Pour garantir que les données personnelles de ses clients européens ne seront pas impactées par son développement aux Etats-Unis, OVH a cloisonné physiquement et juridiquement ses activités de cloud. Est-ce suffisant à une époque où les entreprises européennes sont particulièrement sanctionnées outre-Atlantique, en application de lois aux effets extraterritoriaux ?
S’implanter aux Etats-Unis peut s’avérer une opération très risquée pour une entreprise européenne, surtout depuis 2008 où les sociétés du vieux continent sont particulièrement sanctionnées par les autorités américaines. Quand l’entreprise est un poids lourd du cloud en Europe et qu’elle s’attaque au marché américain complètement dominé par les acteurs locaux, elle se doit d’anticiper les menaces légales. Elle doit notamment trouver un moyen d’empêcher les autorités américaines d’accéder, au nom du Patriot Act, aux données à caractère de ses clients européens. OVH, qui a annoncé l’ouverture d’un premier datacenter aux Etats-Unis, affirme avoir trouvé la solution pour garantir que les données des clients européens ne soient pas impactées par le développement d’OVH outre-Atlantique.
En 2011, la société de Roubaix, déjà tentée par le marché américain, n’avait pas voulu prendre le risque de s’y installer et avait choisi le Québec, au Canada, pour offrir ses services aux Etats-Unis. Aujourd’hui, le groupe se dit prêt après plusieurs mois de réflexion sur cet épineux problème. La solution consiste à créer une société de droit américain, OVH US, complètement étanche par rapport aux autres sociétés du groupe français, de manière à garantir l’absence de lien juridique entre les sociétés européenne et canadienne, et l’entité américaine.
Mais le cloisonnement juridique des sociétés ne suffit pas à éliminer tout risque d’intervention judiciaire américaine. En effet, les agences gouvernementales et les tribunaux d’outre-Atlantique ont une interprétation très extensive des critères de compétence territoriale de certaines de leurs lois. Ces derniers ne peuvent requérir contre une société que si elle est soumise au droit américain. Pour ce faire, il n’est pas forcément nécessaire d’être basé aux Etats-Unis en tant que filiale, par le biais d’une succursale ou d’un bureau, il suffit d’avoir avec ce pays de « minimum contacts », selon la jurisprudence de la Cour suprême.
En informatique, ces « minimum contacts » peuvent se matérialiser par des infrastructures communes en Europe et aux Etats-Unis. C’est la raison pour laquelle l’association Cloud Confidence qui délivre une certification de sécurité de cloud européen impose le cloisonnement physique. Dans cet esprit, OVH écrit sur son site que « les outils, les systèmes d’information, bases de données ne seront en aucun mutualisés entre OVH US et les autres sociétés du groupe ». Il affirme aussi que seuls les salariés de l’entité américaine peuvent accéder aux infrastructures aux Etats-Unis. De même, ces derniers ne pourront pas se connecter aux installations européennes. « Cette isolation se traduira en termes de localisation géographique, mais également de sécurité logique », est-il précisé. Le site ajoute que « les données des clients non-américains ne seront jamais dupliqués, mirrorés sur le territoire US. Et inversement ». Lors de la 4ème édition de l’OVH Summit le 11 octobre dernier, son fondateur et directeur technique Octave Klaba, avait expliqué que « si vous êtes un client américain, vous serez en mesure de déployer des services partout dans le monde. Mais si vous êtes client d’OVH en Europe, vous n’aurez accès aux services depuis les Etats-Unis que si vous devenez également client de notre entité américaine. C’est à ce prix que nous pouvons sécuriser les données de nos clients européens ». Ainsi, peut-on considérer qu’il n’est pas possible d’avoir accès depuis les Etats-Unis aux données européennes, un critère déclencheur de la compétence extraterritoriale des autorités américaines.
En plus du cloisonnement des infrastructures et des marchés, la société française a prévu que son équivalent américain disposerait de son propre comité exécutif, afin de garantir que les décisions soient prises en toute indépendance par rapport à sa mère d’origine française.
Ces mesures sont-elles suffisantes pour étanchéifier les deux marchés, et protéger les données européennes ? L’avenir nous dira, si aucun détail n’a été oublié.
Comme le dénonce le rapport parlementaire de la mission d’information sur l’extraterritorialité de la législation américaine, menée par les députés Karine Berger (PS) et Pierre Lellouche (LR), les entreprises européennes sont particulièrement la cible des autorités américaines qui instrumentalisent le droit au profit des intérêts sécuritaires et économiques du pays. Et cette tendance s’est intensifiée depuis 2008, notent-ils. Ainsi la BNP a été condamnée à verser 9 milliards de dollars d’amende et le Crédit agricole à 787 millions de dollars pour violation des sanctions internationales américaines, Alstom 772 millions de dollars, Total 398 millions de dollars, Siemens 800 millions de dollars pour violation de la législation américaine anticorruption.
Les rapporteurs regrettent la faible opposition rencontrée à ces pratiques, parfois abusives, et demandent que la France exige la réciprocité dans l’application de certains accords internationaux et qu’elle se dote d’armes juridiques similaires à celles des Etats-Unis pour pouvoir leur imposer des politiques coopératives, en matière de fiscalité ou de lutte contre la corruption. Par ailleurs, un rapport de force doit s’instaurer. Cela passe notamment par la loi dite de « blocage » de 1968 pour empêcher la transmission de données sensibles aux autorités américaines. La forte amende infligée à Apple par l’Europe est un signe que les choses commencent à bouger, estiment-ils.
Les auteurs du rapport ont fait adopter dans ce sens des amendements au projet de loi, dit Sapin 2, relatif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, notamment sur l’extraterritorialité du droit français. Le règlement européen sur la protection des données à caractère personnel prévoit aussi des effets extraterritoriaux à ces règles… dont le Privacy Shield a déjà largement réduit leur portée, en ce qui concerne les Etats-Unis.
Sylvie ROZENFELD