Comment remédier aux ravages du Cloud Act ?
La nouvelle législation américaine pose un cadre légal pour l’espionnage industriel et le vol de la propriété intellectuelle à travers une vue totalement dégagée sur les business model, les plans d’exploitation et les secrets industriels européens.
Le Cloud Act, l’acronyme de Clarifying Lawful Overseas Use of Data Act, est une loi américaine pour clarifier l’usage légal des données stockées hors des Etats Unis. Ce choix d’acronyme n’est sans doute pas une coïncidence et témoigne de la volonté du gouvernement américain d’entretenir une confusion avec le cloud, la technologie qui offre des services informatiques externalisés
Cette loi permet de renforcer la suprématie numérique des Etats Unis allant jusqu’à menacer toutes les règles d’éthique et la concurrence loyale. Après les polémiques sur les pratiques douteuses des GAFA[1] [2], c’est autour du Cloud Act de faire couler beaucoup d’encre et de susciter les critiques. Ces dernières se rejoignent sur le danger que porte ce texte de loi pour l’économie européenne et le respect des réglementations mises en vigueur pour la protection des données.
Afin de contrer le Cloud Act, l’Europe envisage des pistes mais sa forte dépendance aux services fournis par les Gafa crée une situation conflictuelle. Connu pour une bonne conformité au RGPD et un respect du concept de "privacy by design", le chiffrement de bout en bout serait le meilleur rempart à ce type d’initiative.
Après la révolution du poste de travail dans les années 90 puis celle du web dans les années 2000, le cloud est incontestablement la révolution informatique de cette dernière décennie. Cette technologie permet d’héberger d’énormes volumes de données et d’y accéder à distance à tout moment. A l’heure de la 4G et de l’universalisation de la fibre optique, la vitesse d’accès à ses données est tellement fulgurante que l’on oublierait presque que ces dernières ont quitté nos domiciles et bureaux. Cependant, derrière cette promesse de persistance et de disponibilité, se cache une infinité de data centers offrant un accès illimité à la vie privée des individus et aux informations stratégiques des entreprises.
Le marché mondial des services cloud est en plein essor et nous fait entrer dans une nouvelle ère où les outils qui conditionnent la dominance du monde sont totalement réinventés. Le temps où la grandeur d’un état se mesurait uniquement à la force de son armée, à sa puissance économique ou encore à sa capacité d’innovation est bien révolu. Désormais, le maître du monde sera celui qui possédera la plus importante masse de données et celui qui saura en tirer de la valeur.
Grâce au Gafa, les Etats Unis sont les précurseurs dans cette ruée vers ce nouvel or noir. Champions incontournables du cloud, les entreprises de la Silicon Valley ont collecté des quantités gigantesques de données, ce qui a entraîné plusieurs dérives qui ne cessent de bourgeonner aux quatre coins du globe. Les plus notables sont détenues respectivement par Facebook avec l’affaire Cambridge Analytica et la NSA avec ses moyens de surveillance révélés par le lanceur d’alerte Edward Snowden, lui-même américain...
Le scandale autour des pratiques malveillantes de ces firmes a dessiné un brouillard noir aux frontières du nuage informatique auquel l’ensemble de la planète confie une grande partie de ses secrets. Dans le contexte où ce flou entoure la vie digitale de centaines de millions de personnes, l’Europe a pris son destin en main afin de protéger les informations sensibles de ses citoyens et les trésors numériques de son industrie. Le RGPD (Règlement général sur la protection des données) et sa stricte application depuis 18 mois en est la manifestation concrète. Malgré ce travail ardu mené par l’Union Européenne pour honorer son engagement afin d’assurer la souveraineté des données de ses concitoyens, cette dernière reste fortement menacée. En effet, la promulgation d’une loi extraterritoriale américaine du nom du Cloud Act, sème un vent de panique sur le vieux continent. Cette loi donne toute légitimité aux entreprises américaines de transférer les données de leurs clients, indépendamment de leur territoire d’hébergement, à tout juge américain qui en ferait la demande, sans que son propriétaire, ni son pays de résidence ou le pays qui stocke les données en soit informé.
Le Cloud Act pose un cadre légal pour l’espionnage industriel et le vol de la propriété intellectuelle à travers une vue totalement dégagée sur les business model, les plans d’exploitation et les secrets industriels européens. C’est ainsi que ces données pourraient alimenter le moteur décisionnel des Etats-Unis et tracer leurs axes stratégiques économiques renforçant de ce fait un grand risque de concurrence déloyale.
Face à ce danger qui ne cesse de planer sur son avenir, l’Europe cherche à se mobiliser afin de trouver des alternatives pour se protéger contre les effets pervers du Cloud Act. Evidemment, la solution la plus simple serait de privilégier des acteurs européens de confiance pour que le RGPD soit le seul à régner sur les données. La Commission européenne encourage donc l’émergence de nouvelles licornes européennes du cloud, mais le détrônement des Gafa semble pourtant très lointain. Ces géants du web ont nourri au fil des années une avance technologique sans précédent de plus en plus difficile à rattraper. La France, quant à elle, ne perd pas de vue son challenge de créer un cloud souverain et affine son projet en lançant l’idée d’un cloud stratégique destiné à stocker et protéger les données les plus sensibles. Des projets très ambitieux sont en cours, mais leur concrétisation n’est malheureusement pas envisageable à court terme.
L’Europe se retrouve aujourd’hui face à une situation où ses entreprises se doivent d’être conformes au RGPD sans vouloir se passer des services fournis par les Gafa tout en évitant la mainmise de leurs données par la justice américaine, un véritable casse-tête.
Le défi et la problématique sont grands, toutefois une solution immédiate existe. Celle-ci porte le nom de chiffrement de bout en bout et a justement été pensée pour lutter contre l’espionnage industriel, la surveillance des autorités abusives et les attaques des pirates informatiques.
Techniquement, le chiffrement de bout en bout est un système de communication où un message envoyé par un expéditeur ne peut être lu que par le(s) destinataire(s) concerné(s) ayant accès aux clés cryptographiques nécessaires au déchiffrement des conversations.
Grâce à ce système, dès qu’un message quitte le terminal ou l’équipement d’un utilisateur, il devient illisible, rendant toute exploitation illégitime par un tiers totalement impossible. Ainsi, les fournisseurs de services cloud sont incapables de remettre une version déchiffrée des messages de leurs clients aux autorités ou de monétiser les données dans leur propre intérêt.
Le chiffrement de bout en bout permet ainsi de renforcer la sécurité des applications cloud tout en préservant la confidentialité des données aussi bien durant leur échange que durant leur stockage. Naturellement, assurer ce service cryptographique par un fournisseur américain serait équivalent à cadenasser un coffre-fort et d’en remettre les clés aux tribunaux américains. C’est pour cette raison que cette solution doit être proposée par un tiers de confiance tenu de respecter la stricte réglementation européenne.
Actuellement, le chiffrement de bout en bout serait la seule arme immédiate qui offre aux sociétés européennes à la fois un bouclier de protection contre le Cloud Act et une forte conformité au RGPD. Grâce à cette technologie qui permet de faire d’une pierre deux coups, choisir entre l’efficacité des services des Gafa et la confidentialité des données n’est plus un dilemme.
[1] : Espionnage : les géants du Web gênés, la source révélée – Benjamin Ferran, Le Figaro, 9 Juin 2013
[2] : Cambridge Analytica, l’affaire qui a bouleversé le Web - Lucie Ronfaut et Elisa Braun, Le Figaro, 15 Mars 2019