Le Patriot Act à l’heure du Cloud Computing : entre le mythe et la réalité

Publié le 25/06/2012 - CIO Online - E. Papin

Si l’information est une valeur, il faut constater que l’entreprise dispose de moins en moins de la maîtrise physique de ses données. Le mouvement d’externalisation des centres de production informatique (les data center), vers des prestataires spécialisés est loin d’être nouveau. Lorsque l’entreprise confie son système informatique à un infogérant, elle dispose cependant d’un contrôle important sur ses données : elle peut choisir le data center, souvent en France ; elle peut venir l’auditer ; elle peut contracter avec l’infogérant des engagements en matière de sécurité des données qui lui sont confiées.

La seconde décennie du XXIème est celle du « cloud computing ». La ressource informatique est accessible, « à la demande », en ligne. La localisation physique de cette ressource n’est plus pertinente : les données dans le « cloud » sont dans des data center inconnus du client ou, s’ils lui sont connus, non maîtrisables, non auditables, délocalisés hors de France ou de l’Europe.

La question de l’accès à ces données « délocalisées » par des puissances étrangères préoccupe les pouvoirs publics et doit préoccuper les entreprises, si celles-ci tiennent à protéger leurs valeurs. A ce titre, les entreprises françaises s’interrogent souvent sur les dispositions de la loi américaine dite « Patriot Act » et sur les pouvoirs qu’elle confère aux autorités de ce pays, dont les entreprises restent dominantes sur le marché des prestations informatiques.

Le Patriot Act

Cette loi a été prise dans la suite directe des attentats du 11 septembre 2001, puisqu’elle est adoptée rapidement le 26 octobre 2001. Les parlementaires américains firent preuve d’imagination dans le titre de la loi puisque « USA Patriot Act » se veut l’acronyme de « Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism ». Cette loi est en fait un texte qui modifie d’autres lois américaines préexistantes, dans de nombreux domaines. Nous nous concentrerons sur ses aspects liés à l’accès aux données informatiques.

En application des textes ainsi modifiés, le FBI se voit doté de pouvoirs spéciaux pour obtenir des informations lorsque ses investigations portent sur des risques d’attaques par des puissances étrangères, des actes de sabotage, de terrorisme ou de prolifération d’armes de destruction massive et d’autres risques de cet ordre.

Dans ce cadre, le FBI peut soumettre à un juge une requête afin d’être autorisé à obtenir la communication de tout élément matériel, notamment livres, registres, papiers, documents et « autres éléments ». La liste des informations pouvant être demandées est très ouverte. Elle inclut, par la formulation générale « autres éléments », les données informatiques.

Les personnes auprès desquelles le FBI rechercherait ou obtiendrait de telles informations ont l’interdiction de révéler qu’elles ont eu à répondre à de telles mesures. Un fournisseur de service de « cloud computing » ne pourrait donc informer ses clients des divulgations auxquelles leurs données ont été soumises.

Selon les informations disponibles sur internet, l’utilisation que fait le FBI de ce dispositif serait cependant limitée. En 2010, 96 requêtes visant à obtenir l’accès à des données d’entreprises auraient été déposées par le FBI.

Dans certains cas, ce droit d’accès aux données au profit des enquêteurs américains s’opère sans aucun contrôle préalable du juge. Ainsi, les opérateurs de télécommunications doivent faire droit aux demandes du FBI visant à obtenir la communication des informations détenues par ces opérateurs sur leurs abonnés, et ce sans qu’un juge ait à intervenir, lorsque ces informations sont nécessaires dans le cadre d’une enquête visant a? la protection contre le terrorisme international. Les informations devant être fournies ne concernent pas le contenu même des communications ou des données transférées par les opérateurs mais se rapportent aux données techniques de connexion. Il faut remarquer que le droit français contient des dispositions tout à fait similaires.

Les opérateurs sont également tenus à une obligation de ne pas révéler que le FBI a recherché ou obtenu des informations auprès d’eux. Les mêmes pouvoirs sont donnés au FBI pour obtenir des informations auprès des institutions financières.

Cette pratique est beaucoup plus répandue puisque, selon un rapport du département américain de la justice, en 2010, 24 287 demandes auraient été adressées à ces opérateurs.

Si le Patriot Act fixe les objectifs poursuivis par cette recherche d’informations (lutte contre des activités de terrorisme, de trafic d’armes, etc.), il faut donc remarquer que le contrôle judiciaire est soit très limité soit même inexistant.

Les effets du Patriot Act hors des USA

Les personnes soumises au respect de ces obligations de communication au FBI sont, bien sûr, au premier chef, les ressortissants américains et les personnes domiciliées aux USA, de même que les sociétés américaines.

Tout comme la loi pénale française s’exerce uniquement à l’encontre des personnes situées sur le sol français et à l’encontre des personnes ayant la nationalité française, le Patriot Act n’a pas de vocation à l’extra-territorialité.

Comme l’avait souligné en août 2011 Mme Reding, commissaire européen à la justice, dans une réponse faite à une question parlementaire relative à l’application en Europe des dispositions du Patriot Act, l’application des règles du droit international public a pour conséquence, en l’absence de convention internationale sur ce sujet, que les dispositions du Patriot Act ne peuvent s’imposer directement à des organisations ou des entreprises établies et poursuivant leurs activités en dehors des Etats-Unis.

Mais ces propos rassurants méritent d’être étudiés un peu plus en détail.

Certes, il ne fait pas de doute qu’une société française, par exemple, n’est pas soumise à la loi américaine, et donc notamment au Patriot Act. Cependant, lorsque les données d’une société française sont hébergées dans un « cloud » opéré par une société américaine, quelle garantie la société cliente dispose-t-elle sur la confidentialité des données qu’elle confie ? Réponse : aucune.

Les dispositions du Patriot Act ne limitent pas le périmètre des informations pouvant être demandées à un citoyen ou une société américaine. Un citoyen ou une société de droit américain peuvent ainsi être obligés, en application du Patriot Act, de communiquer toutes les informations auxquelles ils peuvent accéder, que ces informations concernent des américains ou des non-américains.

Il existe également d’autres hypothèses dans lesquelles on peut imaginer que les autorités américaines aient accès aux données d’une société française utilisant un « cloud ».

On donne ainsi l’exemple d’une société mère de droit américain qui enverrait, dans ses filiales à l’étranger, une équipe de contrôleurs de nationalité américaine. Ces citoyens américains sont soumis aux dispositions du Patriot Act, en tant qu’Américains, et ce même lorsqu’ils sont à l’étranger. Ces personnes pourraient faire l’objet d’une demande de communication des données conservées par la filiale et auquel le contrôleur aurait eu accès.

Qu’en est-il d’une société française détenue majoritairement par une société américaine ? Prenons l’exemple d’une société française fournissant, en Europe, des services de « cloud computing », via des data center localisés en Europe. Si cette société est une filiale d’une société américaine, sa maison mère peut être visée par des demandes de communication de données, au titre des dispositions légales américaines modifiées par le Patriot Act, y inclut les données opérées par la filiale française.

Ces hypothèses ne sont plus seulement théoriques depuis que Google et Microsoft ont admis, pendant l’été 2011, pouvoir être contraintes de communiquer aux services de renseignements américains des informations stockées dans leurs centres d’hébergement en Europe.

 

Pour lire l’article d’Etienne Papin du 25 juin 2012 sur CIO Online.

Autres publications