Droit américain et cloud computing : « Nous sommes extrêmement naïfs » (Outscale)
Des « Serious Crimes » pas si « Serious ». Un droit pénal instrumentalisé comme une arme dans une guerre économique mondiale. Une donnée devenue un patrimoine critique. Les décideurs français n’auraient pas tous pris conscience du contexte de leurs achats IT.
L’extraterritorialité du droit américain fait débat dans le monde de l’IT. La possibilité – légale – des juges américains d’accéder, partout sur la planète, aux données gérées par des prestataires américains est vue comme une menace par certains et comme une peur injustifiée montée en épingle par d’autres.
D’un côté, les acteurs américains du SaaS, du PaaS et du IaaS – à commencer par Microsoft France et son président Carlo Purassanta ou par AWS (appuyé par un rapport d’IDC) – défendent la seconde position et relativisent la menace.
De l’autre, les acteurs français commencent à faire entendre plus franchement leurs voix et à dénoncer une certaine naïveté des Européens.
Dans un entretien au MagIT en marge du lancement de GAIA-X, Servane Augier, la Directrice générale déléguée de 3DS OUTSCALE, explique ce point de vue – ce contrepoint ? – et repositionne le CLOUD Act dans un contexte plus global de guerre économique mondiale et d’importance de la donnée.
Un point de vue certes tranché, et avec lequel tout le monde ne sera peut-être pas d’accord, mais qui mérite d’être pris en considération au moment d’un processus d’achat et de l’analyse de risques associée.
LeMagIT : Que dîtes-vous à ceux qui relativisent l’extraterritorialité du droit américain en général, et le CLOUD Act en particulier ? Que dîtes-vous à ceux qui affirment que « ce n’est pas si grave », voire qu’il s’agit d’une porte ouverte à « une chasse aux sorcières » (sic) antiaméricaine ?
Servane Augier : Je réponds : BNP Paribas, neuf milliards de dollars d’amende.
Je réponds : Frédéric Pierucci, deux ans de prison. [N.D.R. : le dirigeant d’Alstom qui, avant la vente « forcée » à GE, a refusé d’être « une taupe du FBI » selon ses propres mots.]
Ce que je dis, c’est que les notions de droit pénal ne sont pas les mêmes aux États-Unis qu’en France.
Quand des gens vous disent « le CLOUD Act, c’est n’importe quoi », ils le justifient en soulignant que c’est dans un contexte de « Serious Crimes » [N.D.L.R. : les « crimes » pour lesquels le CLOUD Act peut être activé]. Et donc que c’est du pénal.
Servane AugierDG déléguée, Outscale
Et ils en concluent hâtivement que leurs entreprises – ou les entreprises – ne sont pas concernées parce qu’elles ne font pas de terrorisme, pas de blanchiment d’argent, pas de « crimes ».
Mais ça, c’est notre vision du droit pénal. En fait, l’instrumentalisation du droit pénal n’est pas la même entre les États-Unis et la France. BNP Paribas et Alstom l’ont montré – dans un autre domaine que l’IT – mais dans un contexte d’application extraterritoriale du droit US.
Car les Serious Crimes, ce ne sont pas seulement les crimes au sens du droit français, ce sont presque toutes les infractions dans le sens américain. [C’est du pénal] jusqu’au jour où ces « crimes » permettront de bloquer l’implantation aux États-Unis d’une société concurrente, ou de remporter un marché avec un pays sur lequel les États-Unis avaient des vues.
C’est là où nous, les Français, nous sommes extrêmement naïfs.
Le rapport Gauvain a d’ailleurs clairement mis le doigt sur le fait qu’il fallait être vigilant, que nous sommes dans un contexte de guerre économique, et que les États-Unis utilisent tout leur arsenal judiciaire – y compris pénal – à des fins économiques, pour favoriser leurs entreprises.
Et par rapport à cela, nous sommes aujourd’hui complètement désarmés [d’un point de vue légal]. Et naïfs.
Servane AugierOutscale
LeMagIT : Que préconisez-vous pour être moins « naïfs » ?
Servane Augier : Il faut créer une autonomie stratégique numérique. Nous y travaillons avec le comité stratégique de filière. Et L’État a pris des engagements qui devraient se matérialiser dans un avenir proche.
Il faut aussi travailler sur les habitudes d’achat. Il faut se battre pour que les dirigeants des grands groupes français pensent au pays qu’ils vont laisser à leurs enfants, aux emplois qu’ils vont leur léguer, au fait que leurs achats auront permis – ou non – qu’il y ait encore de la R&D ici.
Et il y a un travail à faire pour que la donnée soit vraiment perçue comme une valeur patrimoine ; et donc sur le fait qu’il est très important qu’elle ne soit pas soumise à des législations extra européennes.