J’entends souvent au cours de discussions avec des responsables informatiques de cette menace existentielle que constituerait, le Clarifying Lawful Overseas Use of Data Act ou CLOUD Act (promulgué le 23 mars 2018 en réponse au procès dit du New York Warrant case.), et qui justifierai de facto, de ne pas « confier » ses données à Microsoft.
Cette législation extraterritoriale américaine permettrait soi-disant de récupérer, par le biais d’une simple injonction gouvernementale, des informations stockées au-delà de l’espace territorial étasuniens.
Argumentant dans la foulée que l’entreprise américaine Microsoft n’aurai pas d’autre choix que d’obtempérer et livrer ces précieuses données. Comme si les entreprises américaines se devaient d’obéir au doigt et à l’œil de la justice Américaine.
C’est un peu vite oublier l’exemple d’Apple en 2016, qui à refusé de fabriquer un logiciel de déchiffrement pour que le FBI puisse accéder au contenu des conversations d’un terroriste de San Bernardino. Demande qui émanait à l’époque de la justice Californienne.
Comme Apple, l’entreprise Microsoft à des milliers de clients dans le monde entier et l’annonce d’une divulgation par l’éditeur de Redmond de données stockées en dehors des Etats-Unis sans autre forme de procès aurait des conséquences catastrophiques auprès de ses clients.
L’éditeur de Redmond précise ici que « Le Cloud Act permet à Microsoft de s’opposer à des demandes lorsque nous avons la suspicion que la demande du juge va trop loin et qu’elle doit être clarifiée de manière beaucoup plus fine. Il est ainsi possible d’aller la contester »
L’informatique en nuage comme j’aime la nommer, repose sur la confiance, c’est de notoriété publique. Pour autant, doit-on avoir une confiance aveugle ? surement pas.
J’ai donc voulu en savoir un peu plus sur le mode opératoire de cette législation extraterritoriale qui par ailleurs, ne saurait constituer l’unique apanage des Etats-Unis.
Dans son ouvrage Droits sans frontière -Géopolitiques de l’extraterritorialité aux éditions Odile Jacob, livre que je vous recommande, Laurent Cohen-Tanugi (Avocat international membre du barreau de Paris et de New York) précise que ce mode opératoire n’a rien d’automatique.
« Si le cloud Act a une dimension extraterritoriale assumée, il comporte cependant en son sein des garanties pour une coordination des législations américaines et étrangères. Les autorités sont aussi obligées de motiver chaque demande auprès d’un fournisseur de services électroniques.
Ce dernier peut s’y opposer dans les 14 jours de sa réception s’il estime que la cible de la réquisition de données n’est pas une personne américaine et ne réside pas aux États-Unis et s’il existe un risque de violation par le fournisseur de services d’une loi étrangère d’un état avec lequel les États-Unis ont conclu un accord.
De plus, le juge américain saisi d’une telle demande peut annuler le mandat de réquisition s’il contraint le fournisseur à violer les lois étrangères si l’intérêt de la justice dicte son annulation et si le client du fournisseur n’est pas un ressortissant des États-Unis et ne réside pas aux États-Unis.
Au moment d’apprécier l’intérêt de la justice justifiant une annulation le juge américain saisi doit veiller au respect du principe de courtoisie international à partir d’une analyse de l’ensemble des circonstances tenant aux intérêts des gouvernements tant américains qui étrangers. »
Vous en conviendrez, on est assez éloigné du discours manichéen que l’on peut entendre régulièrement qui tend à considérer que les Etats-Unis ont tout pouvoir sur les données gérées par leurs entreprises.
C’est ce qui semble motiver la Délibération 2023-146 du 21 décembre 2023 de la CNIL à propos du Groupement d’Intérêt Publics PDS qui précise le choix de « recourir à la société Microsoft Ireland Operations Ltd (Microsoft) en qualité d’hébergeur des données pour des données de santé. »
Mais aussi de préciser : « qu’Il n’en reste pas moins que les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères. »
Choisir c’est accepter d’établir une comparaison entre les risques et les bénéfices dans un contexte particulier. Je vous laisse donc tout naturellement à cet exercice avant de prendre votre décision.
Laurent TERUIN
Liens complémentaires :
Faut-il avoir peur du Cloud Act ?
Droits sans frontière -Géopolitiques de l’extraterritorialité
Travailler ensemble 