Microsoft avoue : Le Patriot Act donne accès aux données, même en Europe
En avouant que les données stockées sur ses serveurs européens peuvent être transmises aux autorités judiciaires américaines, Microsoft lance une nouvelle vague d'inquiétudes sur la confidentialité des clouds publics.
Lors du lancement d’Office 365, Gordon Frazer, directeur général de Microsoft Royaume-Uni a publiquement admis que les données stockées en Europe dans le cloud, sur des plates-formes américaines, pourraient être, sur demande expresse, transmises aux autorités US dans le cadre du USA Patriot Act, Et ce même si elles sont stockées sur des serveurs européens, et concernent des clients européens.
Des propos qui viennent alors jeter un pavé dans la mare du cloud, même si les les conditions d’utilisation de Microsoft Online Services sont d'ailleurs claires sur ce point : « Dans un nombre limité de circonstances, Microsoft devra peut-être dévoiler vos données sans votre consentement préalable, y compris pour satisfaire des exigences légales, ou pour protéger les droits et la propriété de Microsoft ou d’autres (y compris l’application des accords ou politiques gouvernant l’usage du service). »
Pourtant, cet aveu jette le doute sur l’ensemble des prestataires de cloud publics américains. En effet, selon la dernière révision du Patriot Act datant du 26 mai dernier, le gouvernement américain n’exige même plus la suspicion d’appartenance à un groupe terroriste pour faire l’objet d’une enquête. La loi peut également couvrir les actions supposées de « loups solitaires », des individus suspectés d’actions terroristes en dehors de tout regroupement.
Surtout, la protection et la confidentialité des données sont souvent citées par les entreprises comme étant des maillons faibles du cloud. Pointant souvent les fournisseurs de plates-formes en nuage et leurs contrats plutôt flous en matière de conservation des données. Rappelons qu'en Europe, la loi impose aux entreprises de conserver leurs données sur le territoire de l'Union.
Contactées par la rédaction, Viviane Reding, commissaire européenne à la justice, les droits fondamentaux et la citoyenneté ne s’est pas prononcée sur cette révélation, alors même qu’elle rappelait le 20 juin dernier son attachement à la protection des données dans une conférence à Londres devant l’association des banquiers britanniques. Après l’affaire ayant vu l’hiver dernier Wikileaks se faire éjecter d’Amazon Web Services en raison de son contenu, cette nouvelle affaire risque de diriger définitivement les entreprises vers les clouds privés plutôt que publics. Ce que confirme Gilles Cordesse, DSI du groupe BNP-Paribas : « ce n’est pas dans notre politique de développer pour nos services internes, l’usage intensif du cloud public. Nous préférons le cloud privé. »