Quelles différences entre CLOUD Act et PATRIOT Act (et quels impacts sur les entreprises françaises)
Les deux lois sont bien distinctes. Mais elles s'appliquent aux entreprises françaises dès qu'elles mettent leurs données chez un prestataire d'origine américaine - ou localisé aux Etats-Unis. Voici tous les éléments pour expliquer ces « Acts » à son COMEX. Et deux pistes pour se protéger de « l'extraterritorialité » du droit américain.
Plus le cloud se démocratise, plus les questions juridiques s’invitent dans les problématiques IT. En confiant des données à des prestataires souvent américains (Salesforce, AWS, Workday, Dropbox, NetSuite, Google ou Microsoft pour n’en citer que quelques-uns dans l’IaaS, le PaaS et le SaaS), les entreprises françaises se retrouvent concernées par les lois des États-Unis (la fameuse « extraterritorialité du droit américain »).
Les métiers, tout comme les DSI et les Comex, ont donc tous intérêt à bien comprendre les subtilités du PATRIOT Act et du plus récent CLOUD Act pour s’en préserver. Car dans un contexte international bouillant et des relations commerciales incertaines avec l’administration Trump, mieux vaut prévenir que guérir.
Qu’est-ce que le CLOUD Act ?
« Le CLOUD Act (Clarifyng Lawful Overseas Use of Data Act) est une loi américaine du 23 mars 2018 qui vise à permettre aux autorités judiciaires l’accès aux données électroniques stockées à l’étranger », nous explique Clémence Bejat, Juriste et Data Protection Officer du fournisseur de cloud français Outscale (filiale de Dassault Systèmes).
Son but est de permettre, « seulement dans le cadre d’enquêtes judiciaires » insiste la DPO, un accès plus rapide aux données en s’adressant directement aux fournisseurs cloud plutôt que de passer par le biais d’une demande d’entraide judiciaire internationale (mutual legal assistance treaties MLAT).
Le CLOUD Act modifie le « Stored Communication Act » de 1986, pour lequel les mandats se limitaient aux données détenues sur des serveurs hébergés aux États-Unis – même si les fournisseurs avaient le plein contrôle des données stockées à l’étranger.
Concrètement, le CLOUD Act stipule que toute société de droit américain doit communiquer sur demande des autorités américaines bénéficiant d’un mandat dans le cadre d’une enquête pénale, les données placées sous son contrôle, sans considération du lieu où les données sont localisées.
Executive agreements
D’après le CLOUD Act, les États-Unis pourront signer des accords internationaux (des executive agreements) pour permettre aux autorités des pays signataires de demander directement aux fournisseurs de services la communication de données relevant de la juridiction de l’autre pays, sans avoir à passer par les procédures des MLAT (exception faite des demandes portant sur les citoyens ou résidents américains qui devront passer par des MLAT).
De tels accords ne pourront être théoriquement signés qu’avec des pays respectueux des droits fondamentaux et des principes démocratiques (« qualifying foreign states »).
Pour le moment aucun accord n’a été signé.
Qu’est-ce que le PATRIOT Act ?
Le PATRIOT Act date du 26 octobre 2001. Il était à l’origine une loi d’exception qui ne devait durer que quatre ans. Mais certaines de ses dispositions ont été rendues permanentes en 2005.
À la différence du CLOUD Act, le PATRIOT Act permet aux agences gouvernementales américaines (le FBI, la CIA, la NSA, l’armée) d’obtenir des informations dans le cadre d’une enquête relative à des actes de terrorisme.
Le CLOUD Act n’est donc pas la continuité du PATRIOT Act puisque le premier concerne les autorités américaines bénéficiant d’un mandat pour obtenir des informations dans le cadre d’une enquête judiciaire. « Les champs d’application de ces deux lois ne sont donc pas les mêmes », distingue bien Clémence Bejat.
Pour le PATRIOT Act, les enquêtes sont secrètes, « il est donc contradictoire avec les finalités de l’enquête que les personnes concernées soient notifiées » ajoute la juriste. Sur ce point, on peut penser qu’il n’y aura pas de grande différence pour le CLOUD Act. « Le mandant devra certainement préciser si le fournisseur sera tenu ou non d’informer la personne [mais] il apparaît peu probable qu’elle soit préalablement prévenue […] La personne ne sera informée qu’a posteriori pour éviter que cela n’entrave l’enquête et empêche la récupération des informations ».
Vraie différence en revanche, comme le CLOUD Act concerne les réquisitions judiciaires dans le cadre d’enquêtes criminelles réalisées aux États-Unis, « le respect des droits des personnes concernées [implique que] la réquisition devra être ciblée [et qu’elle devra argumenter] que les informations qui prouvent [la culpabilité] sont stockées dans un lieu précis ». À l’inverse, « des agences de renseignements qui peuvent apparaître moins respectueuses des droits des personnes », note Clémence Bejat avec beaucoup de diplomatie et de tact.
Quel impact le CLOUD Act a-t-il sur les clients français ?
« Les clients français (ou européens) qui confient leurs données à des fournisseurs américains pourront voir leurs données collectées par les autorités judiciaires américaines s’ils sont suspects dans le cadre d’une enquête judiciaire et qu’un mandat a été formulé contre eux », explique la DPO de Outscale.
Peu importe désormais que les données soient localisées sur des serveurs en France ou en Europe. Le seul élément pertinent est la nationalité de l’entreprise qui a le contrôle des données (une entreprise américaine ou l’une de ses filiales à l’étranger). Ce point juridique devient techniquement très important et devra bien être précisé avec l’émergence d’appliances cloud à déployer sur site (comme Azure Stack chez Microsoft ou Cloud@Customer chez Oracle).
« Cette procédure était déjà possible avant l’adoption du CLOUD Act, mais il était nécessaire de passer par des MLAT, une procédure qui pouvait prendre plusieurs mois », rappelle Clémence BEJAT.
Pas de danger particulier donc ? À voir. Des dérives ne sont pas à exclure.
« Les clients français et européens sont à la recherche d’un cloud souverain pour contrer les potentielles dérives qui pourraient être engendrées par le CLOUD Act », nous confirme David Chassan, Chief Communications Officer de OUTSCALE.
David Chassan, OUTSCALE
« Les demandes des entreprises françaises pour se protéger s’accélèrent. […] Il y a une véritable prise de conscience autour de la souveraineté de la donnée. Les entreprises savent qu’il ne suffit plus de dire que les données sont localisées en France, ou en Europe. [Pour avoir un cloud souverain] elles savent que le fournisseur doit être de nationalité française et non affilié à une organisation étrangère ».
À noter que les acteurs – américains, allemands ou français – qui ont des activités aux États-Unis sont tous soumis au droit américain. « Donc tous les datacenters localisés aux États-Unis sont soumis au droit américain et donc directement au CLOUD Act et au PATRIOT Act », prévient Clémence BEJAT.
Par mesure de prévention, Outscale, comme OVH, ont créé des entités juridiques séparées.
« OUTSCALE Inc. (US) est une société distincte d’OUTSCALE SAS (FR). Nos datacenters américains sont gérés par OUTSCALE Inc. et sont donc soumis au droit américain, comme toute autre société à partir du moment où elle possède des serveurs situés sur le territoire américain », distingue la DPO. « Mais nous proposons à nos clients une étanchéité […] à la fois légale, comme expliquée par Clémence, et technique […] Nous avons mis en place des processus et des architectures d’infrastructures qui permettent d’isoler les régions cloud », complète le CCO.
Le chiffrement, une protection crédible dans le cloud américain
Dans le cas des deux lois, le fait de fournir les données aux autorités peut être rendu caduc par le chiffrement. Car même si un Outscale Inc ou un Google France fournissaient les données d’un client à la demande d’un tribunal ou d’une agence de renseignements, ces données ne seront pas lisibles si elles sont chiffrées.
La recommandation – surtout pour des questions de sécurité (vols, piratage, etc.) – est faite par le CTO d’AWS. « Il n’y a aucune raison de ne plus chiffrer vos données », expliquait Werner Vogels en juin, en insistant sur le fait que la sécurité devait être une priorité pour tous les acteurs du cloud et pour leurs utilisateurs.
« À ce jour, le chiffrement est une protection », acquiesce David Chassan. « Nous recommandons par principe de chiffrer les données. La sécurité est l’affaire de chaque intervenant dans la chaîne ».
Mais pour être réellement efficace, « il faut que le client soit le seul à gérer ses clefs de chiffrement » prévient-il. Le CCO d’Outscale rappelle au passage que les entreprises qui ont une solution HSM (Hardware Security Module ou Module Matériel de Sécurité) peuvent utiliser OUTSCALE avec leurs propres clefs.
Bien qu’efficace cette méthode garde trois limites.
- La première est technique : « certains chiffrements peuvent être "cassés", surtout quand ce sont des gouvernements qui interviennent ».
- La deuxième est juridique : « certaines législations limitent le chiffrement selon les pays ».
- La troisième – peut-être la plus grande – est économique : « il faudrait gérer ses propres clefs de chiffrements, mais le Total Cost of Ownership (TCO) de telles pratiques peut être extrêmement élevé pour un très haut niveau de protection ».
L’option clouds locaux
Une autre solution est de privilégier les clouds européens. « La piste des fournisseurs de cloud hexagonaux est une alternative rassurante, surtout en ce qui concerne les applications critiques de l’entreprise », constate Hanaé Desbordes, juriste chez InterCloud, du fait que « l’Union européenne ne s’est pas encore prononcée sur une réglementation permettant à une entreprise de communiquer des informations sans un accord international ».
Cette voie est possible pour le IaaS (OVH, Ikoula, Outscale, OBS, Deutsche Telekom, « les IaaS régionaux », etc). Mais elle est beaucoup plus difficile pour le PaaS (OBS ou Swisscom) ou pour le SaaS (Oodrive, TalentSoft, etc.) où les acteurs européens existent, mais sont moins nombreux.
Pour le SaaS, utiliser des solutions locales exige également de s’assurer que ces solutions cloud ne s’appuient pas sur des bases de données et des stockages de IaaS et de PaaS américains. Ou alors que leurs éditeurs chiffrent les données clients et en gèrent eux-mêmes les clefs.