Rester à l'abri des regards indiscrets : protéger ses données dans le Cloud

Via le Patriot Act, les autorités américaines peuvent surveiller les données des clients, même lorsque celles-ci sont stockées dans les centres de données européens de fournisseurs implantés aux Etats-Unis. Cela ne porte-t-il pas un coup au concept de Cloud Computing ?.

Il y a quelques semaines, le "USA Patriot Act" a fait couler beaucoup d'encre en Europe. Si vous vous mettiez à croire à la moitié des rumeurs qui circulent, vous pourriez imaginer que le USA Patriot Act donne la possibilité aux autorités américaines de copier et de consulter toutes vos données, quel que soit leur emplacement dans le monde. Il est temps de clarifier les choses et d'insister sur le fait qu'il n'y a aucune raison de paniquer, même s'il est nécessaire, et possible, de prendre des précautions raisonnables.

Comment éviter que les données soient accessibles aux autorités américaines


Mis en place comme mesure anti-terroriste, le USA Patriot Act confère un pouvoir très puissant aux autorités américaines : celui d'accéder aux données des entreprises dont le siège se situe aux Etats-Unis, quel que soit l'emplacement de stockage des données. De plus, le Patriot Act empêche formellement aux entreprises de révéler à leurs clients que leurs données ont été consultées. Cet acte est devenu une loi peu de temps après les attentats du 11 septembre 2011 à New York. Il constitue aujourd'hui un moyen légitime pour les Etats-Unis de protéger le pays et ses intérêts.

Cependant, il se peut que les entreprises européennes souhaitent éviter que leurs données soient ainsi accessibles aux autorités américaines. Un seul moyen légal s'offre à elles : s'entourer de fournisseurs qui ne sont pas concernés par le Patriot Act.

Dans l'Union européenne, par exemple, la loi interdit formellement tout fournisseur européen de Cloud Computing de diffuser les données des clients en dehors du territoire européen.
 
Ainsi, les autorités américaines ne peuvent pas contraindre les centres de données européens à leur fournir les données qui appartiennent à des clients non domiciliés aux Etats-Unis, sauf en cas de consentement explicite du client. Aucun conflit entre systèmes juridiques ne vient entraver cet état de fait. Si un client européen travaille avec un fournisseur européen et si les données sont stockées en Europe, c'est la loi européenne qui s'applique.

L'avantage différenciateur du Cloud Computing

A première vue, ce principe semble aller en contradiction avec le concept universel de Cloud Computing, dont les services standardisés, unifiés et indépendants de tout emplacement sont essentiels pour réaliser des économies d'échelle mondiales. Mais est-ce vraiment le cas ? Je ne pense pas. Les clients doivent tout simplement faire attention à qui ils confient leurs données et savoir ce que cela implique ; il faut donc être vigilant et se renseigner.

L'avantage différenciateur du Cloud Computing ne se résume plus à un aspect technique ou à un éventail de services. Les clients doivent également prendre en compte l'aspect légal : cette vigilance doit devenir systématique lorsqu'ils choisissent l'emplacement de leurs données, en cas de sous-traitance ou d'externalisation.


De toute évidence, le Patriot Act place les clients basés aux Etats-dans une situation particulière. En Europe, en revanche, il est impossible d'utiliser les données des clients sans leur consentement préalable, ou de les transférer en dehors de l'UE. Peu importe qui en fait la demande, aussi pressante soit-elle.