ne leur sont pas destinées. Ils obligent Alstom à reconnaître des pots-de-vin versés en dehors de leur territoire. Ils obligent Areva à cafter, indirectement, les fuites d'une centrale à gaz chinoise. Ils sanctionnent des sociétés commerciales émiratis qui blanchissent du pognon pour les Gardiens de la révolution iraniens. On pensera aussi aux missiles européens équipés de puces ricaines qui contraignent les européens à demander des autorisations d'usage et d'exportation. Les exemples ne manquent pas.
Au quotidien, les contrats d'assurance-vie questionnent sur le fait d'être ou non une « US Person » : née aux États-Unis, nationalité ricaine, passer plus de 31 jours sur le sol ricain sur l'année en cours ou 183 jours sur les trois dernières années, etc.
De l'autre côté, il faudra bien poser des limites, sinon tout est susceptible d'être soumis au droit ricain. Exemple : OVH a des clients ricains et du business ricain (deuxième pays, environ 80 % de croissance), un site web accessible aux ricains, des fournisseurs ricains (Cisco, Arista, Intel, AMD, etc.), un unique réseau mondial (absence de cloisonnement), des serveurs aux États-Unis, un bâtiment (un datacenter) aux États-Unis (source), etc.
Je vois des différences entre, d'un côté, du matériel (serveur HP, Dell, Cisco, etc.) et de l'exploitation de logiciels ricains de stockage, de bureautique, de cloud (au sens large, du IaaS au SaaS), de serveurs emails : cœur de l'activité (importance des logiciels ricains sur l'activité, tu n'installes pas des routeurs ou des serveurs pour le plaisir, ce n'est pas l'activité finale), traitement concret des données (ce que ne fait pas un routeur, cf. modèle en couches), stockage effectif des données (cloud) versus temps réel (routeur), etc. C'est sur ces points que je trouve léger le cloud souverain / de confiance.
À suivre.