Il y a longtemps, lorsque le stockage de nos données ne dépassait pas les salles d’archives poussiéreuses, les étagères inaccessibles, voire nos disques durs et serveurs locaux, tout était simple. Nos secrets étaient à l’abri des regards et, en cas d’illégalité, dépendaient du droit local. Mais depuis l’avènement du cloud, la situation est bien plus complexe. La raison ? La localisation aux USA de plusieurs acteurs majeurs de l’hébergement et du Web qui peut, sans précaution de votre part, mettre vos données et activités dans le giron du droit américain, via son principe d’extraterritorialité.
Pour bien comprendre les risques actuellement générés par l’utilisation d’un cloud américain et par l’extraterritorialité du droit US, il est nécessaire de revenir un peu en arrière. Plusieurs étapes ont en effet mené à la situation actuelle. A l’origine de tout : les attentats du 11 septembre 2001.
Le Patriot Act : bye bye la confidentialité des données !
Déterminé à renforcer la capacité des Etats-Unis à détecter tout potentiel projet d’attentat, le gouvernement Bush a mis en place le Patriot Act, peu après les événements tragiques du 11 septembre 2001. Le but principal de cette loi anti-terroriste : autoriser les agences de renseignement américaines à accéder à toute donnée informatique hébergée dans le pays, ou appartenant à une entreprise américaine (peu importe sa localisation).
L’affaire Microsoft / Gouvernement US
Suite des aventures en 2013, à la faveur d’un différend opposant les USA à Microsoft. Dans le cadre du Patriot Act, le premier a demandé au second de lui fournir le contenu du compte e-mail d’un utilisateur. Microsoft s’exécute, mais seulement en partie. Car une partie des données concernées est hébergée dans un data center… en Irlande. Selon Microsoft, elles dépendent donc du droit irlandais. Une bataille judiciaire s’engage alors entre les deux parties. Un « match » que l’administration Trump va « gagner » indirectement, grâce à la mise en place discrète d’une nouvelle législation : le Cloud Act.
Cloud Act : l’extraterritorialité prend forme
Habilement placé dans un long texte législatif de plus de 2000 pages, le Cloud Act est passé quasi inaperçu. Pourtant, son contenu n’est pas neutre. Il élargit les prérogatives prévues par le Patriot Act, en donnant aux autorités américaines le droit d’accéder aux données de toute personne ou entreprise liée d’une façon ou d’une autre aux Etats-Unis, peu importe leur lieu de stockage. Le principe d’extraterritorialité est officiellement reconnu. Depuis sa publication en mars 2018, les entreprises étrangères peuvent donc être concernées…
Exemple d’extraterritorialité : les conséquences des sanctions contre l’Iran
Cette particularité est apparue au grand jour au mois de mai 2018, à la suite d’un événement géopolitique : le désengagement des Etats-Unis de l’accord de Vienne, relatif à la situation nucléaire de l’Iran. Washington a, du même coup, rétabli une armada de sanctions économiques envers le pays d’Asie de l’Ouest. Et c’est là que l’extraterritorialité prend un aspect très particulier : elle a amené une entreprise comme Total à suspendre ses activités en Iran, par crainte d’être sévèrement sanctionnée par les USA. Car en commerçant avec un pays sanctionné par l’administration Trump, elle crée un lien, même indirect, avec les Etats-Unis. Suffisant pour être poursuivie par ces derniers.
Quel impact potentiel pour votre activité et vos données ?
Cette particularité de l’extraterritorialité du droit américain est importante, car elle met toute entreprise française, européenne ou mondiale à portée de tir de la justice US. Et notamment via le cloud : à partir du moment où vous stockez des données sur un cloud hébergé de l’autre côté de l’Atlantique, vous vous exposez non seulement à la curiosité de nos lointains cousins, mais aussi aux foudres de leur système judiciaire en cas d’infraction. Pour que vos données dépendent uniquement du droit français, mieux vaut donc opter pour un cloud français. La mise en place du RGPD le 25 mai 2018 a d’ailleurs consolidé le principe de respect des données personnelles qui prévaut en Europe.
Et il n’y a pas que le cloud qui peut poser problème ! L’utilisation des services et données du GAFA (Google, Apple, Facebook, Amazon) ou autres géants américains du Web vous soumet également à l’extraterritorialité. Stockage de documents sur Google Drive, échanges via la messagerie Gmail, vente de produits sur la boutique Amazon, d’œuvres musicales sur Apple Music… Vous utilisez une ou plusieurs de ces plateformes ? Mieux vaut vous abstenir de toute action contraire au droit ou aux intérêts américains, afin de vous éviter des échanges peu agréables avec le pays qui a inventé le rock’n roll…
