Rien ne va plus chez les fournisseurs américains du Cloud. Après les révélations d’Edward Snowden, l’inflexibilité du gouvernement américain pour amender sa politique de surveillance de l’internet, voici qu’une décision de justice d’un tribunal américain donne un nouvel argument aux voix qui militent pour ne pas confier les données européennes aux entreprises d’outre-Atlantique.
Le 25 avril 2014, un juge fédéral de New York a enjoint Microsoft de livrer au gouvernement américain les emails d’un suspect stockés dans un de ses datacenters en Irlande. La société américaine demandait au juge de prononcer la nullité de l’injonction, au motif que les données demandées sont hébergées à l’étranger. Pour le juge, seul suffit le fait que le prestataire soit américain. Microsoft a fait appel de cette décision, préjudiciable aux acteurs américains du cloud computing.
En question, le caractère extra-territorial de la loi américaine. Mais cette fois-ci, il ne s’agit pas du Patriot Act ou du Fisa Act, mais du Store Communication Act (le SCA) qui s’inscrit dans l’Electronic Communication Privacy Act de 1986. Ce texte impose aux prestataires de services de l’internet de communiquer les données qu’ils détiennent au gouvernement américain, sur ordonnance d’un juge.
Microsoft conserve les emails reçus ou envoyés par ses utilisateurs dans des datacenters qui sont situés aux Etats-Unis mais aussi à l’étranger. La localisation du stockage des données découle du phénomène de la « latence du réseau », à savoir le temps de réponse du réseau. Plus la distance entre l’utilisateur et le datacenter est important plus la qualité du service va décroître. D’où l’intérêt de stocker une donnée au plus près du lieu de l’abonné. Cette localisation va être opérée en fonction du code pays entré par l’utilisateur lors de son enregistrement. Dans ce cas, les données initiales qui ont d’abord été traitées aux Etats-Unis seront transférées dans la zone adéquate, en l’espèce en Irlande, après avoir été effacées aux Etats-Unis.
Dans le cadre d’une procédure pénale, un juge fédéral a ordonné à Microsoft de communiquer le contenu de tous les emails envoyés ou reçus par un suspect, les données d’identification de ses comptes (adresse, numéro de téléphone, adresse IP, login, dates, etc.) et les données se rapportant aux communications MSN, etc. Bref, tout. Or pour Microsoft, une cour fédérale ne peut autoriser une recherche ou une saisie d’éléments qui ne se trouvent pas sur le territoire américain. Mais ce n’est pas le raisonnement suivi par le tribunal qui estime qu’un prestataire américain doit fournir les données demandées, peu importe le lieu où elles sont stockées. Et peu importe que la protection européenne des données à caractère personnel et de l’application territoriale de la législation de l’UE !
Cette décision tombe au moment où Microsoft venait justement de se réjouir de l’avis du G29 dévoilé dans une lettre d’Isabelle Falque-Pierrotin, en tant que présidente du G29, le 2 avril dernier, sur la compatibilité de ses services de Cloud avec les exigences européennes de la protection des données à caractère personnel. « C’est une importante semaine pour la protection de la vie privée de nos clients », avait écrit le responsable juridique de Microsoft sur son blog, le 10 avril dernier. Il avait poursuivi en déclarant que « cela permet à nos clients qui utilisent nos services Microsoft de transférer librement leurs données d’Europe vers le reste du monde. Nous basant sur cette approbation, nous allons prendre des mesures pour étendre le bénéfice de ces protections légales à tous nos clients entreprises ». Et il a ajouté, « les régulateurs européens de la protection des données ont en effet dit que les données personnelles stockées dans le cloud de Microsoft sont protégées par des règles très rigoureuses, peu importe où elles sont localisées ». La décision du tribunal fédéral du 25 avril dernier apporte un démenti à cette affirmation, même pour des données conservées en Europe.
Microsoft, trop pressé de vouloir rassurer sa clientèle étrangère, a également été un peu rapide dans son analyse de la décision européenne. Dans son communiqué du 24 juillet dernier, le G29 rappelle que « l’issue positive de cette évaluation partielle ne signifie pas que le G29 considère que les dispositions contractuelles de Microsoft dans leur ensemble sont conformes avec l’intégralité des règles de protection des données de l’UE, ni que Microsoft respecte ces règles dans la pratique. Le G29 reconnaît uniquement que Microsoft a pris suffisamment de précautions contractuelles pour encadrer ses flux internationaux de données, conformément à l’article 26 de la directive 95/46/CE. ».} En effet, le G29 explique que les autorités de contrôle n’ont pas analysé les annexes aux documents contractuels de Microsoft pour ses services Office 365, Microsoft Azure Microsoft Dynamics CRM et Windows qui décrivent les transferts visés par le contrat, dans la mesure où leur contenu peut varier d’un client à l’autre. Ces annexes, expliquent le groupe des Cnil européennes, devront faire l’objet d’un examen séparé par l’autorité de contrôle concernée.
Dans ce climat de défiance à l’égard des Etats-Unis, le G29 a par ailleurs indiqué dans une opinion du 10 avril dernier que même si les opérateurs de cloud agissent dans le cadre du Safe Harbor, de clauses contractuelles types ou de BCR (Binding Corporate Rules), cela ne les autorise pas pour autant à communiquer les données qu’ils hébergent à des services de renseignement d’Etats tiers ou à se conformer à une demande d’accès de masse à des données à caractère personnel protégées par le cadre légal européen.
Entre l’enclume et le marteau, les opérateurs de cloud sont dans une situation très inconfortable. D’où l’intense lobbying que font les géants américains du numérique auprès de leur gouvernement. Pour l’instant, sans succès. Dernièrement le pdg de Cisco a écrit une lettre à Barack Obama lui disant que cette politique va « miner la confiance dans notre industrie et la capacité des entreprises technologiques à livrer des produits dans le monde entier. » .