En milieu de semaine, AWS a organisé une conférence de presse afin d’évoquer le CLOUD Act. Le CSP américain souhaite rassurer ses clients français quant aux impacts de cette législation.
Depuis son introduction, le CLOUD Act provoque la peur. Certains gouvernements et certaines entreprises se sentent menacés par cette loi promulguée l’année dernière.
Pour rappel, le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) est un règlement appliqué aux États-Unis. Il modifie le Stored Communication Act de 1986 en vue de permettre aux forces de l’ordre fédérales, locales et municipales d’assigner par mandat les hébergeurs américains. Dans ce cadre, ils doivent leur remettre les données d’un suspect stockées sur leurs serveurs installés dans ce pays ou à l’étranger.
Les entreprises et gouvernements européens considèrent que le texte permet aux autorités américaines d’accéder à des informations électroniques sensibles sur leur sol par l’entremise de procédures pénales. Ce serait un outil de surveillance généralisée.
En ce sens, l’Allemagne, la France, et la Suède se sont récemment prononcées pour l’adoption de solutions européennes de Cloud Computing. Afin de résoudre ce « problème », ces pays déploient l’offre de NextCloud et souhaitent mettre fin à leurs contrats avec les fournisseurs comme AWS, Microsoft ou Google.
NextCloud, ce fournisseur allemand développe une couche logicielle libre permettant de contrôler des fichiers, de les synchroniser et de les gérer au sein d’un cloud privé, donc sur site. Il facture à l’année l’aide à l’installation, le support et la maintenance suivant le nombre d’utilisateurs.
Dominic Trott a d’abord incité les personnes à lire un petit article rédigé par IDC et sponsorisé par AWS. Son titre ? « Ne soyez pas effrayé par le CLOUD Act ».
Ce document rappelle que les forces de l’ordre ont besoin d’un mandat signé par une cour de justice. Il doit être en conformité avec cette loi ou avec les accords bilatéraux établis avec les pays concernés pour récupérer des données. De plus, il précise que les hébergeurs ne sont pas seulement les fournisseurs de cloud, mais toutes structures qui stockent les informations de l’individu ciblé par le CLOUD Act.
Par ailleurs, aucun élément de cette loi n’oblige à confier les clés de chiffrements d’un fichier protégé par l’utilisateur. Et les forces de l’ordre ne disposent pas de « décodeur magique » pour accéder aux données. « L’encryption est votre amie », déclare Dominic Trott.
Stephan Hadinger affirme que c’est impossible dans le cas où les clients s’équiperaient des Hardware Security Module, des systèmes matériels de protection fournis par AWS. « Il n’y a aucun moyen technique pour extraire les clés », assure-t-il. « Si un juge nous les réclame, nous ne pourrions pas les lui confier ».
Le directeur de recherche chez IDC a donc rappelé quelques consignes que les entreprises peuvent appliquer afin d’éviter l’accès aux données. Outre une vérification légale, Dominic Trott leur recommande de calibrer le niveau de traitement des informations auprès des partenaires et des tiers. De même, il considère que les fournisseurs de cloud peuvent aider leurs clients à chiffrer et à gérer les clés de protection. Enfin, il invite les entreprises à appliquer le principe de privacy by design, un concept présent au sein du RGPD.
« L’accès en temps opportun aux données électroniques détenues par les fournisseurs de services de communication est un élément essentiel des efforts déployés par le gouvernement pour protéger la sécurité publique et combattre les crimes graves, y compris le terrorisme ».
« Selon un rapport de la Commission européenne publié l’année dernière, dans plus de 85 % des cas, vous avez besoin d’accéder à des preuves numériques pour les résoudre », affirme le professeur de droit international. « Le plus souvent, ces éléments comme des mails, des photos, des messages sur les réseaux sociaux sont hébergés dans une autre juridiction, un autre pays. Cela oblige les forces de l’ordre de faire une demande via le traité d’assistance judiciaire mutuelle, ce qui prend en moyenne 10 mois ».
Le Cloud Act vient répondre en partie à ce problème tout comme le projet de règlement E-Evidence introduit par la Commission européenne. De plus, la législation américaine oblige à fournir des « causes probables » d’un crime. Les policiers doivent déjà détenir suffisamment d’éléments de preuve contre un suspect avant de réclamer un mandat.
Par ailleurs, Théodore Christakis insiste sur le fait que cette loi est en conformité avec la Convention internationale de Budapest, et qu’elle n’est pas « un instrument de surveillance ». Un juge ne peut pas partager les informations sensibles d’une entreprise piratée, par exemple. En cas d’abus, les hébergeurs peuvent s’opposer légalement à la récupération des données.
Alors, à qui profitent ces doutes ? IDC estime que les fournisseurs locaux jouent des coudes arguant que les géants du cloud ne peuvent pas protéger leurs clients. Évidemment, les gouvernements soucieux de leur souveraineté sont tentés de les croire. Dans un même temps, qu’AWS organise une telle rencontre entre experts et journalistes révèle que l’entreprise a besoin de rassurer ses clients et ses prospects français.
–
Pour votre sécurité et la mienne
Je rapatrie les adresses mail de type GAFAM sur gafam@huonder.name
Partout ailleurs sur mon nom de domaine ces adresses seront bloquées
Merci pour votre compréhension