Norme

Cloud Act : entre mythes et réalités

-
OWN Security

Cloud Act : entre mythes et réalités

La pomme de discorde ayant mené à l’adoption du Cloud Act opposait Microsoft aux forces de l’ordre américaines. Dans le cadre d’une enquête sur des faits de trafic de stupéfiants, la police américaine avait obtenu une injonction de produire (ou « search warrant » en droit américain) afin d’obtenir des e-mails stockés par Microsoft, dans un datacenter situé en Irlande. Microsoft avait cependant refusé de fournir les données litigieuses, arguant que l’injonction de produire n’était valable que sur le territoire des Etats-Unis.

En l’espèce, Microsoft avait profité d’un vide juridique au sein du Stored Communication Act (SCA) pour afficher une ligne de conduite protectrice de la vie privée de ses clients. En effet, le SCA permet aux autorités américaines d’obtenir, sous condition d’obtention d’une injonction, des informations stockées par des fournisseurs de services américains sur le territoire américain. Toutefois, cette loi fédérale passait sous silence le cas des données stockées par des fournisseurs de service de communication électronique américains hors du territoire des Etats-Unis.

L’affaire a été portée jusqu’à la Cour Suprême des Etats-Unis (juridiction de dernier ressort, équivalent de la Cour de Cassation française). Celle-ci a rendu son jugement le 17 avril 2018. La Cour n’a pas statué en droit mais a directement renvoyé aux dispositions du Cloud Act, promulgué un mois auparavant.

La genèse du Cloud Act, trouve donc ses racines dans l’avidité de Big Brother pour toute donnée pouvant contrevenir aux intérêts Américains. L’objectif du présent article est de démystifier cette législation complexe et parfois mal comprise.

Historique

A l’origine, une première loi fédérale américaine a été adoptée le 21 octobre 1986 : le Stored Communications Act (SCA). Le champ d’application du SCA a été modifié par le Cloud Act comme nous le verrons plus loin. Le SCA clarifie les conditions de divulgation de données des remote computing services (RCS) et electronic communication services (ECS) américains. Ces appellations font référence aux fournisseurs de messagerie électronique, plateformes de réseaux sociaux, entreprises télécoms ou encore fournisseurs de services Cloud.

En Novembre 2001, la Convention de Budapest qui régit les traités d’assistance judiciaire mutuelle a été signée par 63 pays : ce sont des accords entre deux Etats (Mutual Legal Assistance Treaty ou MLAT), visant à faciliter la coopération policière et/ou judiciaire lors d’enquêtes. Ces traités facilitent notamment la transmission d’informations ou de preuves. L’inconvénient majeur de ces traités réside dans le fait que les demandes d’entraide doivent au préalable passer par la voie diplomatique avant d’être transmises aux autorités judiciaires nationales compétentes. Ce processus peut être long et contrevenir aux intérêts de l’enquête en cours. Cette convention a été signée par les Etats Unis en août 2016.

Du côté de l’Europe, le RGPD (définition) a été adopté en avril 2016 avant d’entrer en vigueur en mai 2018, date à laquelle le Cloud Act a été adopté.

Le Cloud Act (Clarifying Lawful Overseas Use of Data) est ce qu’on appelle un « cavalier budgétaire » (disposition d’une loi de finance étrangère au domaine de la finance) introduit dans un amendement du projet de loi de finances par le Président américain Donald Trump, le 23 mars 2018. Le Cloud Act, a été adopté par le Congrès américain en l’absence de tout débat. Aucune étude d’impact ou rapport n’a donc été rédigé en amont de l’adoption de cette loi fédérale (loi s’appliquant dans les 51 états des Etats-Unis). Seul le DoJ (Department of Justice) a émis un white paper tendant à clarifier contenu du Cloud Act. Cette législation a pour objectif d’octroyer l’accès aux forces de l’ordre américaines ainsi qu’aux gouvernements étrangers (sous certaines conditions bien entendu) aux données de fournisseurs de service Cloud (FSC) de droit américain stockées en dehors des Etats-Unis.

Figure 1 : Frise chronologique des législations abordées

I. Que contient vraiment le Cloud Act ?

Le Cloud Act a deux fonctions principales. D’une part, modifier le SCA afin de combler le flou juridique qui entoure l’accès aux données de fournisseurs de communications électroniques et services Cloud stockées hors du territoire des Etats-Unis. Et d’autre part, la mise en place de deux procédures d’accès aux données stockées dans le Cloud : l’une réservée aux forces de l’ordre américaines et l’autre réservée aux gouvernements étrangers.

Les « Search Warrant » et « Subpoenas »

L’adoption du Cloud Act a vocation à étendre les prérogatives des forces de l’ordre américaines. Celles-ci peuvent dorénavant avoir accès à des données de fournisseurs de service Cloud (FSC) situées hors du territoire des Etats-Unis, sur présentation d’une injonction de produire (search warrant) ou injonction à comparaître (subpoenas).

Cette injonction de produire est obtenue auprès d’un juge indépendant qui devra vérifier la légalité de la requête des forces de l’ordre, comme présenté par le graphique ci-dessous. Lorsque le juge octroie l’injonction aux forces de l’ordre, celles-ci peuvent l’adresser directement au FSC visé. Le FSC peut alors transmettre les données litigieuses ou décider de contester la légalité de l’injonction auprès de l’autorité judiciaire compétente.

Figure 2 : Schéma de l’obtention d’une injonction de produire

Ainsi, l’adoption du Cloud Act rend l’accès aux données des FSC indépendant de la localisation géographique de celles-ci, contrairement au SCA qui limitait l’accès de ces données à la situation géographique de leur conservation. Par conséquent, l’application du Cloud Act ne dépend plus que de la soumission de l’organisation aux lois américaines. Le Cloud Act a donc une portée extraterritoriale amenant Big Brother aux portes de FSC européens.

Les « executive agreements » ou accords exécutifs

Par ailleurs, en réaction à l’accroissement des demandes d’accès à des données détenues par des FSC américains, le Cloud Act créé un outil juridique en marge des MLAT. Cet outil permet de contourner la voie diplomatique par laquelle passe nécessairement un MLAT, et permet aux autorités judiciaires nationales de transmettre directement l’injonction de produire à un FSC américain.

Cet outil, est appelé « executive agreement » ou accord exécutif en français. Cet accord passé entre le gouvernement américain et un gouvernement étranger est soumis à des conditions prédéfinies dans le Cloud Act. Pour n’en citer que quelques-unes :

  • Être parti à la convention de Budapest ainsi qu’aux Traités internationaux sur les Droits de l’Homme,
  • Garantir le droit à un procès équitable et non-arbitraire,
  • Respect de la règle de Droit,
  • Respect du principe de non-discrimination,
  • Garantir le respect de la vie privée,

Une fois l’accord conclu, le gouvernement étranger pourra directement transmettre une injonction de produire, conforme à son droit national, à un FSC américain. Toutefois, le Cloud Act impose ici encore quelques conditions :

Figure 3 : Liste non-exhaustive des éléments que doit contenir une injonction dans le cadre d’un accord exécutif

Si les accords exécutifs permettent d’accroître la rapidité de communication de données dans le cadre d’enquêtes criminelles ou terroristes, le champ d’application de cet accord reste restreint et est favorable aux intérêts des Etats-Unis qui, fidèles à leur image, veulent imposer leur hégémonie.

Rien de tel, pour visualiser les deux procédures que nous venons d’expliquer, qu’un schéma récapitulatif avant d’entrer dans le vif du sujet :

Figure 4 : Schéma de fonctionnement des procédures de fourniture d’informations du Cloud Act

II.Entre mythes et réalités : qu’est-ce que le Cloud Act permet vraiment de faire ?

Le Cloud Act s’applique-t-il uniquement aux FSC américains ?

Le Cloud Act s’applique aux fournisseurs de services de communication électronique ou fournisseurs de services Cloud : plateformes de réseaux sociaux, fournisseurs de service Cloud, opérateurs Télécom, fournisseurs de messagerie électronique, etc.

Le Cloud Act est également conditionné à la localisation géographique du FSC. En définitive, le Cloud Act aura vocation à s’appliquer dès lors qu’une organisation sera soumise au droit américain.

Figure 5 : Schéma récapitulatif des conditions d’application du Cloud Act

Concernant les organisations dont le siège social se trouve hors du territoire américain, mais offrant leurs services aux USA, le droit américain ne devrait normalement pas leur être applicable. Toutefois, le Cloud Act s’appuie ici sur un instrument du Droit international privé : les points de rattachement. Tout comme on attribue la paternité d’une œuvre picturale à un peintre en raison de la technique utilisée, du type de toile ou encore de la période à laquelle il a été peint, il est possible de soumettre une organisation aux lois américaines en appréciant la quantité, la qualité et la durée d’implantation de l’organisation aux USA.

Figure 6 : Schéma des conditions d’applications du Cloud Act aux filiales implantées aux USA

Le champ d’application du Cloud Act comme présenté ci-dessus est assez théorique et peut paraître obscur pour les praticiens. Puisqu’un exemple vaut parfois mieux que mille mots, voyons donc en pratique, ce que le Cloud Act implique pour des opérationnels :

Figure 7 : tableau récapitulatif des différentes conséquences du Cloud Act pour le RSSI

Le Cloud Act s’applique-t-il à toutes les données d’abonnés ou de clients détenues par un FSC de droit américain ?

Sur ce point, le Cloud Act parle plus de « contenus » que de « données ». Le texte de loi ne prévoit pas de liste exhaustive de contenus accessibles par les forces de l’ordre / gouvernements étrangers. Seules certaines catégories de contenus sont visées : le contenu des communications filaires ou électroniques, les documents stockés dans le Cloud, ainsi que les enregistrements et informations d’identification d’un client ou abonné d’un FSC (nom, prénom, adresse, numéro de téléphone, etc.). Les données tombant sous le coup du Cloud Act doivent être entendus largement comme tout contenu détenu, maîtrisé ou conservé par un FSC de droit américain.

Toutefois, dans le cadre des accords exécutifs, les gouvernements étrangers ne peuvent pas explicitement viser un citoyen américain ou une personne physique résidant sur le territoire américain. Par conséquent, dans cette hypothèse, les contenus accessibles seront limités à la personne physique visée par l’injonction.

Le Cloud Act facilite-t-il l’espionnage économique/industriel ?

D’aucuns ont pu dire du Cloud Act qu’il permet aux USA d’effectuer un espionnage industriel de grande ampleur, d’autres, évoquant un « passe-droit » sur les données européennes pour les autorités américaines. En réalité, la réponse paraît plus mitigée.

D’une part, le Cloud Act ne permet pas aux autorités américaines un accès indiscriminé aux données détenues par des FSC. En effet, l’accès à ces données est conditionné à l’obtention d’une injonction de produire qui, elle-même, doit viser une personne physique spécifique.

En outre, on relèvera que le Cloud Act est « encryption-neutral », c’est-à-dire qu’il n’interdit ni n’oblige les FSC à fournir la clé de déchiffrement de communications, de données ou de documents chiffrés. Et ce, que ce soit dans le cadre d’un accord exécutif ou d’une injonction de produire. La fourniture de la clé de déchiffrement dépendra, dans le premier cas, de l’accord exécutif négocié par le gouvernement étranger et, dans le second, de la requête des forces de l’ordre et de la décision du juge.

D’autre part, on remarquera que la notion de crime, qui conditionne l’obtention de l’injonction de produire n’est pas définie par le Cloud Act. Cela peut poser problème, notamment dans le cadre d’accords exécutifs. En effet, la matière pénale est l’expression de l’autorité du souverain à l’égard de sa population. Par conséquent, la notion de crime ou d’acte terroriste varie d’un pays à l’autre laissant alors la porte (entre) ouverte à de potentielles dérives pouvant mener à la captation d’informations industrielles.

Il serait par exemple envisageable que les forces de police américaines exigent la transmission de mails envoyés par une personne physique travaillant sur un projet stratégique faisant concurrence à une entreprise américaine. Il se pourrait également que des informations confidentielles et/ou des secrets de fabrication soient contenus dans ces e-mails. On imagine bien ce qu’il pourrait être fait de ces informations.

En cas de non-respect du Cloud Act, quelles sanctions sont prévues ?

Le Cloud Act ne prévoit pas, en tant que tel, de sanctions ou d’amendes en cas de non-respect de ses dispositions. Toutefois, le non-respect de ces dispositions pourrait rompre la coopération judiciaire entre les USA et l’UE.

Le tableau ci-dessous détaille les conséquences en cas de non-respect :

Figure 8 : Tableau des différentes conséquences du non-respect de l’injonction de produire

Pour les sociétés de droit américain, le Cloud Act présente un enjeu réputationnel. En effet, les FSC qui coopéreront systématiquement avec les forces de police/gouvernements étrangers prennent le risque de perdre la confiance de leurs clients/abonnés. Les FSC qui ne coopéreront pas risqueront d’être accusés d’avoir facilité la commission d’un crime.

III. Comment protéger les entreprises européennes contre le Cloud Act ?

La réponse à cette question n’est pas des plus aisée. La solution la plus en vogue tant en France qu’au sein des Institutions de l’UE est la création d’un Cloud souverain : soit à l’échelle nationale soit à l’échelle européenne. Cela permettrait de ne pas être tributaire des offres Cloud américaines et de se protéger contre l’extraterritorialité du Cloud Act (entre autre).

L’adoption d’un Cloud Act européen est vu comme un acte politique fort, pour mener un combat à armes égales. Cela aurait cependant tendance à accroître les conflits de lois et complexifier la situation pour les organisations.

Enfin, certaines entreprises américaines qui ont pris la décision de publier, à intervalles réguliers, des « transparency reports » ou rapports de transparence apportant de précieuses statistiques sur les demandes de renseignements reçues tant des forces de l’ordre américaines que de Gouvernements étrangers.

La création d’un Cloud souverain national ou européen est-il envisageable?

De deux choses l’une : si la création d’un « Cloud » souverain (national) est longtemps restée lettre morte, cette initiative a récemment été relancée. En effet, en 2011, le gouvernement a poussé Orange, Thales et Dassault Systèmes à créer une entreprise commune et française dédiée aux services Cloud. Ce projet (Andromède, de son nom) fut un échec. Les entreprises ne trouvèrent pas d’accord et ont créé deux entités distinctes : Cloudwatt piloté par Orange et Thales dont les services Cloud sont disponibles, et Numergy, porté par SFR mais placé en redressement judiciaire dès 2015. Depuis, aucune d’initiative d’ampleur n’a vu le jour. Toutefois, le gouvernement ne perd pas de vue ce projet puisque le 3 octobre dernier, à l’occasion de la conférence IA Labs organisée à Paris par la société Criteo, le Ministre de l’Economie et des Finances, Bruno Lemaire a relancé Dassault Systèmes et OVH sur cette problématique.

Quant au Cloud européen, l’idée n’est pas saugrenue. A 28 (27 d’ici quelques mois…), les capacités de R&D et d’infrastructure seraient bien plus conséquentes. Toutefois, le marché des solutions européennes est encore bien immature et ne saurait rivaliser avec les solutions étrangères et notamment américaines comme Microsoft Azure, AWS ou encore Google Cloud qui, actuellement, dominent le marché.

La solution réside-t-elle dans l’adoption d’un Cloud Act européen ?

S’il est difficile pour une initiative nationale ou européenne de pénétrer le marché des services Cloud, l’UE peut se prémunir contre l’extraterritorialité des USA en usant de son pouvoir législatif.

Le 17 avril 2018, la Commission européenne a proposé un Règlement « e-Evidence » dont l’objet principal est de créer une « injonction de produire européenne » que les autorités judiciaires des Etats membres pourraient directement adresser aux prestataires de services afin d’obtenir des preuves électroniques. La proposition de Règlement se base donc sur le modèle des accords exécutifs du Cloud Act. Le 6 et 14 juin dernier, le Conseil de l’UE donne mandat à la Commission pour négocier des accords internationaux concernant les preuves électroniques en matière pénale.

Si la contre-attaque législative permet de mettre l’UE sur un pied d’égalité avec les USA, cela crée toutefois un nouveau problème : un conflit de loi entre Règlement e-Evidence et Cloud Act qui ne sera pas pour ravir les juristes des FSC qui seront directement sollicités par les injonctions de produire.

Les « Transparency Reports », ou rapports de transparence publiés par les entreprises américaines

Depuis quelques années, un nombre croissant d’entreprises américaines soit publient régulièrement, soit en dédient une page de leur site officiel au rapport de transparence. Google (depuis 2010), Twitter (depuis 2012) et Amazon (depuis 2015) se sont par exemple livrés à l’exercice.
Ces rapports de transparence permettent aux clients, fournisseurs et autres partenaires commerciaux d’estimer la fréquence à laquelle l’entreprise transmet des informations aux autorités Américaines.
L’objectif de la démarche étant de rassurer partenaires commerciaux et clients, il est possible que la présentation des statistiques ou leur lecture puisse être rendue difficile ou peu claire.

Il ne semble donc pas y avoir de solution miracle au problème du Cloud Act si ce n’est la sensibilisation des entreprises et des citoyens sur le choix de leur fournisseur de service Cloud.

Sources :

Partager l'article :

Your OWN cyber expert.