Cloud Act

Contenu

Cloud Act est l’acronyme de Clarifying Lawful Overseas Use of Data Act. Trop forts ces ricains pour les acronymes (presque aussi bien que Patriot Act). A l’instar du Patriot Act, ou dans le même esprit que le RGPD, il devrait permettre une collaboration plus facile dans les requêtes judiciaires.

L’objet du délit

Si je comprends bien, le but de cette loi est essentiellement de faciliter l’échange de données entre pays (comprenez : entre les Etats-Unis et le reste du monde) via des accords bilatéraux ou multilatéraux, dans le cadre d’affaires judiciaires graves. Donc pas d’espionnage industriel, promis !

Cela se passera dans les deux sens, donc cela pourrait s’appliquer à des affaires du type Microsoft en Irlande¹, mais aussi pour un pays (respectant certains critères et ayant donc un accord avec les Etats-Unis) qui pourrait demander directement à un fournisseur de services US des données et autres informations personnelles sur une personne visée par une procédure judiciaire. Tout se jouera ensuite sur les conditions d’applications. Et le débat est largement ouvert aux Etats-Unis².

Au cours de son élaboration, ce texte a vite trouvé ses opposants³ mais aussi ses ~~souteneurs~~ supporters, avec diverses analyses⁴ allant dans les deux sens :

Les promoteurs du projet souhaitent un cadre réglementaire pour les requêtes judiciaires et administratives ;
Les détracteurs considèrent que cela mettait en péril la protection des données et de la vie privée.

Faites ce que je dis

Ce qui est amusant (si ça pouvait être drôle), c’est de voir que l’opposition au Cloud Act est surtout américaine, et que ses défenseurs agissent au nom des droits de l’homme (américain). Je me permets ce trait d’ironie, car les américains ont imposé plusieurs dispositions extra-territoriales très intrusives (au nom de la lutte anti-terroriste ou pour les impôts), mais alors qu’il s’agit de faciliter le travail de pays « amis » dans des affaires officielles (judiciaires ou administratives), on se montre beaucoup plus regardant⁵. Non pas que cela soit illégitime, mais l’absence d’un Cloud Act (éventuellement modifié et aménagé) ne ferait que prolonger le déséquilibre actuel et surtout l’inadaptation de nos lois et conventions internationales sur l’échange de données dans le cadre d’affaires judiciaires (ou plus si affinités).

Adoptons en douce

Fait. Le Cloud Act a été adopté subrepticement, via une ruse juridique, au cours du débat budgétaire, comme le regrette l’EFF⁶ par exemple.
En ce qui concerne l’affaire Microsoft⁷, elle est devenue techniquement caduque mais nul doute qu’elle repartira de plus belle dès que le Cloud Act s’appliquera à l’Irlande.

Justement : va-ce s’appliquer ?

La réponse est (en avril 2018) : j’en sais rien. De prime abord, les dispositions du Cloud Act pourraient être en contradiction avec le RGPD. On aura peut-être une réédition de l’affaire Safe Harbor, où la justice européenne a invalidé un dispositif législatif permettant l’échange de données (dans le cadre d’activités informatiques habituelles) avec les Etats-Unis.

Une réponse : AWS

AWS est aux premières loges dans cette affaire en tant que fournisseur de services informatiques. Ils ont fait une très bonne page pédagogique d’explications. Ils ont également fait un travail de communication avec le cabinet IDC⁸, alors que peu de concurrents ont fait le même effort.

Bon, après, d’après eux, tout va bien, comme toujours. Leur recommandation : chiffrer les données⁹. Ainsi le demandeur devra s’adresser au véritable propriétaire des données pour avoir accès aux clés de chiffrement, puisqu’elles sont inaccessibles¹⁰ (en utilisant un HSM, chez AWS ou via un tiers) !

La réponse de Google

Google aussi a explicité sa politique vis-à-vis des requêtes judiciaires et gouvernementales. Sans surprise, ils prévoient le GAG Order et donc la possibilité de ne pas communiquer au client qu’une requête est en cours.

Sources

Le texte est consultable ~~ici, mais l’adresse peut n’être que temporaire, car le texte est toujours en discussion~~ ici.

Références

↑ (en) , « New Bill Would Moot Microsoft Ireland Case — And Much More! » sur Just Security, (consulté le 15/03/2018)

↑ (en) , « Left Out of the Party on Cloud Nine: A Response to Jennifer Daskal » sur Just Security, (consulté le 15/03/2018)

↑ (en) , « The CLOUD Act: A Dangerous Expansion of Police Snooping on Cross-Border Data » sur Electronic Frontier Foundation, (consulté le 14/03/2018)

↑ (en) Joseph Marks and Heather Kuldell, « What to Know About the CLOUD Act » sur nextgov.com, (consulté le 14/03/2018)

↑ (en) , « Skydiving Without a Parachute A Close Look at the CLOUD Act Shows It Lacks Essential Protections » sur Open Technology Institute,

↑ (en) David Ruiz, « Responsibility Deflected, the CLOUD Act Passes » sur Electronic Frontier Foundation, 23/03/2018 (consulté le 16/05/2019)

↑ (en) « United States, Petitioner v. Microsoft Corporation » sur www.supremecourt.gov, 17/04/2018 (consulté le 23/04/2018)

↑ (fr) « AWS et IDC unis pour désamorcer la portée du Cloud Act - Le Monde Informatique » sur LeMondeInformatique (consulté le 19/09/2019)

↑ (fr) Clément Bohic, « CLOUD Act : pour AWS, la parade est dans le chiffrement des données » sur Silicon, 16/09/2019 (consulté le 19/09/2019)

Date	Auteur	Catégories
15/08/2018	janiko	Cloud, Législation

Cloud Act

L’objet du délit

Faites ce que je dis

Adoptons en douce

Justement : va-ce s’appliquer ?

Une réponse : AWS

La réponse de Google

Sources

Références

J’aime ça :

Catégories

Blog

Archives

Toutes les pages

Méta

L’objet du délit

Faites ce que je dis

Adoptons en douce

Justement : va-ce s’appliquer ?

Une réponse : AWS

La réponse de Google

Sources

Références

Partager :

J’aime ça :

Catégories

Blog

Archives

Toutes les pages

Méta

Recherche sur le site

Étiquettes