Mieux comprendre le Cloud Act et ses enjeux

En avril dernier, le département américain de la justice a publié un livre blanc ainsi qu'un FAQ destinés à clarifier le but et le champ d'application du Clarifying Lawful Overseas Use of Data Act, ou Cloud Act, et à éclaircir de nombreuses confusions relatives à cette loi.

Le Cloud Act ne fait qu'actualiser une loi votée il y a plusieurs décennies qui vise exclusivement à aider les autorités judiciaires à combattre et à prévenir les activités criminelles et terroristes internationales. Il n'autorise nullement, comme certains l'ont suggéré, les autorités américaines à accéder librement aux données stockées dans le cloud.

Le discours et les orientations du  Département américain de la justice (DOJ) constituent un signe fort, mais tous les gouvernements à travers le monde doivent en faire bien plus pour éduquer les utilisateurs de cloud sur ces questions déterminantes d'accès aux données. C'est la raison pour laquelle il est important d'attirer l'attention sur quelques confusions majeures relatives au Cloud Act, afin d'aider les entreprises et clients à comprendre que cette loi ne doit pas modifier leur manière d'utiliser les services cloud.

Accès des autorités judiciaires aux données sur les 30 dernières années

En 1986, le Congrès américain a promulgué le Stored Communications Act (SCA), qui définit des politiques d'accès aux communications électroniques pour les autorités judiciaires. Bien qu'à l'époque le SCA fut considéré comme une loi avant-gardiste, au fil des années les tribunaux ont rencontré de nombreuses difficultés pour l'appliquer à des technologies comme les services cloud qui n'existaient pas à l’époque. L’une des questions faisant débat était notamment de savoir si les autorités américaines pouvaient obtenir des données situées hors des États-Unis. Le CLoud Act a clos ce débat. Il a clairement indiqué que les fournisseurs soumis au droit américain, tels qu’une entité exerçant des activités aux États-Unis (y compris des entités basées à l'étranger possédant des filiales américaines), peuvent se voir notifier un mandat les obligeant à produire des données dont ils ont le contrôle, quel que soit l'endroit où celles-ci sont stockées.

Le Cloud Act n'ajoute donc aucun nouveau concept. La majorité des états demande la divulgation de données, quel que soit leur lieu de stockage, en vertu de la Convention de Budapest, premier traité international visant à renforcer la coopération et les enquêtes liées à la cybercriminalité. Les tribunaux français, par exemple, autorisent depuis longtemps les services judiciaires à obtenir des données situées hors du territoire français, à condition que celles-ci soient accessibles à partir d'un ordinateur basé en France. Le Cloud Act est conforme à un principe de coopération internationale vieux de plusieurs siècles.

Beaucoup pensent que le Cloud Act ne s'applique qu'aux sociétés américaines. C'est faux, cette pratique s'applique à tous les fournisseurs de services de communication électronique ou de services informatiques à distance dont l'activité est régie par le droit américain, y compris les fournisseurs de messagerie électronique, de services de télécommunication, de plateformes de réseaux sociaux et de cloud – établis aux États-Unis ou dans un autre pays. Cela signifie que toute entreprise étrangère possédant une filiale aux États-Unis est soumise au Cloud Act. 

Une autre confusion largement répandue à propos du Cloud Act : d'une manière ou d'une autre, ce dernier accorde au gouvernement américain un accès illimité aux données détenues par des fournisseurs de cloud. C'est tout simplement faux. Le Cloud Act n'accorde aux autorités aucun libre accès aux données stockées dans le cloud. Les autorités ne peuvent contraindre des prestataires de services à fournir des données qu'en respectant les strictes dispositions juridiques d'un mandat délivré par un tribunal américain. Le droit américain rend très difficile l'obtention d'un mandat, exigeant qu'un juge indépendant conclue que les autorités ont des motifs raisonnables de demander des informations, que les informations demandées sont directement liées à un crime, et que la demande formulée est claire, précise et proportionnée. C'est donc tout le contraire d'un accès illimité.

Lorsqu’Amazon Web Services (AWS) reçoit une demande d'accès à des données situées hors des États-Unis, nous avons recours à divers dispositifs pour contester cette demande et avons une longue expérience dans ce domaine. Dans les faits, notre action de contestation commence avant même d'aller devant les tribunaux. Chaque demande émise par les autorités judiciaires est examinée par une équipe de juristes professionnels. Dans le cadre de cet examen, nous évaluons si ladite demande enfreint la loi des États-Unis ou du pays étranger dans lequel sont situées les données, ou porte atteinte aux droits du client en vertu des lois applicables. Nous appliquons rigoureusement les dispositions légales en vigueur afin de limiter - ou de rejeter catégoriquement - toute demande d'accès à des données émise par un pays, y compris par les États-Unis. Nous contestons activement toute demande d'information émise par les autorités judiciaires, ce qui aboutit très souvent au retrait pur et simple de leur demande.

Dans les cas où nous ne sommes pas en mesure de résoudre un différend, nous n'hésitons pas à recourir à une action en justice et l’avons fait plusieurs fois notamment  lorsque nous jugions les demandes d’information excessive ou autrement inappropriées. Nous continuerons à contester ces demandes, y compris celles contraires aux lois locales telles que le Règlement Général pour la Protection des Données (RGPD) en vigueur dans l'Union européenne, afin de protéger au maximum les données de nos clients. Nous continuerons également à informer préalablement nos clients de toute divulgation de contenu, et nous proposons des services avancés de chiffrement et de gestion de clés de chiffrement que nos clients peuvent utiliser pour protéger encore davantage leur contenu.

Le Cloud Act n'a pas modifié la capacité des fournisseurs de services cloud à protéger leurs clients

AWS est très vigilant quant au respect de la vie privée et de la sécurité de ses clients. Nous nous sommes engagés à fournir à tous nos clients, y compris les organismes gouvernementaux qui nous confient leurs contenus les plus sensibles, la gamme la plus complète de services et de fonctions de sécurité permettant de garantir un contrôle total de leurs données. Le Cloud Act n'a ni modifié ni compromis cet engagement. À l'inverse, le Cloud Act reconnaît le droit d'un fournisseur de cloud à contester des demandes contraires aux lois applicables ou aux intérêts nationaux d'un autre état et demande que les gouvernements respectent les règles de droit local. De plus, les gouvernements étrangers préoccupés par le risque de divulgation de données sensibles peuvent faire valoir le principe de souveraineté nationale et disposent de moyens juridiques sûrs en vertu du droit américain pour empêcher toute divulgation de leurs données.

Tous les clients peuvent continuer à utiliser AWS conformément au droit local

Chez AWS, nous aidons en permanence nos clients et nos partenaires à comprendre leur situation au regard de nouvelles normes et lois applicables. Nous estimons que c'est le meilleur moyen d'assurer aux organisations qu'elles sont en mesure de protéger leurs utilisateurs. Pour cela, nous mettons à disposition toutes les informations concernant l'impact limité du Cloud Act pour mieux comprendre son application chez AWS.

Dans les faits, les services cloud ont un impact positif sur notre vie à plusieurs niveaux. Les entreprises créent des technologies innovantes qui façonnent notre manière de vivre et d'apprendre, qu'il s'agisse de partage de photos et de vidéos en continu, d'un meilleur accès aux services financiers et au e-commerce, du traitement des données géospatiales pour faire de nouvelles découvertes, de développement des compétences, ou d’un accès à des services d’intelligence artificielle/machine learning pour permettre aux industries d'évoluer. Certains clients mettent également à profit le cloud pour le bien de tous : combattre le trafic d'êtres humains, prévenir les actes de criminalité violente, améliorer les services aux habitants dans les villes et réaliser des avancées médicales. Les informations récemment communiquées par le DOJ au regard du Cloud Act constituent une avancée importante dans la compréhension des faits, mais nous espérons que cet article, et les ressources connexes, apporteront toute la clarté nécessaire à ce débat.