Les données européennes stockées dans le cloud sont accessibles aux autorités américaines malgré les lois européennes protégeant les données.

Le Patriot Act, une loi votée en 2001, permet aux autorités américaines de contourner les lois et institutions locales pour accéder directement aux données cloud appartenant à des particuliers et à des entreprises non américains en dehors des Etats-Unis.

Le rapport intitulé « Cloud Computing dans l’éducation supérieure et les instituts de recherche et le Patriot Act américain » accessible à cette adresse est écrit par des experts juridiques de l’Université d’Amsterdam; Il confirme de précédents rapports qui indiquaient que théoriquement l’application de la loi américaine du Patriot Act pouvait conduire au contournement des lois européennes sur la vie privée afin d’obtenir des données sur des citoyens européens.

La majorité des fournisseurs de Cloud sont concernés par cette législation étant donné que ce sont soit des entreprises américaines, soit des entreprises qui conduisent du business aux USA. Les lois de protection de données européennes ne protègent pas les citoyens européens contre des lois extra territoriales comme celles des USA.

D’ailleurs, le directeur de la branche britannique de Microsoft a publiquement admis à des journalistes que Microsoft ne peut garantir que des données stockées en Europe ne quitteraient pas la zone économique européenne sous aucune circonstance. Il précise d’ailleurs qu’aucune autre entreprise ne peut le garantir non plus.

Juridiction extra-territoriale

Axel Arnbak, l'un des rédacteurs du rapport précise : " Dans le cadre juridique américain, il y a une doctrine appelée "juridiction extra-territoriale". Cela implique que tous les fournisseurs de clouds opérant en Europe ou n'importe où dans le monde ont à se conformer à des requêtes sur les données dès lors qu'elles tombent sous le coup des lois américaines. Ces lois, y compris le Patriot Act, s'appliquent dès que les fournisseurs de services cloud ont des activités aux Etats-Unis. C'est une erreur largement répandue de croire que les données doivent être stockées sur des serveurs physiquement présents sur le territoire américain".

Ce rapport vient confirmer différentes analyses notamment celles de notre confrère ZDNet qui émettait de sérieuses réserves quant à l'affirmation de certaines entreprises américaines expliquant que leurs données étaient protégées à partir du moment où elles étaient stockées en Europe, ceci en vertu de la loi européenne de 1995 sur la protection des données. Tout ceci ne prend pas en compte l'existence de la loi extra-territoriale telle que décrite par Axel Arnbak ci-dessus.

Des enjeux énormes pour les sociétés américaines et européennes

Concrètement, ce rapport pourrait avoir de très sérieuses conséquences commerciales pour l'ensemble des sociétés américaines impliquées dans le Cloud parmi lesquelles figurent la fine fleur de l'informatique et de l'Internet : Oracle, Microsoft, HP, IBM, Google, Amazon et autres. Si le business de ces entreprises s'en trouvait affecté, il y a fort à parier que ces entreprises pourraient se regrouper pour demander une modification de la loi pour d'impérieuses raisons commerciales. De l'autre côté, ce rapport met en relief l'ardente nécessité de trouver de solutions nationales et européennes pour le stockage en Cloud des données les plus sensibles. Il pose également la question de la détention capitalistique desdites entreprises. Ainsi en France, on murmure que Vivendi chercherait à vendre SFR. Dans ce cas, il apparait impératif que l'opérateur reste sous capitaux européens sinon la co-entreprise Numergy (co-détenue par Bull et SFR et la CDC) perdrait de son indépendance vis-à-vis de ces lois et les exemples de ce type sont légion. Voici quelques temps, un responsable politique parlait de souveraineté numérique. Ce terme est plus que jamais au gout du jour. 




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 144330
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI