TikTok banni dans les administrations et entreprises : l'hypocrisie des décisionnaires européens qui confient leurs données au cloud act américain

Le bannissement de TikTok fait la une de l'actualité, alors que la majorité des données des Etats et des entreprises est pourtant hébergée sous juridiction américaine : un risque cyber majeur.

Pendant que la France hésite encore à bannir TikTok pour ses fonctionnaires, la Commission européenne, ainsi que la Belgique ou encore l’Angleterre ont déjà franchi le pas. Même son de cloche dans de grandes entreprises. Soft power et espionnage industriel constituent les fondements de cette décision, alors que la majorité des données sensibles des Etats et des grandes industries est pourtant hébergée sous juridiction américaine.

Retour en 2013 : le scandale de la téléphonie des bâtiments de la Commission Européenne

La Commission européenne a été confrontée à une situation de surveillance illégale de ses communications qui fut révélée au grand public par un article publié par le journal allemand Der Spiegel en 2013. L'installation de la téléphonie filaire dans les bâtiments de la Commission avait été confiée à une entreprise israélienne, qui avait implanté un système d'écoute à l'insu des autorités. 

Cette situation a permis aux États-Unis d'espionner les communications des instances européennes, comme l'a révélé un article du même journal. L'article indiquait également que la National Security Agency (NSA) américaine avait eu accès aux communications de hauts responsables européens, dont la chancelière allemande Angela Merkel. 

En 2013 toujours, les révélations de l'ancien employé de la NSA, Edward Snowden, avaient mis en lumière le fait que l'agence américaine avait mené une surveillance à grande échelle des communications électroniques à travers le monde et ce, en s’appuyant sur la complicité volontaire ou forcée (nous expliquerons cela dans la suite de l’article) de fournisseurs de solutions, qu’elles soient en matière de logiciels, de hardwares ou de services. Les documents divulgués par Snowden ont confirmé les investigations réalisées par Der Spiegel : la NSA avait accédé aux communications de hauts responsables européens, y compris les communications du président français François Hollande. 

L'existence de cette surveillance avait suscité d’ailleurs de vives réactions en France, qui avait convoqué l'ambassadeur américain pour exprimer son mécontentement. Le président Hollande avait également appelé à un renforcement de la protection de la vie privée et des données personnelles. 

Depuis cet incident, la Commission européenne a pris des mesures pour renforcer la sécurité de ses communications, comme l'a indiqué un communiqué de presse publié en 2014. Mais entre un communiqué de presse et la mise en place d’une réelle stratégie numérique souveraine, il existe un gouffre qui ne semble nullement vouloir être franchi. 

2018 : Eluse Lucet accède à des coordonnées classées « secret défense » via un logiciel CRM américain

Le documentaire de CASH INVESTIGATION, "Nos données personnelles valent de l'or", diffusé sur France 2 en 2018, mettait en lumière l'exploitation abusive des données personnelles. 

Au cours de l'émission, la journaliste Elise Lucet a montré comment elle avait réussi à se procurer les numéros de téléphone mobiles de hauts responsables politiques et militaires français, en se connectant sur un logiciel CRM américain. 

Les numéros de téléphone mobiles en question étaient confidentiels et relevaient du secret défense, mais ils avaient été vendus à des entreprises américaines spécialisées dans l'exploitation des données. Parmi les personnes concernées figuraient notamment le général Benoît Puga, ancien chef d'état-major particulier du président français et le ministre de l'Intérieur de l'époque, Gérard Collomb. 

Ce documentaire a mis en lumière les risques de la collecte et de l'exploitation des données personnelles, vie des logiciels états-uniens qui ne se soucient nullement de respecter le RGPD et qui sont surtout sous le couperet du cloud act. 

Le cloud act : ce passe-droit américain qui règne sur les logiciels des administrations et des grandes entreprises

Le Cloud Act, une loi américaine adoptée en 2018, permet aux autorités américaines d'accéder aux données stockées sur des serveurs étrangers, mais seulement si l’hébergeur de données (le plus souvent un éditeur de logiciel cloud) a au moins un employé aux États-Unis. Cette situation représente un véritable danger pour les administrations et entreprises qui ont recours à des solutions logicielles américaines plutôt qu'à des alternatives européennes. 

En effet, le Cloud Act donne aux autorités américaines un accès privilégié aux données stockées à l'étranger. Cette situation peut mettre en danger la protection de la vie privée des citoyens étrangers et représenter un risque important en matière d'espionnage industriel. 

Il est entendu que les autorités états-uniennes, ainsi que les éditeurs de solution cloud vont diront toujours que cela n’existe pas. Cependant, ce même discours fut tenu par l’entreprise qui installa l’infrastructure téléphonique dans les bâtiments de la Commission Européenne, ou par cet éditeur CRM américains qui permit à CASH INVESTIGATION d’accéder à des coordonnées très sensibles.

De quoi faut-il le plus s’inquiéter ? Du passage sous silence de cette situation très préoccupante par les fournisseurs cloud US, ou par l’aveuglement des autorités européennes et de ses entreprises ?

Il est important, pour les entreprises européennes, d'être conscientes des risques liés au Cloud Act et de prendre des mesures pour protéger leurs données sensibles. Elles doivent notamment veiller à choisir des solutions logicielles européennes plutôt qu'américaines. 

Il est à signaler que cependant, un éditeur s’est courageusement opposé à la toute-puissance législative états-unienne. En effet, en 2019, Microsoft a refusé de fournir l'accès aux données stockées en Irlande de ses clients européens, dans le cadre d'une demande d'accès émise par le gouvernement américain. Cette décision faisait suite à une longue bataille juridique entre le géant informatique et le gouvernement américain concernant la portée du Cloud Act. 

A la surprise générale, en refusant cette demande d'accès, Microsoft n'a pas été sanctionné par les autorités américaines. Cette décision a été interprétée par certains comme une victoire pour la protection de la vie privée des utilisateurs et une preuve que les entreprises peuvent résister aux demandes d'accès gouvernementales. Il convient toutefois de noter que cette décision a été prise dans un contexte où les relations entre les États-Unis et l'Union européenne sont de plus en plus tendues en raison des préoccupations concernant la protection de la vie privée et la sécurité des données. Cette tension est exacerbée par la dominance des entreprises américaines dans le domaine des technologies de l'information et la dépendance des entreprises européennes à leur égard. De plus, Microsoft a une puissance financière qui lui permet d’enchainer les procès et les appels pour repousser les demandes de l’état américain ; tous les éditeurs de logiciel n’ont pas cette capacité. 

Le bannissement de TikTok, un effet de communication qui passe sous silence de réels dangers stratégiques

L’interdiction de TikTok, pour des raisons de sécurité nationale frôle le risible quand on pense que chaque jour la majorité des flux de données des entreprises et administrations européennes sont pilotés par des solutions sous étendard américain : de la gestion de documents, en passant par les emails, les agendas, carnets d’adresse, CRM, ERP, plateforme marketing, logiciels de sécurité informatique, etc.

C’est d’autant plus préoccupant aux niveaux de certaines startup de l’UE, spécialisées dans la cyber défense, qui suite à des levées de fond quittent des solutions de gestion européenne, pour se tourner vers les solutions US, arguant que l’on ne pose jamais de mauvais choix quand on opte pour le leader mondial. Du jour au lendemain, les coordonnées des responsables de la sécurité informatique de bien des administrations et entreprises, ainsi que des informations techniques hautement sensibles, passent sous cloud act…

Oui, les leaders mondiaux des logiciels cloud sont en grande partie de l’autre côté de l’Atlantique.

Cependant ne devrions pas avant tout nous poser la question de la définition de « leader » ?

Car à l’instant « T », la notion de leader se réfère uniquement à la valorisation financière et il est évident que les entreprises de l’oncle Sam auront toujours une valorisation plus haute, de par la taille initiale du marché anglophone et de par la malsaine habitude de surévaluer le potentiel de ces entreprises, la faillite de la Silicon Valley Bank il y a quelques jours étant un lourd rappel de cette dangereuse réalité.

Il est temps que l’Europe se réveille et qu’elle pose enfin des actes souverains pour protéger son patrimoine scientifique, stratégique et économique. Il existe des champions européens comme OVH, Online, Odoo, Efficy, Simple CRM, YouSign qui peuvent ensemble redéfinir la notion de leader, un leader respectueux des droits et intérêts de leurs clients respectifs.