À l’heure du Freedom Act aux États-Unis et de la loi sur le renseignement en France, quel est l’impact de ces nouvelles législations sur l’écosystème cloud et les citoyens ? Pour tenter d’y répondre, juristes et acteurs du cloud étaient conviés dans un atelier organisé à l’occasion de la 10ième édition des États généraux du Cloud.
Ariane Dossier, responsable juridique chez Cisco, a ouvert la table ronde par une brève remise en perspective des enjeux du Freedom Act, en application depuis le 2 juin aux États-Unis. « À la suite du Patriot Act, voté dans la foulée du 11 septembre, le Freedom Act vise à éviter l’accès intrusif sur les métadonnées ». Bénédicte Deleporte, avocate au barreau de Paris, a pour sa part axé son discours sur la loi sur le renseignement, un texte voté le 24 juin et actuellement soumis à quatre recours devant le Conseil constitutionnel. Objectif : valider le périmètre d’application de cette loi aux enjeux flou. « La loi ne se limite pas à la lutte contre le terrorisme. Elle a sept finalités. Elle touche aussi à l’indépendance nationale et l’intégrité de la France, aux intérêts économiques et industriels de la France, à la prévention des armes de destruction massive et j’en passe ». Autant de « termes vaporeux dans lequel on peut faire rentrer beaucoup de choses », estime Bénédicte Deleporte et qu’il convient de définir précisément.
Concrètement, ce texte vise à mettre en place un système de collecte massif pour essayer d’identifier des comportements suspects. Et c’est ce qui indigne Matthieu Hug (RunMyProcess), qui se dit autant entrepreneur du cloud que citoyen : « ce n’est plus ciblé sur un individu. Cette loi ouvre la voie à une surveillance de masse des Français avec des boîtes noires installées au cul des opérateurs. » Quant aux métadonnées extirpées, « il est de mauvaise foi de dire que les contenus ne seront pas lus », estime Matthieu Hug. « Techniquement, c’est impossible. Les contenus seront triés, évalués et conservés pendant cinq ans ». Car le texte vise également à « étendre la durée de conservation des données de connexion de un an à cinq ans, au regard d’enquêtes souvent très lentes », souligne Bénédicte Deleporte.
Pour Guillaume Jahan, directeur juridique de Numergy, il s’agit de « législation extra ordinaire avec toute la question du contrôle de leur application. » Et d’ajouter : « C’est un tremblement de terre dans l’écosystème technologique. Que l’on soit aux États-Unis ou en France, c’est juste une question d’épicentre . Est-ce qu’on sera concerné par l’installation de ces boîtes noires ? Je ne sais pas. Il y a encore beaucoup de points d’interrogation » De l’avis de Matthieu Hug, « sous prétexte de vouloir lutter contre le terrorisme, le débat a été refusé sur la loi renseignement. Tout ce qu’on a dénoncé contre le Patriot Act, nous sommes en train de le mettre en œuvre de chez nous », regrette-t-il. « En plus de nuire à l’attractivité de la France et de donner une mauvaise image, la méthode est à mon sens inefficace », estime à son tour Stéphane Duproz (TelecityGroup). En attendant, la France et les États-Unis ne sont pas les seuls à édicter des législations en matière de surveillance des données. L’Asie n’est pas en reste. « La Chine a mis en place le Great firewall. L’Inde a une réglementation très intrusive en matière de renseignement. La Thaïlande et les Philippines également », mentionne Bénédicte Deleporte.
A lire : L’industrie du numérique plaide contre la loi Renseignement au Conseil constitutionnel