Prism : pour rassurer, Microsoft veut jouer une carte… virtuelle
Dans un entretien accordé au Financial Times, le conseiller juridique de Microsoft propose de localiser les données de ses clients non américains hors des Etats-Unis pour les protéger de son gouvernement. Mais le groupe reste soumis à la législation américaine.
Rassurer, encore et toujours. Après avoir démenti accorder tout blanc-seing aux gouvernements, en juillet, suite aux premières révélations du programme Prism de la NSA, Microsoft vient, une nouvelle fois, de chercher à rassurer ses clients. Dans un entretien accordé au Financial times, Brad Smith, conseiller juridique de l’éditeur, explique vouloir proposer à ses clients de choisir où stocker leurs données parmi les multiples centres de calcul de Microsoft à travers le monde. Ainsi, un client européen pourrait demander à ce que ses données résident dans le centre de calcul de l’éditeur en Irlande. Quitte à prendre le risque, au passage, de perdre en résilience et en disponibilité : « Chacun devrait avoir la possibilité de savoir si ses données sont susceptibles d’être soumises aux lois et à l’accès de gouvernements d’un autre pays, et devrait avoir la possibilité de faire un choix avisé quant à l’endroit où sont stockées ses données », explique-t-il ainsi.
Ce n’est pas le premier geste de Microsoft pour rétablir une confiance émoussée. Début septembre, l’éditeur s’est associé à Google pour faire pression sur le gouvernement américain afin d’obtenir le droit d’indiquer à ses clients concernés qu’ils font l’objet d’une demande de collecte d’informations personnelles de la part des autorités américaines. Plus tard, Microsoft s’est engagé à chiffrer les échanges entre ses centres de calcul afin de réduire les risques d’interception.
Mais de là à laisser penser que les données de ses clients sont à l’abris des requêtes du gouvernement américain parce qu’elles résident hors des frontières des Etats-Unis, Brad Smith franchit un pas pour le moins virtuel. Et nos confrères du Financial Times de relever que « les entreprises technologiques américaines doivent fournir les informations spécifiques à certains utilisateurs lorsqu’une cour de justice américaine leur en donne l’ordre ». Une question déjà largement soulevée par le Patriot Act et régulièrement évoquée dans les événements consacrés au Cloud Computing… Et qui continue de faire débat avec, en filigrane, la question de la juridiction applicable à des données ou à des utilisateurs à l’heure du Cloud. Question rapidement évoquée justement par Brad Smith dans un billet de blog publié début décembre : « Nous évaluerons toutes les objections juridictionnelles applicables aux requêtes légales lorsque des gouvernement demanderont des contenus personnels stockés dans un autre pays. »
Certes, les clients des services Cloud américains semblent largement faire preuve d’une apathie certaine face aux révélations des activités de la NSA. Pour autant, les premiers effets commerciaux de Prism se feraient déjà sentir, notamment chez Cisco. Et plusieurs analystes n’ont pas manqué de tirer fortement la sonnette d’alarme, dès la fin du mois d’août. De quoi comprendre les multiples efforts des fournisseurs de services Cloud américains pour rassurer leur clientèle, qu’il s’agisse de Dropbox, de Box, de Microsoft, et d’autres encore.
Dès lors, si la proposition de Brad Smith peut paraître, pour l’heure, assez peu réaliste, peut-être aura-t-elle le mérite, avec le scandale Prism, d’accélérer l’avancement des travaux sur les questions de souveraineté et juridiction à l’heure du Cloud. Des questions qui faisaient encore l’objet de débats sur le FIC, qui se tenait cette semaine à Lille, et sur lesquels la rédaction reviendra très prochainement.