Impacts du Cloud Act sur les entreprises françaises

Écrit le 23/10/2019 par Arnaud Brun

Comprendre les enjeux du Cloud Act

Le Cloud Act est une loi américaine promulguée en mars 2018 par le Président Trump. Elle permet aux autorités américaines de demander l’accès à toute donnée numérique placée sous le contrôle du fournisseur de service susceptible de les intéresser dans le cadre d’une enquête. Bien qu’il s’agisse d’une loi nationale, ses effets sont extra-territoriaux dès lors qu’il existe un lien suffisant avec les Etats-Unis.

« Accepter le Cloud Act revient à accepter la suprématie du droit américain sur le nôtre en matière de droit des consommateurs et à perdre peu à peu le contrôle de nos communications et de nos données », estime Jean-Noël de Galzain, président d’Hexatrust dans un livre blanc consacré au Cloud Act.

En ce qui concerne les données stratégiques, le Sénat a remis le 1er Octobre un rapport avec ses recommandations pour renforcer la souveraineté numérique en France. Il estime qu’une obligation de localisation des données sur le territoire est une solution « imparfaite ».

La nationalité du fournisseur de cloud menace la souveraineté de vos données

« Ainsi, quand bien même des données seraient physiquement localisées sur le territoire français ou européen, les entités qui contrôlent les centres de données ( datacenters ) continueront, en raison de leur nationalité, à être également soumises à des régimes juridiques les obligeant à coopérer avec des puissances étrangères. » L’exemple récent de la porosité d’entreprise chinoise comme Huawei avec leur gouvernement illustre le propos.

Le rapport Gauvain du 26 juin 2019 est publié sous le titre « Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale »

Il met en garde sur la guerre économique en précisant que « Le Cloud Act organise ainsi un accès illimité des autorités judiciaires américaines aux données des personnes morales, rendant obsolètes et inutiles les Traités d’entraide judiciaire ».

En effet, avec le flou qui entoure la définition de « crime grave » et l’absence de mécanisme d’information d’ouverture de procédure auprès des entreprises visées, le « Cloud Act » organise le contournement des traités d’entraide judiciaires et affaiblit les garanties dont pourraient normalement se prévaloir les entreprises mises en cause.

Pour rendre plus concret comment une telle mécanique se met en oeuvre, je vous invite à lire le livre de Frederic Pierucci, le Piège américain ou son interview dans Thinkerview

Dans le rapport Gauvain, il précise: des textes comme le Cloud Act US« ont contribué à élargir toujours plus avant la définition du champ de la compétence normative et opérationnelle des Etats-Unis, soit de manière explicite soit, plus subtilement, en permettant aux autorités américaines, notamment au Département de la Justice de poursuivre aux États-Unis des personnes physiques ou morales étrangères suspectées d’avoir commis telle ou telle infraction (corruption, violation de sanctions internationales ou autres), alors même que les faits ont eu lieu en dehors du territoire des États-Unis et que le lien de rattachement entre l’infraction et le territoire américain apparaît extrêmement contestable »

Au delà de la prise de conscience, des pistes pour protéger les données européennes:

Le Règlement général sur la Protection des Données (RGPD), la Directive Network and Information Security (NIS), le Règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur dit règlement eIDAS sont des débuts de réponse pour la protection des citoyens européens et de leurs entreprises, mais ne protègent pas des règles d’extraterritorialité américaines.

Le Sénat ouvre également la piste de renforcer et rénover la loi de Blocage de 1968 dans la perspective de conflits de normes, et pour rester crédibles en vue des négociations internationales appelées à les résoudre. L’Union Européenne, au-delà de la conscience des enjeux, se doit également de trouver des parades légales pour défendre une vision différente du numérique et des droits des citoyens et de ses entreprises.

Donc, les options sont donc limitées :

  • Soit héberger son informatique chez un provider Européen, de préférence français en cas de données sensibles qui rentrent dans le cadre de la classification ANSSI d'Opérateur d’Importance Vitale ou Opérateur de Services Essentiels, et qui plus et dans un datacenter ou cloud sur le sol européen.
  • En cas de groupe internationaux, la séparation juridique de l’activité dans différentes entités filiales étanches en fonction de l’implantation géographique des services (c’est ainsi la solution retenue par l’entreprise française OVH pour lui permettre d’étendre ses activités aux Etats-Unis.
  • Et, surtout, le recours extensif aux technologies de chiffrement robuste des données dont seul le client aurait la clé et non l’intermédiaire technique, chiffrement basé sur des solutions qualifiées et certifiées par l’autorité nationale (l’ANSSI en France). Ceci rend impossible le décryptage par les autorités locales, même en cas de coopération forcée de l’entreprise

Nous devons attendre de la puissance publique (l’Etat français ou l’Union Européenne) :

  • de renforcer la protection des entreprises contre la transmission par les hébergeurs de leurs données numériques non personnelles aux autorités judiciaires étrangères avec un premier niveau de protection qui consiste à sortir une loi qui serait une « extension du RGPD aux données des personnes morales ». Elle permettrait de sanctionner les hébergeurs de données numériques qui transmettraient aux autorités étrangères des données non personnelles relatives à des personnes morales françaises en dehors des canaux de l’entraide administrative ou judiciaire.
  • de moderniser la loi de 1968, dite « loi de blocage » qui rend obligatoire la déclaration aux autorités françaises du lancement des procédures, par un accompagnement renforcé des personnes morales incriminées par une administration dédiée et enfin par le durcissement des sanctions encourues en cas de violation de la loi.

Les dernières news du cloud souverain français

Concernant les Cloud souverains, Bruno Lemaire, a annoncé le 3 octobre une stratégie de l’Etat à trois niveaux. Réponse en décembre pour l’annonce des heureux élus :

  • Un cloud « interne » à usage interministériel. Il comprendra trois instances qui devront progressivement devenir une offre IaaS et PaaS sur base OpenStack. Les données, traitements et applications sensibles y seront accueillis.
  • Un cloud « dédié » qui s’appuiera sur « une offre […] standard d’un industriel du secteur ». L’État entend y héberger des données, des traitements et des applications « d’une sensibilité moindre, mais nécessitant un certain niveau de pérennité ».
  • Un cloud « externe ». Il sera constitué d’un catalogue d’offres génériques – notamment SaaS, y compris des poids lourds américains – que porteront des centrales d’achat. Il est question d’y accueillir des données, des traitements et des applications « peu sensibles »

Les sociétés actuellement identifiées pour fournir le cloud souverain sont : OVH, Scaleway (Free), et Outscale de Dassault Système. Et sur le cloud dédié sont présents Capgemini, un groupement Atos / SCC et la SSII d’origine suisse SoftwareONE. SFR et Orange ne sont pour l’instant pas cités car ayant déjà eu leur chance avec Numergy et Cloudwatt. Le marché est évalué à 400 millions d’Euros, ce qui attire les convoitises.

Au niveau de Netsach, nous sommes cloud agnostique, et déjà partenaire d’OVH.