Cloud Act pour étendre les règles de surveillance à l’étranger

Mise à jour: le Cloud Act a été adopté le 23 mars. Voir la fin de l'article pour une déclaration de l'Electonic Frontier Foundation (EFF).

Selon le USA Patriot Act et le Foreign Intelligence Surveillance Act (FISA), les agences américaines peuvent accéder à toutes les données détenues par une entreprise américaine, que ces données soient ou non stockées en dehors des États-Unis..

C'est un casse-tête majeur pour les entreprises technologiques américaines car:

a) Cela nuit à la confiance des consommateurs, car les clients sauront que leurs données ne sont pas en sécurité avec les entreprises américaines.

b) Il les place dans une position impossible au regard du droit international, qui oblige les entreprises opérant dans une juridiction légale à respecter les lois de protection des données de cette juridiction

Ce problème a atteint son paroxysme lorsque le gouvernement américain a émis un mandat pour des courriels relatifs à une enquête sur une drogue stockés sur les serveurs de Microsoft en Irlande. Microsoft a refusé de se conformer et a depuis été impliqué dans une longue bataille juridique avec le gouvernement américain sur la question.

Après avoir perdu le dernier tour de ce concours prolongé, le gouvernement a demandé en juin dernier à la Cour suprême d'intervenir. Une décision définitive est attendue le 27 février 2018. Mais…

The Cloud Act

La loi clarifiant l'utilisation légale des données à l'étranger (CLOUD) vise à établir des accords réciproques qui permettent au gouvernement américain d'accéder aux données stockées à l'étranger en échange de permettre aux gouvernements étrangers d'accéder aux données stockées aux États-Unis. Le projet de loi a été présenté par le sénateur Orrin Hatch (R-UT), qui a expliqué son objectif ainsi:

«Nous avons besoin d'un cadre de bon sens pour aider les forces de l'ordre à obtenir des informations essentielles pour résoudre les délits tout en permettant aux fournisseurs de messagerie électronique et de cloud computing de se conformer aux différents régimes de confidentialité des pays. La loi CLOUD crée un tel cadre et contribuera également à créer un précédent pour nos alliés dans la lutte contre ce problème également. »

Si aucun accord de ce type n'existe avec un pays et que la demande de données enfreint les lois locales sur la confidentialité, les entreprises technologiques peuvent annuler la demande. Cela résout parfaitement les maux de tête b) pour Microsoft, car cela permettra à l'entreprise de se conformer aux demandes de données à l'étranger sans enfreindre le droit international.

Il n'est donc pas surprenant que le PDG de Microsoft, Brad Smith, ait salué la législation et que plusieurs associations professionnelles de technologie qui font pression pour Microsoft aient signé une lettre (.pdf) en son soutien:

«Le projet de loi établirait un droit statutaire clair pour les fournisseurs de contester une ordonnance qui créerait un conflit de lois avec un gouvernement étranger admissible - c'est-à-dire un gouvernement étranger qui a un accord réciproque avec les États-Unis.»

Cependant, quiconque se soucie de la confidentialité numérique devrait être très inquiet…

Une expansion dangereuse des pouvoirs de surveillance du gouvernement

Le Cloud Act donne au gouvernement américain et aux organes chargés de l'application des lois des pouvoirs explicites pour accéder «au contenu d'un fil ou d'une communication électronique et à tout enregistrement ou autre information» concernant une personne, peu importe où elle vit ou où dans le monde ces données sont stockées..

À bien des égards, cela ne fait que réitérer la situation actuelle. Le Foreign Intelligence Surveillance Act (FISA) et le USA Patriot Act obligent les entreprises américaines à transmettre des données, peu importe où elles sont stockées ou à qui elles appartiennent..

Voilà, en fait, ce qu'a été toute la bataille juridique de Microsoft - si ces lois donnent au gouvernement américain le pouvoir de le faire! Le Cloud Act le fait explicitement et rend ainsi la décision de la Cour suprême à venir sans objet (la nouvelle loi est ambiguë quant à savoir si les entreprises non américaines peuvent également être contraintes).

Afin de lisser cette demande plutôt conflictuelle avec les gouvernements étrangers, le Cloud Act permet au président de conclure des accords réciproques avec des gouvernements «éligibles» qui permettraient aux États-Unis d'accéder aux données stockées dans ces pays sans avoir à se conformer à leurs lois sur la confidentialité..

Comme le souligne l'Electronic Frontier Foundation (EFF), les normes de contrôle pour la transmission des données via ces accords réciproques:

  • ne satisfont pas aux exigences du mandat de quatrième amendement américain
  • n'exigent aucune procédure étrangère de contrôle interne ou judiciaire, et
  • ne respectent pas les règles de surveillance intérieure des États-Unis prescrites par la Wiretap Act.

En effet, le pays étranger où les données sont stockées n'a même pas à être averti lorsqu'une entreprise est tenue de remettre des données qui y sont stockées.

«La loi CLOUD crée également un système injuste à deux niveaux. Les pays étrangers opérant dans le cadre d'accords exécutifs sont soumis à des règles de minimisation et de partage lors du traitement des données appartenant aux citoyens américains, aux résidents permanents légaux et aux sociétés. Mais ces règles de confidentialité ne s'étendent pas à une personne née dans un autre pays et vivant aux États-Unis avec un visa temporaire ou sans papiers. Ce déni des droits à la vie privée est différent des autres lois américaines sur la vie privée. »

Conclusion

Le Cloud Act coopère à la prochaine décision de la Cour suprême sur l'affaire Microsoft en accordant explicitement au gouvernement américain le pouvoir d'accéder aux données stockées à l'étranger, tout en fournissant un cadre juridique qui lui permet de le faire sans déranger les autres pays..

C'est une victoire pour les États-Unis et les gouvernements étrangers partenaires, car cela leur permet d'accéder à de vastes trésors de données qui sont actuellement interdits. C'est également une victoire pour les entreprises technologiques américaines, car cela leur permet de se conformer aux demandes de telles données sans enfreindre le droit international (et le pouvoir de les refuser quand c'est le cas).

Le résultat final est une large expansion des pouvoirs de surveillance du gouvernement avec des exigences et des normes de surveillance inférieures à celles qui sont actuellement exigées par les lois américaines, internationales et la plupart des lois locales. C'est donc une perte majeure pour les citoyens ordinaires du monde entier, car les normes de confidentialité numérique sont de plus en plus érodées.

Mise à jour

Le 23 mars 2018, le président Donald Trump a signé un projet de loi de dépenses publiques de 1,3 billion de dollars - qui inclut la loi CLOUD -. Dans un communiqué, le FEP a déclaré:

"Ne vous y trompez pas, vous avez pris la parole. Vous avez envoyé un courriel à vos représentants. Vous leur avez dit de protéger la vie privée et de rejeter la loi CLOUD, y compris tout effort visant à la rattacher aux factures de dépenses indispensables. Tu as fait ta part. Ce sont les dirigeants du Congrès - négociant à huis clos - qui ont échoué.

En raison de cet échec, la police américaine et étrangère disposera de nouveaux mécanismes pour saisir les données à travers le monde. En raison de cet échec, vos e-mails privés, vos chats en ligne, vos photos Facebook, Google, Flickr, vos vidéos Snapchat, vos vies privées en ligne, vos moments partagés numériquement uniquement avec ceux en qui vous avez confiance, seront ouverts à l'application de la loi étrangère sans mandat et avec peu de restrictions sur l'utilisation et le partage de vos informations. En raison de cet échec, les lois américaines seront contournées sur le sol américain."

Crédit d'image: par Horoscope / Shutterstock.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me