alphaspirit - Fotolia
Rapport de transparence : Google ajoute les demandes sur les entreprises
Dans son récapitulatif sur les demandes légales qui lui sont adressées pour divulguer des données de ses utilisateurs, Google sépare désormais celles qui concernent GCP et G Suite. Il en refuserait la moitié.
Google publie chaque semestre un « rapport de transparence » sur les demandes légales qui lui sont adressées par différentes entités pour accéder aux données de ses clients. Ces demandes émanent aussi bien d’administrations publiques que de tribunaux.
Ce type de rapports a pris une importance d’autant plus grande que le Patriot Act et le CLOUD Act n’ont cessé de susciter l’inquiétude d’une partie des clients des éditeurs américains.
Bien conscients de cette épée de Damoclès qui pèse au-dessus de leur business, les éditeurs américains ont tous plus ou moins la même réponse, en deux temps : assurer qu’ils s’opposent aux demandent non conformes et qu’ils contrecarrent le plus possible, avec leurs avocats, les demandes qui leur paraissent illégitimes ; publier un rapport sur ces demandes.
Rubrique pour les demandes sur G Suite et GCP
Le rapport de Google publié ce mois-ci ajoute une nouvelle rubrique : les demandes concernant les entreprises et les comptes G Suite professionnels.
Sur le deuxième semestre 2019, Google a ainsi reçu 282 concernant 434 clients professionnels (une demande pouvant concerner plusieurs comptes clients à la fois). Google assure avoir refusé de donner suite à 46 % d’entre elles.
Autre enseignement, le nombre des demandes – tout produit confondu – ne cesse d’augmenter (81 700 demandes pour 175 700 comptes ont été concernées sur la période). Google en aurait refusé un quart.
Enfin, dans le pur cadre de la « sécurité nationale » des États-Unis (en clair : loi FISA), les demandes n’ont, elles aussi, cessé de se multiplier, passant d’environ 35 000 demandes concernant des contenus au deuxième semestre 2016 à plus de 107 000 demandes au même semestre 2019 (les demandes sur les métadonnées restant stables et anecdotiques).
Google bon élève, même s’il manque un rapport
On saluera évidemment ces efforts de Google pour jouer la transparence. Un effort qui est d’autant moins aisé que la loi lui interdit de divulguer certaines informations ou alors de les divulguer tronquées et avec un délai – comme les « Lettres de sécurité nationale » qui ne peuvent être rendues publiques que biffées et avec autorisation du FBI.
Un manque concerne en revanche la ventilation par cible des demandes.
Le rapport explicite bien les requêtes par pays (la France a par exemple fait 3 demandes sur des comptes G Suite), mais il ne dit pas la nationalité des comptes concernés (ces demandes concernent-elles des comptes français ou étrangers ?). Mais, à la décharge de Google, aucun des éditeurs ne communique ce type d’informations.
Avec ce rapport, Google se pose donc en bon élève de la transparence, comparé à ses concurrents, avec des informations bien détaillées.
Même taux de refus chez Microsoft
De son côté, Microsoft affirme avoir reçu 21 780 demandes (hors FISA) sur un peu plus de 41 000 comptes. Le plus gros des demandes émane des États-Unis (4 300), du Royaume-Uni et de l’Allemagne (3 300 chacun), suivis de près par la France (2 470).
Au total, Microsoft refuserait 20 % des demandes pour des raisons de non-conformité légale de ces requêtes (13 % pour les demandes américaines, 8 % pour les britanniques et 26 % pour la France).
Pour trouver quelques informations sur les demandes concernant les entreprises, il faut se rendre dans la FAQ consacrée au rapport. Au cours du second semestre 2019, Microsoft comptabilise 83 requêtes effectuées par des autorités juridiques « du monde entier » ciblant des entreprises clientes de services cloud.
Trente-trois de ces demandes auraient été rejetées, retirées, sans résultat, ou redirigées vers le client concerné. Microsoft précise qu’il a « été contraint » de fournir des informations en réponse à 50 demandes. Vingt-sept d’entre elles auraient nécessité de divulguer le contenu de documents, et 19 requêtes proviendraient des forces de l’ordre américaines.
Concernant les informations divulguées, l’éditeur différencie les « content data », des documents ou des fichiers, des « non content data », des informations sur les individus (adresse IP, connexions IP, adresses e-mail, numéros de cartes de crédit, etc.).
Parmi les mandats émis par la justice américaine auprès de Microsoft, un seul concernerait une entreprise en dehors des États-Unis.
Contrairement à Google, les demandes faites à Microsoft sont stables. Preuve, en creux, du gain de popularité des outils de Google (G Suite, GCP) ?
Pour approfondir sur Outils collaboratifs (messagerie, visio, communication unifiée)
-
La gravité des rançongiciels augmente de 68 % au premier semestre 2024 (étude Coalition)
-
Université Paris-Saclay : RansomHouse revendique le vol de 1 To de données
-
Ransomware : un mois de septembre étrangement calme
-
Ransomware : selon Coveware, la part des victimes payant continue de chuter drastiquement