GuiGui's Show

Historique :

• Toutes les entités états-uniennes, dont les sociétés commerciales, doivent répondre aux autorités et à la justice états-uniennes ;
  
  
• Pour y échapper, elles tentent de jouer sur la localisation géographique des données de leurs clients et obtiennent des résultats variables en fonction du tribunal ;
  
  
• Le CLOUD Act entre en vigueur. La localisation effective des données des clients d'une entité états-unienne n'a plus d'importance ;
  
  
• Le CLOUD Act peut-il être appliqué à des sociétés commerciales européennes ? Spoiler et résumé de ce shaarli : oui.

Pour répondre à cette question, le ministère de la justice et de la sécurité des Pays-Bas a commandité une analyse à ce sujet à un cabinet d'avocats ricain et l'a publié (bien joué :) ). Réponse en juillet 2022.

Le CLOUD Act amende deux sections de l'Electronic Communications Privacy Act (ECPA) :

• Son titre I, que l'on nomme Wiretap Act. Le CLOUD Act introduit des accords bilatéraux visant à divulguer des données à des autorités étrangères en dehors de tout traité de coopération judiciaire mutuelle (traité d'assistance juridique mutuelle). Ces accords ont pour objet de passer au-dessus des conflits entre législations (genre FISA / RGPD). Aucun pays européen en a signé à ce jour. Royaume-Uni et Australie ont signé. Liste des accords bilatéraux ;
  
  
• Son titre II que l'on nomme Stored Communications Act (SCA). Accès aux communications électroniques, aux documents stockés dans le Cloud, aux métadonnées, aux infos relatives à un client, à des enregistrements de communications, etc. C'est dans cette section que le CLOUD Act a clarifié que la localisation effective des données importe peu, et que les fournisseurs de services informatique à distance (stockage, traitement, etc.), c'est-à-dire les fournisseurs de cloud et de services, sont soumis au SCA.

Il n'existe pas une norme bien établie pour identifier si une entité européenne est soumise au CLOUD Act (la Cour Suprême ne s'est pas prononcée, par exemple).

Les deux critères macroscopiques sont :

• L'entité européenne doit posséder / contrôler les données (le chiffrement de bout en bout empêche cela, par exemple). Une maison-mère aux États-Unis invalide forcément ce point (elle sera réputée avoir le contrôle sur les données) ;
  
  
• L'entité européenne doit relever de la juridiction états-unienne. Totale (general jurisdiction ; une société immatriculée aux États-Unis, par exemple) ou restreinte (personal jurisdiction, sur des activités / faits précis). Il faut que celle-ci puisse lui être attribuée raisonnablement, que l'entité européenne puisse légitimement s'y attendre. Cela est déduit des activités et des contacts que l'entité maintient avec les États-Unis.

Le cabinet d'avocat tire des indices de la jurisprudence :

• Succursale aux États-Unis ;
  
  
• Bureaux aux États-Unis avec détention de documents (ou autre objets importants pour le business) et/ou organisation de réunions de direction ;
  
  
• Vente et/ou publicité aux États-Unis ;
  
  
• Fournisseur états-unien ;
  
  
• Serveurs informatiques situés aux États-Unis et/ou site web disponible pour les États-uniens (absence de blocage ou de message informatif). Exemple : une société commerciale allemande qui avait 156 clients états-uniens, qui n'avait pas de bureaux ni d'employés aux États-Unis, dont ses employés ne faisait pas de déplacement d'affaires aux États-Unis, et qui ne faisait pas sa pub aux États-Unis, qui acceptait uniquement des paiements en euros, dont les contrats stipulaient qu'ils relevaient de la juridiction allemande, mais dont le site web était en anglais et n'interdisait pas l'accès aux états-uniens ni ne les informait que ce service ne leur était pas destiné, a été condamnée à répondre à un mandat au motif qu'elle visait le marché états-unien… ;
  
  
• Employés disposant de la nationalité états-unienne (binationaux ou non). Ils peuvent faire l'objet d'une assignation à comparaître qu'ils doivent cacher à leur employeur européen. Évidemment, la demande est illégale, mais il faut que l'employé le sache, ait les moyens de se défendre, en ait envie, etc. Notons que ce stratagème fonctionne même si l'entité européenne n'est pas soumise à la juridiction états-unienne selon les critères précédents.

Évidemment, il faut cumuler les indices ci-dessus pour en déduire une soumission à la juridiction ricaine.

À titre personnel, en dérivant le deuxième indice, je trouve pertinent de regarder s'il y a une segmentation du réseau informatique mondial de l'entité (pour les informaticiens : plusieurs AS administrés par des équipes différentes à la solde de directions différentes), les localités dans lesquelles l'entité pourvoit le plus ses postes en informatique et/ou dans lesquelles sont établies son service d'exploitation des réseaux.

En cas de reconnaissance de la juridiction états-unienne, environ 335 agences fédérales états-uniennes peuvent ordonner à des entités européennes de leur filer des documents et des informations. La fameuse Cour FISA des documents Snowden (de son vrai nom Foreign Intelligence Surveillance Court), qui délivre des mandats secrets pour le renseignement ricain visant les non-ricains, le peut aussi.

Une demande peut porter sur un Européen client d'une entité européenne qui a des contacts suffisants avec les États-Unis. L'entité européenne peut alors se défendre en arbitrant trouzemilles concepts comme l'importance de l'information demandée, l'existence de moyens moins intrusifs pour l'obtenir, la balance des intérêts ricains et européens, le statut de l'Européen (exilé politique type Snowden ?), etc. Bien sûûûûr, une société commerciale a que ça à faire de défendre ses clients (pour rappel, Microsoft et Google avaient renoncé devant le flou de la loi ricaine avant le CLOUD Act et son interprétation aléatoire par les tribunaux ricains).

Les avocats notent qu'ils ne voient pas trop comment la justice ricaine pourrait condamner une entité européenne qui a aucun lien avec les États-Unis (cf. ci-dessus) pour ne pas avoir exécuté un mandat. Comment la forcer à payer une amende ? Ils notent que le gouvernement ricain arrivera peut-être à convaincre le gouvernement étranger. Cela dépasse le cadre du droit.

Quid des clouds souverains / de confiance français comme Bleu (Capgemini + Orange + Microsoft), S3NS (Thales + Google), et Atos + Amazon ?

Je me base sur ces trois articles de presse : Thales et Google détaillent le fonctionnement de S3ns sur le « cloud de confiance », Quand OVHcloud explique le nuage (souverain) avec une disquette et des voitures, Les « clouds de confiance » Bleu et S3ns seront bien soumis au Cloud Act américain.

En gros, chaque cloud sera une copie du fournisseur ricain. L'exploitant s'engage à suivre les mises à jour et à les observer dans un bac à sable avant de mettre à jour la production. Le cloud de Thales aura de la télémétrie vers Google. Dans les deux cas (observation des mises à jour et télémétrie), Thales vérifie uniquement en cas de doute. Les employés ne seront pas des personnes détenant la nationalité états-unienne. Des ingénieurs de Google pourront aider, guider, et dépanner ceux de Thales. Chiffrement des données.

Mouais… Comment suivre jusqu'à 50 000 mises à jour poussées par l'acteur ricain (OVH a renoncé) ? Comment l'observation en bac à sable permet-elle de détecter une porte dérobée ou autre dont le principe est d'attendre sa mise en prod' avant de l'activer ? L'allemand T-Systems a laissé tomber (coût de l'infra en double / triple, complexité et délai de l'analyse des mises à jour, etc.). Comment l'ingénieur européen détectera que son homologue états-unien lui file une « commande idiote » ?

Où est l'indépendance ? En cas de conflit avec les États-Unis ou avec le fournisseur ricain, on se retrouve avec du logiciel pas à jour et on prévoit des plans de migration (cf. la réponse de Thales)… Absence de différenciation technique entre les acteurs européens qui vendront du cloud ricain sous licence, donc, à ce jeu-là, de gros acteurs (qui pourront proposer des prix plus attractifs) accapareront le marché. Cela signifie aussi hégémonie des technologies puisque les revendeurs européens de cloud ricains ne pourront pas conserver une fonctionnalité ou en développer de nouvelles, scellant l'absence d'alternative aux ricains…

Le chiffrement ? Soit tous les clients font du chiffrement de bout-en-bout, soit l'exploitant dispose de la clé privée et il faudra alors se demander si les autorités ricaines ne pourront pas contraindre l'exploitant à divulguer des données.

En effet, j'ai du mal à concevoir que ces clouds échappent aux ricains selon les critères énumérés plus haut : licences d'exploitation, tout le cloud, donc toute l'activité repose sur du logiciel ricain, de l'assistance d'ingénieurs ricains, et des contrats avec des entités ricaines qui sont, de fait, bien plus que des fournisseurs, etc.

En lisant les réponses de Thales, je comprends qu'elle se repose beaucoup sur le contrat commercial qu'elle a avec Google pour proposer des garanties. OVH témoigne que Google a tenté, avec lui, de changer les règles du jeu en cours de route. Des promesses contractuelles se sont déjà fait invalidées par les Autorités européennes de Protection des Données personnelles dans le cas de transfert de données vers les États-Unis (décision 2020-1013 de l'EDPS, mise en demeure de la CNIL du 10/02/2022 portant sur Google Analytics, etc.).

Au final, d'un côté, on retrouve l'extraterritorialité et l'impérialisme bien connus des États-Unis.

Ils sanctionnent la BNP pour des transactions en dollars qui ne leur sont pas destinées. Ils obligent Alstom à reconnaître des pots-de-vin versés en dehors de leur territoire. Ils obligent Areva à cafter, indirectement, les fuites d'une centrale à gaz chinoise. Ils sanctionnent des sociétés commerciales émiratis qui blanchissent du pognon pour les Gardiens de la révolution iraniens. On pensera aussi aux missiles européens équipés de puces ricaines qui contraignent les européens à demander des autorisations d'usage et d'exportation. Les exemples ne manquent pas.

Au quotidien, les contrats d'assurance-vie questionnent sur le fait d'être ou non une « US Person » : née aux États-Unis, nationalité ricaine, passer plus de 31 jours sur le sol ricain sur l'année en cours ou 183 jours sur les trois dernières années, etc.

De l'autre côté, il faudra bien poser des limites, sinon tout est susceptible d'être soumis au droit ricain. Exemple : OVH a des clients ricains et du business ricain (deuxième pays, environ 80 % de croissance), un site web accessible aux ricains, des fournisseurs ricains (Cisco, Arista, Intel, AMD, etc.), un unique réseau mondial (absence de cloisonnement), des serveurs aux États-Unis, un bâtiment (un datacenter) aux États-Unis (source), etc.

Je vois des différences entre, d'un côté, du matériel (serveur HP, Dell, Cisco, etc.) et de l'exploitation de logiciels ricains de stockage, de bureautique, de cloud (au sens large, du IaaS au SaaS), de serveurs emails : cœur de l'activité (importance des logiciels ricains sur l'activité, tu n'installes pas des routeurs ou des serveurs pour le plaisir, ce n'est pas l'activité finale), traitement concret des données (ce que ne fait pas un routeur, cf. modèle en couches), stockage effectif des données (cloud) versus temps réel (routeur), etc. C'est sur ces points que je trouve léger le cloud souverain / de confiance.

À suivre.