Le Cloud Act est une nouvelle arme de l’arsenal juridique américain mettant en danger les données informatiques des particuliers et des entreprises du monde entier. Une situation qui fait réagir les experts et la classe politique, et qui appelle à une meilleure défense des intérêts français et européens.
Le 23 mars 2018, le gouvernement américain a promulgué le Clarifying Lawful Overseas Use of Data Act, abrégé en Cloud Act. Ce cavalier législatif – glissé au milieu des plus de 2.000 pages de la loi budgétaire fédérale – contraint les prestataires de services et opérateurs numériques américains à divulguer les informations personnelles de leurs utilisateurs à la demande des autorités (justice, police et administration) par simple mandat ou assignation, sans être tenu d’en informer les utilisateurs et ce même lorsque les données ne sont pas stockées sur le territoire national. En clair, aucune entreprise américaine n’est désormais en mesure de garantir la confidentialité des données, même si ces dernières sont stockées en Europe.
Nouvelle déclinaison de la problématique extraterritorialité du droit américain, le Cloud Act met à mal le principe de la souveraineté juridique des États et offre à la première puissance mondiale un formidable outil officiel d’espionnage qui dépasse largement le seul cadre des données personnelles : il expose le monde entier à des risques d’espionnage industriel mais aussi des risques pour la sécurité nationale et la propriété intellectuelle. Pour Servane Augier et Olivier Iteanu, deux représentants d’Hexatrust, une association qui regroupe les acteurs français de la cybersécurité, « la solution est simple (…) il faut se tourner vers les nombreux acteurs offrant des alternatives souveraines, c’est-à-dire non seulement implantées en France, mais aussi et surtout de droit français ». L’expert Yves Garagnon, Directeur général de DiliTrust (un éditeur de solutions de gouvernance et de partage de données sensibles, certifiée ISO 27001), abonde. « L’arrivée du Cloud Act qui, de l’avis de tous les experts, constitue une ingérence juridique jamais vue, est une menace pour le secret des affaires de toute entreprise tricolore contractant avec un prestataire américain ».
Il faut dire que ces risques sont très concrets, comme nous le rappelle le rachat de Brainloop par le groupe américain Diligent en juillet dernier. Très réputée outre-Rhin, cette société allemande protège les données de 70% des entreprises cotées au DAX (le CAC40 allemand) – telles qu’Adidas, Allianz, Bayer ou BMW – et d’autres groupes européens tels que le Crédit Suisse ou les français Suez et Vallourec. Désormais filiale d’une entreprise américaine, Brainloop pourrait se voir contrainte de communiquer les données de ses clients européens sus-cités aux instances américaines en cas d’enquête judiciaire. Une situation qui est loin d’être hypothétique : la justice américaine a par exemple lancé en mai dernier des poursuites pénales contre l’ex-patron de Volkswagen dans l’affaire des moteurs diesel truqués – avec le rachat de Brainloop, l’affaire prend donc une toute autre mesure…
Des responsables politiques français montent au front
Le cri d’alarme des experts n’aura pas été vain : le secrétaire d’État chargé du numérique Mounir Mahjoubi a été interpellé sur cette thématique en juin par le député UDI Jean-Christophe Lagarde, puis par le député MoDem Philippe Latombe le mois dernier. Mounir Mahjoubi a répondu à ce dernier que « nous avons organisé un travail interministériel et interétatique avec les différents pays de l’Union concernés par ce sujet, afin de peser ». Il a assuré qu’en la matière « nous ne subissons pas » et que nous ferions même « jeu égal avec les Américains ».
Une déclaration qui n’a pas convaincu le député français qui a cosigné avec son collègue député Jean-Louis Bourlanges ainsi qu’avec le député européen Jean Arthuis une tribune dans laquelle ils affirment qu’il est « urgent que l’Union européenne applique à la data le principe de précaution qui lui est si cher dans de nombreux domaines, qu’elle encourage les entreprises européennes à reprendre la maîtrise de leurs données. A y bien regarder, cette nécessaire reprise en main représente d’ailleurs une opportunité pour toutes les entreprises et, notamment, pour les start-up européennes innovantes dans le domaine de la cybersécurité. »
Le RPGD (pour Règlement Général sur la Protection des Données), entré en vigueur en mai dernier, est le signe d’une prise de conscience européenne (il heurte le Cloud Act par son article 48 conditionnant le transfert de données à un traité d’entraide judiciaire), mais celle-ci sera-t-elle suffisante ?
Plus globalement, le niveau européen – qui nécessite le soutien de l’Allemagne, celle-là même qui a permis le rachat de Brainloop – et le bouclier législatif sont des réponses bien trop lentes et incertaines. En l’attente, seul le choix par nos entreprises et nos administrations de prestataires nationaux non liés à des entreprises américaines est à même de garantir une protection durable de leurs données numériques.