CONFIANCE NUMÉRIQUE

Faut‐il avoir peur du Cloud Act ?

Souvent assimilé à un outil de surveillance par le public, le Cloud Act inquiète. Et pour cause : il permet aux autorités américaines de requérir la transmission de données stockées à l’étranger si elles sont hébergées par un fournisseur de services américain. Le tout, sans passer par les tribunaux et sans en informer les utilisateurs concernés. Mais plus de peur que de mal, pour nos experts Mathieu Coulaud et Bernard Ourghanlian, respectivement Directeur juridique et Directeur technique chez Microsoft France ! Ils nous expliquent en quoi cette législation ne restreint pas les droits des entreprises et de leurs clients.

Qu’est-ce que le Cloud Act ?

Le Cloud Act est l’acronyme de Clarifying Lawful Overseas Use of Data Act. Promulgué le 23 mars 2018, il s’agit d’une réponse législative au procès dit du New York Warrant case.
Tout a commencé par une série d’actions en justice. En 2013, le Department Of Justice (ministère de la justice américain), ordonne à Microsoft de lui donner accès aux informations de l’un de ses clients, dans le cadre d’une enquête pour trafic de drogue. Microsoft refuse de fournir les emails.

Pour quelle raison ? Ceux‐ci sont stockés sur l’un des serveurs de Microsoft en Irlande et non sur le territoire américain. Les autorités américaines, peuvent‐elles exiger qu’un fournisseur de services basé aux États‐Unis produise le contenu du compte de messagerie d’un client stocké sur un serveur situé à l’étranger ?

En 2016, la Cour d’appel des États‐Unis rend une décision en faveur de Microsoft, et en 2017, le Warrant Case est examiné par la Cour suprême des États‐Unis. Puis dès 2018, le cadre juridique est clarifié grâce au Cloud Act, et la procédure à l’encontre de Microsoft est abandonnée. Les textes manquaient jusqu’alors de précision.

L’opportunité pour moderniser les services d’enquêtes était là. Il faut savoir que l’Europe réfléchit au même cadre. Elle est toutefois un peu plus lente dans l’adoption législative de ce texte. 

La sécurité axée sur l’identité

Protégez vos employés en offrant une place centrale à l’identité dans votre entreprise grâce à Enterprise Mobility + Security, la solution de sécurité intelligente de Microsoft.

Télécharger

Quel est l’objectif du Cloud Act ?

Cette loi fédérale permet aux autorités américaines de requérir d’un fournisseur de services la transmission de données dans le cadre de procédures pénales, même si elles sont stockées à l’extérieur du territoire. Les grandes entreprises américaines du numérique telles que Microsoft, qui héberge de nombreuses plateformes en ligne, sont particulièrement concernées. L’inquiétude a donc gagné une partie de la population, mais pour nos experts, il faut plutôt s’en réjouir. En effet, le Cloud Act permet avant tout de clarifier les relations entre les autorités américaines et les entreprises.

L’objectif du Cloud Act n’est pas seulement de donner aux autorités américaines le droit d’accéder aux données en dehors du territoire américain, mais de résoudre un problème. Si un crime a été commis quelque part, il est normal qu’on puisse avoir accès à des données situées potentiellement ailleurs. Le tout est de le faire dans le cadre de la légalité et en protégeant les droits des citoyens.

En effet, « le Cloud Act permet à Microsoft de s’opposer à des demandes lorsque nous avons la suspicion que la demande du juge va trop loin et qu’elle doit être clarifiée de manière beaucoup plus fine. Il est ainsi possible d’aller la contester », précise Mathieu Coulaud. Il est également possible de le faire dans le cadre d’un conflit de lois, qui permet de déterminer quelle loi va être appliquée lorsque plusieurs pays sont concernés par un même litige.

L’enjeu pour Microsoft est en outre d’informer ses clients si une demande à leur égard est faite. Dans la plupart des cas, il est possible de le faire. La loi l’interdit cependant dans le cadre de certaines affaires de blanchiment d’argent par exemple. « Le secret de l’enquête est alors majeur et nous devons le respecter », souligne Mathieu Coulaud.

Microsoft 365 : Solution sécurisée complète réunissant Office 365, EMS et Windows

Découvrez comment, avec Office, EMS et Windows, vous pouvez offrir à vos utilisateurs davantage de liberté et d’autonomie dans leur façon de travailler et collaborer, sans sacrifier la sécurité.

Télécharger

Qu’est-ce que le Cloud Act change ?

Auparavant, les demandes des autorités américaines étaient régies par le Stored Communications Act de 1986, qui exigeait une demande d’entraide judiciaire internationale fondée sur des traités d’enquêtes judiciaire MLAT (Mutual Legal Assistant Treaty).
N’étant plus adapté au monde d’aujourd’hui, il convenait de le modifier. Le Cloud Act est alors promulgué. Il n’annule cependant pas les traités d’enquêtes judiciaires MLAT, qui sont toujours en vigueur, mais permet de répondre à une autorité d’enquête plus rapidement. Cela devient possible en 8 à 10 mois contre plus de 12 mois pour les MLAT.

Concrètement, avant le Cloud Act, un enquêteur américain saisissait le parquet américain, qui lui‐même saisissait le Ministère de la justice française. Celui‐ci saisissait alors le fournisseur de service en question. Après le Cloud Act, la chaîne se resserre : l’enquêteur américain dépose sa demande devant un juge indépendant américain qui l’examine. Si elle est valable, le magistrat l’envoie au prestataire. Microsoft lance alors une procédure interne pour analyser de nouveau la demande.

Microsoft a plusieurs choix : s’il n’y a aucune interdiction dans le mandat, nous pouvons communiquer la demande d’enquête au client. Dans ce cas‐là, ce dernier organise la réponse lui‐même. S’il est interdit d’informer le client (cas de blanchiment d’argent par exemple), Microsoft revoit le mandat au cas par cas pour établir s’il est fondé.

Microsoft fait‐elle face à un afflux de demandes ?

Au cours des six premiers mois de janvier à juin 2019, les États‐Unis ont établis seulement 126 mandats pour obtenir des données sur les clients à l’extérieur de leur territoire. Seulement un concernait une entreprise commerciale cliente Microsoft.

« Si on parle en volume, l’inquiétude que nous avons pu cerner à la naissance du Cloud Act ne se ressent pas sur le terrain,» explique Bernard Ourghanlian.

L’immense majorité vise des clients individuels, des particuliers. Les demandes qui concernent des entreprises sont extrêmement rares : « Si je suis un truand, a priori, je ne vais en effet pas utiliser le système de mon entreprise », souligne Bernard Ourghanlian.

Cours accéléré sur la gestion de votre sécurité : les clés d’une sécurité optimisée

La façon dont vous gérez la sécurité de vos données et de vos appareils est une priorité absolue dans un contexte de cybermenace en constante évolution.

Télécharger

Quels sont les grands principes qui guident Microsoft ?

« Le Cloud Act constitue incontestablement un progrès en matière de droit et de modernisation des échanges, précise Bernard Ourghanlian. Pour autant, il stipule et laisse la place à des accords entre États. Nous pouvons ainsi espérer que ce type d’accord puisse intervenir entre la France et les États‐Unis pour vraiment aller au bout de l’exercice et faire en sorte d’établir une véritable symétrie dans les relations. Et ce, dans le but que les États se mettent d’accord sur le processus à mettre en œuvre pour donner accès à ces données ».

Microsoft a appelé l’ensemble des États à mettre en place des accords internationaux, fondés sur six principes pour respecter le droit des citoyens :

  • Le droit universel de notification
  • Une autorisation judiciaire préalable indépendante et une présentation minimale des faits
  • Un processus juridique spécifique et complet ainsi que des motifs clairs de contestation
  • Des mécanismes permettant de lever et résoudre les conflits avec les lois de pays tiers
  • Des règles applicables à la recherche de données d’entreprises
  • La transparence