Table ronde 4 : Patriot Act, Prism, loi de programmation militaire… et le cloud dans tout ça ?

Sujet brûlant et toujours d’actualité que celui de la protection des données et de la vie privée à l’heure de l’adoption massive du cloud et de l’affaire Prism. Olivier Iteanu, avocat à la Cour d’Appel de Paris, a bien voulu animer cette table ronde, à laquelle il avait convié Romain Beeckman, responsable juridique chez OVH, Bénédicte Deleporte, avocate associée et fondatrice du cabinet Deleporte Wentz et Guillaume Jahan, directeur juridique de Numergy. Stephane Duproz, directeur général de TelecityGroup a quant à lui joué le rôle de candide… pas si candide que ça, finalement.

Romain Beeckman fait état des nombreuses demandes de fourniture de données clients dont fait l’objet OVH de la part des autorités : elles ont été entre 1 500 et 1 700 en 2013 pour 700 000 clients. « Dans les autres pays européens, ces demandes existent aussi, mais en moins grand nombre car la base clients est moins importante« , explique-t-il. Le phénomène est donc loin d’être marginal et monopolise deux personnes à temps plein chez OVH : de nombreuses demandes émanent en effet de commissariats de police, qui ne sont pas des techniciens et nécessitent des interventions.

 

Il faut constater que la loi américaine n’est pas la seule à autoriser les investigations et la réquisition de données. De nombreux pays ont édicté de telles lois. En France, la Loi de Programmation Militaire (LPM) votée le 18 décembre 2013, et plus particulièrement son article 20, donne un droit de regard et d’accès aux données à notre gouvernement. « Il y a une vraie appétence des gouvernements pour accéder aux données« , constate Guillaume Jahan. « Ces lois sont généralement issues de lois d’exception. La plus connue est le Patriot Act, mais avec la LPM, la France a fait un texte contestable et contesté. Cette loi est particulièrement gênante parce que son champ d’application est assez vaste et va de la lutte contre le terrorisme à celle contre la criminalité« .

Le panel de la table ronde juridique
Le panel de la table ronde juridique

Elle s’applique aussi aux prestataires de cloud et les agents des différents ministères peuvent demander les informations traitées et conservées par les prestataires, y compris les données techniques. « Il n’y a aucune garantie qu’on ne touche pas au contenu : c’est assez inquiétant pour les libertés individuelles, surtout en l’absence d’un juge« , s’inquiète Guillaume Jahan. Cette loi n’entrera en vigueur qu’au 1er janvier 2015, mais a déjà fait couler beaucoup d’encre et suscité de nombreuses réactions d’indignation de la part des associations mais aussi de la CNIL, qui estime qu’elle constitue « une atteinte disproportionnée au respect de la vie privée« . « Avec cette loi, les prestataires vont devenir partie prenante et sont obligés de devenir militants pour défendre les libertés individuelles. Ils ne pourront plus rester neutres« , estime Guillaume Jahan.

 

À côté de la LPM, le Patriot Act américain, destiné à lutter contre le terrorisme et l’espionnage international, est beaucoup plus cadré en termes de champ d’application. En outre, Bénédicte Deleporte explique que « lorsqu’il y a une demande de données de contenu, il faut en principe une décision de justice. Ceci n’est pas vrai pour des données de connexion, en revanche. Le problème majeur du Patriot Act est son extraterritorialité : il concerne toutes les sociétés américaines et ses filiales dans le monde, pour peu que les données soient en relation avec des citoyens américains ou des données américaines« . Ajoutons que d’autres lois américaines permettent d’élargir le champ du Patriot Act. « Le Patriot Act a modifié une myriade de textes« , constate Bénédicte Deleporte.

 

newsaas upload olivier iteanu jpg
Olivier Iteanu, avocat

On ne saurait toutefois taxer les Américains d’angélisme. Bien au contraire et en la matière, ils ont une imagination débordante. Le programme Prism est là pour le démontrer. Avant les révélations d’Edward Snowden, on savait peu de choses sur ce programme de surveillance électronique par la collecte de renseignements à partir d’Internet. « Un certain nombre d’entreprises américaines y adhèrent, dont Google, Facebook, YouTube, Microsoft, Yahoo!, Skype ou encore Apple« , précise Olivier Iteanu. Ce programme ressemble fort à notre LPM, mais cible les personnes vivant hors des États-Unis.

 

Au vu de tout cet arsenal, Stéphane Duproz réagit en expliquant que les entreprises et les individus ont perdu confiance en la justice. « Jusqu’ici, les entreprises étaient convaincues d’être soumises et protégées, comme tout le monde, par le droit commun. À chaque fois qu’il y a eu une demande de fourniture d’information, c’était à l’initiative d’un juge. Mais depuis le Patriot Act, on s’aperçoit que ce n’est plus le cas. Et dans le cas du Patriot Act, les informations ne doivent pas même être divulguées. Donc, l’intéressé ne sait même pas qu’il fait l’objet d’une enquête. C’est une situation très différente« . Si la situation ne semble pas interpeler certains DSI, d’autres sont très inquiets et se sentent très concernés.

 

Stéphane Duproz ajoute : « par ailleurs, on parle d’urgence. Mais où est l’urgence quand on sait que le Patriot Act a été renouvelé par deux fois, en 2006 et en 2011 ? En réalité, les blocs se livrent aujourd’hui à une vraie guerre économique et ces lois et organisations sont des outils sont au service de cette guerre« .

Top