Cloud : Démystifier le Patriot Act
Depuis plusieurs mois, les acheteurs européens de services de Cloud Computing manifestent leur inquiétude à l’idée que le gouvernement des Etats-Unis pourrait être en mesure d’accéder aux données stockées sur les serveurs d’un fournisseur américain de services de Cloud Computing, outre Atlantique mais aussi ailleurs. Le Patriot Act serait la clé de cette capacité, sorte de baguette magique permettant au gouvernement américain d’accéder sans restriction à toutes les données, n’importe où, n’importe quand. En fait, l’impact réel du Patriot Act, dans ce contexte du Cloud Computing, est négligeable.
Le Patriot Act a été promulgué en 2001, après les attentats du 11 septembre. Ce texte est avant tout une combinaison de modifications de lois existantes, datant des années 1970 et 1980, visant à simplifier, pour le gouvernement des Etats-Unis, dans le cadre d’enquêtes pénales, les procédures de surveillance et d’accès aux données pour prévenir, détecter, et enquêter sur des actes terroristes.
Par exemple, avant le Patriot Act, si les autorités avaient besoin d’accéder à des données détenues par des fournisseurs de services de communication dans plusieurs Etats du pays, ils devaient obtenir des mandats de plusieurs juges. Le Patriot Act a limité ce besoin à l’obtention d’un mandat auprès d’un seul juge fédéral. Cette disposition a simplifié le processus d’enquête du gouvernement dans certains cas mais n’a pas changé le droit sous-jacent du gouvernement américain à accéder aux données dans le cadre des lois en vigueur et de la jurisprudence.
Le droit du gouvernement des Etats-Unis à accéder à ces données n’est pas le fruit du Patriot Act mais de lois et de jurisprudences vieilles de plusieurs décennies lui fournissant des pouvoirs extra-territoriaux dans certaines circonstances limitées. Il n’est pas aisé pour ce gouvernement d’accéder à des données; de nombreuses règles rendent le processus complexe. Un examen attentif de ces règles permet de minimiser les craintes relatives au Patriot Act et à ses implications pour les clients des fournisseurs américains de services Cloud.
Des règles strictes
Aux Etats-Unis, de nombreuses lois encadrent les circonstances et la manière selon lesquelles un enquêteur est susceptible de pouvoir accéder à des données, des informations, des documents ou des locaux privés. Au niveau fédéral, la règle de base est inscrite dans le 4ème amendement de la constitution américaine, qui protège des enquêtes et saisies abusives.
De nombreuses lois supplémentaires, telles que le Wiretap Act, le Stored Communications Act, le Pen Register Act, le Foreing Intelligence Surveillance Act, le Communications Assistance to Law Enforcement Act, et l’Economic Espionnage Act, définissent des règles spécifiques. On retrouve des dispositions comparables dans les lois des Etats. La plupart d’entre eux ont en effet des lois sur la surveillance et certains peuvent avoir des règles spécifiques pour encadrer l’utilisation de certaines technologies à des fins de surveillance, dont RFID.
Ces lois sont susceptibles de dépendre de la nature des données. Par exemple, le Wiretap Act concerne les données en transit, tandis que le Stored Communications Act vise lui celles qui sont stockées. Les dispositions sont différentes selon qu’il s’agit d’accéder à du contenu plutôt qu’à des détails de contenu (ex.: identité de l’émetteur, du destinataire, moment de l’appel ou de l’échange, etc.). La loi est même susceptible de distinguer si la personne sur laquelle concerne l’enquête est un citoyen américain ou un résident, ou encore un «agent d’une puissance étrangère», comme dans le Foreing Surveillance Act.
Toutes ces lois intègrent des règles et des pré-requis spécifiques qui être respectées et remplis pour que l’enquêteur - d’un Etat, ou fédéral - puisse se voir accordé l’accès à des données, des propriétés privées, ou des équipements où les données se trouvent. Dans la plupart des cas, l’enquêteur doit obtenir un mandat, un ordre de la cour, ou une commission rogatoire. Dans certains cas rares, il est possible d’accéder aux données sans cela. Mais ces circonstances sont spécifiquement identifiées dans les textes applicables et sont généralement associées à des situations exceptionnelles.
Le Stored Communications Act
Les règles du Stored Communications Act sont fréquemment utilisées dans le contexte de l’accès à des données stockées par un fournisseur de services Cloud. Edictée en 1986, cette loi encadre l’accès aux communications électroniques, orales ou câblées stockées (par opposition à des échanges en transit). Elle intègre des interdictions génériques contre l’accès à ces communications et des règles qui autorisent la divulgation de ces communications par les fournisseurs de services de communication électroniques. Ce texte contient également une exception autorisant le gouvernement à accéder à des données stockées par des fournisseurs de services de communications et de traitement de données. Elles sont très complexes et très détaillées.
Par exemple, le gouvernement peut obtenir l’accès à des contenus stockés depuis moins de 6 mois par un service de communications électroniques, après l’obtention d’un mandat. Mais les conditions d’obtention d’un mandat sont très contraignantes: l’officier de montrer qu’une «cause probable» existe, sur la base de son observation personnelle ou d’informations obtenues par ailleurs, afin de montrer que la preuve d’un crime est susceptible d’être trouvée grâce à l’autorisation demandée.
L’accès à la même information détenue par le même fournisseur de services pour plus de 180 jours est soumis à des pré-requis différents. Dans ce cas, une commission rogatoire ou un ordre de la cour est susceptible de suffire. Et l’obtention de ces éléments est moins encadré. Toutefois, si le gouvernement souhaite opter pour l’un ou l’autre, il doit au préalable en avertir l’abonnement ou le client de ce service. Si le gouvernement veut éviter de devoir se justifier, il doit obtenir un mandat.
Ce ne sont que quelques exemples de la complexité de ces règles, auxquels il convient d’ajouter de nombreuses exceptions et nuances. Par exemple, si les règles présentées plus haut s’appliquent aux contenus, elles ne concernent pas les détails de communication.
Des rapports annuels
La fourniture d’un mandat ou d’ordres donnant accès à des communications ou permettant leur interception est hautement contrôlée. Non seulement chaque enquêteur doit fournir des informations substantielles pour montrer que sa requête est justifiée, mais le juge qui lui donné son aval ou a rejeté la requête doit produire un rapport détaillé de sa décision au Bureau Administratif des Cours de Justice des Etats-Unis.
De la même manière, le procureur qui a formulé une demande doit fournir un rapport au bureau administratif de la cour. Ce rapport doit également contenir des informations détaillées sur l’enquête dont, par exemple, le nombre de personnes dont les communications devraient être interceptées, le nombre d’arrestations résultant de l’interception, ou encore le nombre de condamnations. Tous ces rapports sont compilés annuellement pour fournir une synthèse au Congrès. Ces rapports sont accessibles publiquement à toute personne qui souhaiterait les consulter, et publiés sur Internet.
Dès lors, les enquêtes ne sont pas lancées à la légère. Devoir préparer tant de rapports et de demandes est déjà, en soin, dissuasif. Qui plus est, chaque enquête est coûteuse. Selon le rapport sur ces enquêtes, pour 2010, le coût moyen d’une interception est de l’ordre de 20 000 $ à 100 000 $, avec un coût médian d’environ 50 000 $.
L’accès aux données à l’étranger
Que se passe-t-il lorsqu’une enquête nécessiterait l’accès à des données se trouvant dans un pays étranger ? Généralement, un procureur ou un enquêteur américain n’a pas le droit de conduire une enquête ou d’interroger un témoin à l’étranger. Dans la plupart des cas, l’aide des autorités locales est nécessaire. Pour cela, les nations ont conclu de longue date des accords bilatéraux ou multilatéraux de coopération sur certains sujets.
Par exemple, les Etats-Unis sont signataires de plusieurs traités d’assistance judiciaire réciproque à des fins de collecte et d’échange d’informations pour l’application du droit civil ou pénal. Ces traités sont nombreux dans les domaines des actions de police et de lutte contre l’évasion fiscale.
Qui plus est, les Etats-Unis sont signataires de la Convention du Conseil de l’Europe sur la cybercriminalité, ratifiée en 2007. Cette convention encadre la surveillance électronique, et l’échange de preuves liées à la criminalité informatique. Elle permet aux gouvernements de demander et de s’apporter assistance réciproque pour enquêter et juger des délits et crimes liés à l’informatique, comme le piratage, l’accès non autorisé à des systèmes d’information, la pédopornographie, ou encore le viol de copyright.
Dans certains cas, les autorités peuvent demander à accéder à des informations détenues à l’étranger en consultant la filiale américaine d’une multinationale susceptible d’avoir accès ou de contrôler des documents et des informations recherchés. Aux Etats-Unis, des tribunaux ont considéré qu’une entreprise dotée d’une présence sur le territoire américain est tenue de répondre aux demandes justifiées du gouvernement des Etats-Unis, à compter qu’elle contrôle ou détient les données recherchées. La question clé est de savoir si l’entreprise en question a le niveau requis de contrôle ou de détention sur les données pour devoir être obligée de répondre positivement à la requête.
Le cas le plus emblématique est celui de la banque de Nova Scotia. Le tribunal avait demandé que la filiale américaine de la banque produise des documents stockés aux îles Cayman dans le cadre d’une procédure criminelle aux Etats-Unis. Le principe de portée extra-territoriale a également été suivi ailleurs, par exemple en Australie. Dans le cas de la banque de Valetta, en 1999, la filiale australienne de cette banque maltaise a été contrainte à produire des documents stockés à Malte, dans le cadre d’une procédure criminelle en Australie.
Protection de la vie privée
Il y a une opposition naturelle entre les demandes des autorités pour accéder à des données dans le cadre d’enquêtes criminels, ou de la lutte contre le terrorisme et le trafic de drogues, et la protection des libertés individuelles des individus. Les lois qui encadrent l’accès des autorités aux données et communications ont été établies en essayant de maintenir un équilibre entre l’intérêt des individus et celui de la communauté. Mais également en reconnaissant que la sécurité nationale est plus importante que la vie privée.
Dans l’Union Européenne, par exemple, le document qui définit les principes de base de la protection des données personnelles des individus, la directive 95/46/EC, reconnaît qu’il existe des cas dans les cas le droit à la vie privée doit s’effacer devant d’autres droits. Ce texte a taillé dans le droit des individus à la protection de leurs données personnelles pour fournir aux gouvernements la possibilité d’accéder et d’utiliser des données personnelles en lien avec des enquêtes liées à la sécurité nationale, la défense, et des domaines connexes.
On retrouve la même démarche dans les principes du Safe Harbor EU/US qui dispose que «l’adhésion à ces principes peut être limitée dans la mesure nécessaire à l’application des lois, à la protection de la sécurité nationale, et au respect de l’intérêt général.»
Alors que le Patriot Act et d’autres réglementations liées à l’accès des autorités aux données et communications aux Etats-Unis ont fait l’objet d’une grande attention, la plupart des pays disposent également de lois autorisant les enquêtes à des fins de sécurité nationale ou autre. Nous examinerons prochainement ces textes.
À propos de l’auteur: Françoise Gilbert se concentre sur la protection des informations, le Cloud Computing, et la gouvernance des données. Elle est directeur exécutif du IT Law Group et conseiller juridique de la Cloud Security Alliance. Elle a été citée parmi les meilleurs conseillers juridiques à la protection de la vie privée aux Etats-Unis, dans le cadre d’un récent sondage. Depuis plusieurs années, elle est reconnue comme l’un des meilleurs avocats spécialistes de la protection des données outre-Atlantique, par Chambers USA et Best Lawyers in America. Françoise Gilbert est l’auteure et éditeur de Global Privacy & Security Law, un ouvrage en deux volumes dans lequel elle analyse les lois relatives à la protection des données dans 65 pays, sur tous les continents. Elle est membre du Comité Technique Consultatif de l’ALI-ABA et co-présidente du PLI Privacy & Security Law Institute. Ceci est une tribune qui reflète son opinion personnelle et ne présume en rien de celle de ses clients ou de la Cloud Security Alliance.
Adapté de l’anglais par la rédaction.