Microsoft Irlande : les données sensibles à la merci du droit américain ?

Depuis plusieurs années, le spectre d'une extraterritorialité du droit américain plane sur les entreprises européennes ayant recours aux géants du web pour la gestion de leurs données sensibles.

Depuis la mise en place du Patriot Act en 2001, l'évolution de la juridiction américaine sur la protection des données personnelles est suivie de près par les spécialistes du monde entier. Alors que les Etats-Unis demeurent la terre d'accueil des géants du numérique, Washington est engagée dans une lutte constante pour conserver la mainmise sur les données hébergées par les GAFA. Les enjeux sont cruciaux pour les entreprises ayant recours aux services de ces derniers mais qui souhaitent néanmoins préserver des informations confidentielles.

Du Patriot Act au Freedom Act, les entreprises non-américaines toujours en danger ?

"Du moment où elles passent par un serveur américain, les données des entreprises ne sont plus considérées comme sécurisées et courent donc un risque non négligeable de confidentialité (au niveau de l'intelligence économique notamment)" déclarent de but en blanc Nadim Baklouti et Gaëtan Fron, deux experts en cybersécurité de DiliTrust, une entreprise éditrice de logiciels sécurisés qui a fait de la gestion des données "Made in France" sa spécialité.

Dans une longue tribune accordée à Challenges, les deux experts ne cachaient pas leur inquiétude vis-à-vis du Patriot Act, du nom de cet ensemble de mesures prises après les attentats du 11 septembre 2001. Celles-ci autorisaient le gouvernement à consulter toute donnée informatique stockée sur son territoire national. Si le texte a souvent été attaqué pour son entrave aux libertés fondamentales, il fut toutefois appliqué jusqu'en 2015. Pendant près de quinze ans, le gouvernement a eu la possibilité de consulter toute donnée stockée sur le territoire américain. La pratique s'était semble-t-il largement banalisée, jusqu'à la mise en vigueur du Freedom Act, le 2 juin 2015, qui conditionne la réquisition des données à l'autorisation d'un tribunal.

La nouvelle mouture s'est montrée (légèrement) moins intrusive pour les citoyens américains, mais n'a pas pour autant épargné l'Europe. "Les autorités américaines n'ont pas apporté d'éléments suffisamment précis pour écarter la possibilité d'une surveillance massive et indiscriminée des données des citoyens européens" ont constaté, désabusés, les régulateurs.

Avocat à la Cour et chargé d'enseignement à l'université Paris-I-Sorbonne, Olivier Iteanu confirme que, dans les conditions actuelles du Freedom Act, la menace d'une mise sous tutelle américaine de ces données demeure persistante. "La seule façon pour un client de se protéger contre une telle mésaventure, est de faire un bon usage de l'outil juridique qu'est le contrat conclu avec son hébergeur pour anticiper ces situations et les contrôler. Le contrat doit ainsi interdire la cession du contrat sans l'accord préalable du client ; ce que l'on nomme la clause d'incessibilité" prévient-il. Le juriste conseille de choisir en premier lieu un hébergeur français ou européen mais alerte contre les risques de rachats - fréquents - des petits hébergeurs par les géants américains.

Une mise en garde qui souligne la complexité d'un univers juridique en mouvement perpétuel et face auquel les entreprises, surtout intermédiaires, ont parfois du mal à appréhender. La prise de conscience est néanmoins réelle. "Pour beaucoup de nos clients il est important de pouvoir s'affranchir des risques causés par le Freedom Act lors de leurs opérations" confirme ainsi Yves Gargagnon, PDG de Dilitrust. C'était en 2017, soit deux ans après les premières mises en garde de l'entreprise.