La loi américaine Clarifying Lawfull Overseas Use of Data Act, dite Cloud Act, a été adoptée le 23 mars 2018. Elle permet notamment aux régulateurs et autorités judiciaires concernées de saisir, en dehors de procédures d'entraide judiciaire, des données partout dans le monde dès lors que celles-ci sont hébergées par un fournisseur américain. Cette loi permet donc potentiellement à des tiers d’accéder à des données des entreprises françaises et européennes, sans que les autorités compétentes ni que les entreprises visées soient informées en amont. Sont ainsi exposés à des yeux et des oreilles indiscrètes la stratégie d’une entreprise, ses secrets industriels … ou même les mails d’une administration si ceux-ci sont hébergés par un fournisseur américain. Rappelons au passage que, même s’il est difficile de classer macroscopiquement les hébergeurs, les trois plus gros sont américains et représentent environ 70% du marché mondial. Il serait aisé pour les Etats-Unis de se servir de cette extraterritorialité de leur droit à des fins géopolitique ou de guerre économique. Mais entre alliés, cela ne saurait se produire …

Comme toujours, la France résiste. Des conflits de droits sont créés, afin de rendre inopérant ce Cloud Act, du moins en droit. Il existe déjà la « loi de blocage » 1968- 678, votée à l’origine uniquement pour le domaine maritime, qui interdit à une personne (physique ou morale) de se conformer à une loi étrangère si elle de nature à porter atteinte à la souveraineté, aux intérêts économiques essentiels ou à la sécurité. Ainsi il faut choisir si on préfère être en infraction avec la législation française ou américaine, et quel marché on préfère se fermer … Si cette loi de blocage fait l’objet de mise à jour (Sapin II, PACTE) pour la rendre plus opérante, il est évident que la solution ne peut-être qu’à l’échelle européenne.

« LA SOLUTION NE PEUT ÊTRE QU’EUROPÉENNE »

Le règlement général sur la protection des données (RGPD), adopté avant le Cloud Act, mais entré en vigueur le 25 mai 2018 donc après, permet de limiter la portée de celui-ci. En substance, le RGPD est une collection de règles de bon sens de gestion des données personnelles qui nous sont confiées. Et ces règles s’appliquent à l’échelle de l’Union europénne.

Les « gros » hébergeurs américains donnent l’illusion, en prétextant ce RGPD, d’une résistance au cloud Act pour leurs datacenters situés en Europe, mais aucune jurisprudence n’est encore venue trancher ce conflit de norme. Et de toute façon, le temps que celui-ci soit arbitré, il est fort probable que les évolutions technologiques et la difficulté de séparer les données privées des autres données rendent cet arbitrage caduc ! Et on peut complexifier le problème à volonté : quel sera le statut des données d’une entreprise française confiées à un hébergeur américain au Royaume-Uni après le Brexit ?

Il est donc nécessaire de faire des lois non adhérentes à la technique. Cela est difficile ; je songe aux lois sur le renseignement de 2015 qui ne comportent aucun terme technique, mais dont l’application pose des difficultés quotidiennes : j’attends avec impatience qu’on me donne une définition universelle et non ambiguë des « intérêts fondamentaux de la Nation ». J’attends de la même façon qu’on me donne une liste des données « privatives » : l’adresse IP de votre box est, suivant le contexte, considérée comme « privée » ou « publique ». Quelque part on est déjà dans le quantique …

Pour en revenir aux fondamentaux justement, la souveraineté en fait indubitativement partie. Mais si on veut pouvoir lutter à armes égales il faut qu’elle ait une expression à l’échelle européenne. La revue stratégique de cyberdéfense, remise en février au Premier ministre, ne dit pas autre chose : dans tous les domaines du numérique (juridique, technique…), la France doit être capable de classer les éléments en trois domaines : le premier, le plus important et sensible mais donc aussi le plus contenu, en purement national, le second à l’échelle européenne et le dernier, le moins sensible, à l’échelle mondiale.

La stratégie du Gouvernement

pour le Cloud, publiée en juillet, reprend exactement cette trilogie. Un cloud internalisé pour les besoins les plus sensibles où ceux des Armées figurent évidement en bonne place, un cloud dont l’architecture globale est donnée à des tiers mais dont le fonctionnement quotidien est réalisé par l’Etat, et enfin du cloud « sur étagère ».

La perception, y compris dans le domaine du numérique, est rarement universelle. Un exemple est frappant : la lutte contre le terrorisme. D’une part tout le monde n’a pas la même perception de ce qu’est le terrorisme, l’exemple ouighour vu à la lueur des valeurs françaises ou des chinoises est assez caricatural. Mettons que nous soyons d’accord sur la définition du terrorisme, est-ce qu’un contenu à caractère terroriste publié sur internet doit être effacé au nom de la lutte contre celui-ci ou au contraire doit-il être stocké au titre de l’histoire ? Accessible ou non-accessible ? Enfin qui est le garant du respect de ces règles et engagements (de non accessibilité par exemple) à l’échelle mondiale ?

Là encore il est probable que certaines pièces de théâtre soient mises en scène. Ainsi le refus d’Apple de donner accès à l’Iphone (5c donc technologiquement dépassé) d’un terroriste décédé au FBI pour les besoins de l’enquête, et pour contourner ce refus l’achat médiatisé d’une faille de sécurité à un prix bien supérieur à ceux de ce marché d’habitude si discret … Les deux objectifs de racheter une belle étiquette comportementale à Apple, mise à mal aves les révélations Swnoden, et de morale sauve sont pleinement atteints. La mise en oeuvre discrète d’un processus technique n’aurait pas permis d’atteindre le premier objectif.

Non seulement aucune règle n’est applicable aujourd’hui, mais les négociations internationales montrent des positions divergentes entre, notamment, les américains, les européens, les russes et les chinois. D’ailleurs partage-on tous le même objectif de paix pour l’espace numérique ? Rien n’est moins sûr …

La régulation mondiale de l’espace numérique étant -qu’elle soit souhaitable ou non- hautement improbable à moyen terme, et comme les électrons et le numérique ne connaissent pas les frontières géopolitiques, il est nécessaire de surveiller les réglementations nationales et internationales, qui évoluent finalement à la même vitesse que la technologie. Cette veille doit concerner tant ce qui nous impacte directement que ce qui concerne nos clients, prestataires, sous-traitants, relations… pour pouvoir décider de façon avisée de son usage du numérique et de sa stratégie globale. Et la réglementation numérique, c’est comme la sécurité informatique : vous n’en connaissez le vrai prix que lorsque vous vous êtes fait hacker…