Cloud Act

Cloud Act est l’acronyme de Clarifying Lawful Overseas Use of Data Act. Trop forts ces ricains pour les acronymes (presque aussi bien que Patriot Act). A l’instar du Patriot Act, ou dans le même esprit que le RGPD, il devrait permettre une collaboration plus facile dans les requêtes judiciaires.

L’objet du délit

Si je comprends bien, le but de cette loi est essentiellement de faciliter l’échange de données entre pays (comprenez : entre les Etats-Unis et le reste du monde) via des accords bilatéraux ou multilatéraux, dans le cadre d’affaires judiciaires graves. Donc pas d’espionnage industriel, promis !

Cela se passera dans les deux sens, donc cela pourrait s’appliquer à des affaires du type Microsoft en Irlande1, mais aussi pour un pays (respectant certains critères et ayant donc un accord avec les Etats-Unis) qui pourrait demander directement à un fournisseur de services US des données et autres informations personnelles sur une personne visée par une procédure judiciaire. Tout se jouera ensuite sur les conditions d’applications. Et le débat est largement ouvert aux Etats-Unis2.

Au cours de son élaboration, ce texte a vite trouvé ses opposants3 mais aussi ses souteneurs supporters, avec diverses analyses4 allant dans les deux sens :

  • Les promoteurs du projet souhaitent un cadre réglementaire pour les requêtes judiciaires et administratives ;
  • Les détracteurs considèrent que cela mettait en péril la protection des données et de la vie privée.

Faites ce que je dis

Ce qui est amusant (si ça pouvait être drôle), c’est de voir que l’opposition au Cloud Act est surtout américaine, et que ses défenseurs agissent au nom des droits de l’homme (américain). Je me permets ce trait d’ironie, car les américains ont imposé plusieurs dispositions extra-territoriales très intrusives (au nom de la lutte anti-terroriste ou pour les impôts), mais alors qu’il s’agit de faciliter le travail de pays « amis » dans des affaires officielles (judiciaires ou administratives), on se montre beaucoup plus regardant5. Non pas que cela soit illégitime, mais l’absence d’un Cloud Act (éventuellement modifié et aménagé) ne ferait que prolonger le déséquilibre actuel et surtout l’inadaptation de nos lois et conventions internationales sur l’échange de données dans le cadre d’affaires judiciaires (ou plus si affinités).

Adoptons en douce

Fait. Le Cloud Act a été adopté subrepticement, via une ruse juridique, au cours du débat budgétaire, comme le regrette l’EFF6 par exemple.
En ce qui concerne l’affaire Microsoft7, elle est devenue techniquement caduque mais nul doute qu’elle repartira de plus belle dès que le Cloud Act s’appliquera à l’Irlande.

Justement : va-ce s’appliquer ?

La réponse est (en avril 2018) : j’en sais rien. De prime abord, les dispositions du Cloud Act pourraient être en contradiction avec le RGPD. On aura peut-être une réédition de l’affaire Safe Harbor, où la justice européenne a invalidé un dispositif législatif permettant l’échange de données (dans le cadre d’activités informatiques habituelles) avec les Etats-Unis.

Une réponse : AWS

AWS est aux premières loges dans cette affaire en tant que fournisseur de services informatiques. Ils ont fait une très bonne page pédagogique d’explications. Ils ont également fait un travail de communication avec le cabinet IDC8, alors que peu de concurrents ont fait le même effort.

Bon, après, d’après eux, tout va bien, comme toujours. Leur recommandation : chiffrer les données9. Ainsi le demandeur devra s’adresser au véritable propriétaire des données pour avoir accès aux clés de chiffrement, puisqu’elles sont inaccessibles10 (en utilisant un HSM, chez AWS ou via un tiers) !

La réponse de Google

Google aussi a explicité sa politique vis-à-vis des requêtes judiciaires et gouvernementales. Sans surprise, ils prévoient le GAG Order et donc la possibilité de ne pas communiquer au client qu’une requête est en cours.

Sources

Le texte est consultable ici, mais l’adresse peut n’être que temporaire, car le texte est toujours en discussion ici.