L’adoption du Cloud Act fragilise le modèle d’intégrité et de sécurité des principaux fournisseurs de cloud public.
Tout est parti d’une enquête judiciaire américaine en matière de trafic de stupéfiants. Des données sur ce réseau de malfaiteurs aurait été localisées dans les serveurs de Microsoft en Irlande sur le compte Outlook d’un utilisateur. Refusant d’obtempérer à une réquisition des juges américains, la firme de Redmond s’est exposée aux critiques les plus vives mettant en cause jusqu’à son sens patriotique.
Alors qu’une décision de la Supreme Court était attendue sur la question, le Congrès américain s’est emparé de la question, adoptant le 23 mars 2018 un cavalier législatif inclus dans un texte à vocation principalement budgétaire, appelé le Clarifying Lawful Overseas Use of Data Act dont l’acronyme est Cloud Act (1).
Cloud Act : contenu du texte
Le Cloud Act signifie en français : loi de clarification du transfert légal de données Outre-mer. Cette loi vient réformer le Stored Communications Act de 1986 qui exigeait de fastidieuses demandes d’entraides judiciaires internationales, fondées sur des traités bilatéraux pour obtenir la communication de la moindre donnée hébergée en dehors du territoire américain.
Sur simple réquisition judiciaire, toute société de droit américain doit désormais fournir de telles informations, indépendamment de la localisation physique de l’information.
Le Cloud Act s’applique à toute «United States person» définie très largement comme étant pour les personnes morales, toute société de droit américain, filiale étrangère incluse.
Sans surprise la procédure impliquant Microsoft Ireland a été abandonnée pour être réengagée sous l’empire du nouveau texte, Microsoft ayant déjà annoncé publiquement que les données seraient transmises dans ce nouveau cadre (2).
Cloud act : la réaction européenne
La commissaire européenne au numérique a d’ores et déjà fait part de ses vives inquiétudes suite à l’adoption hâtive du Cloud Act (3).
Depuis 2001 déjà, avec le Patriot act, les craintes de « fuite » de données au profit de l’Etat américain pour cause de défense nationale avaient été confirmées par les affaires Snowden, PRISM ou Echelon. Désormais, c’est pour toute affaire pénale de droit commun que la transmission de données à la justice américaine peut être systématisée.
Le sous-traitant voire le responsable du traitement qui répondrait un peu rapidement à une injonction de la justice américaine engagerait nécessairement sa responsabilité alors que l’article 48 du Règlement général européen sur la protection des données personnelles (RGPD) prévoit clairement que «toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international (…)», lequel n’existe pas (encore).
La protection des données du citoyen européen impliquerait de ne pas confier ses données à une société de droit américain mais c’est aussi techniquement qu’économiquement déraisonnable.
Sous l’influence très forte du RPGD, les acteurs du cloud y compris américains se sont déjà organisés pour proposer des offres plus respectueuses des standards européens avec ouverture de serveurs en Europe.
Les acteurs revendiquant un cloud souverain européen se multiplient cependant (4). En particulier, sur des architectures publiques, des initiatives de certification, par exemple par l’Anssi avec SecNumCloud (anciennement Cloud Secure), vont en ce sens. La sécurisation du cloud passe aussi par l’implémentation de la directive Network and Information Security dite NIS (5) récemment transposée en droit français (6).
Du reste, et depuis plusieurs années déjà, dans une logique de «cloud strategy» bien comprise, de nombreux utilisateurs ont déjà implémenté un cloud public pour des données moins sensibles et un cloud privé pour des données plus sensibles : l’architecture de type cloud hybride tend donc à se développer.
Il en résulte peut-être une facture cloud plus importante mais c’est le prix d’une sécurité technique et juridique renforcée.
Eric Le Quellenec
Lexing Informatique conseil
(1) Les dispositions du Cloud Act (modifiant le Stored Communications Act (SCA) de 1986, codifié au chapitre 121, 1ère partie, titre 18 de l’US Code) ont été adoptées avec le Consolidated Appropriations Act (Division V : Cloud Act), le 23 mars 2018.
(2) Après le vote du Cloud Act, la Cour Suprême jette l’éponge face à Microsoft, Le Monde Informatique du 7-4-2018.
(3) Pourquoi le «Cloud Act» américain inquiète l’Union européenne, Le Soir du 27-3-2018.
(4) Cloud souverain et offre informatique : état des lieux, Post du 7-12-2015.
(5) Directive NIS, Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, JOUE L 194 du 19-7-2016, p. 1–30 .
(6) Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité, JORF du 27-2-2018.