La sécurité des fournisseurs de cloud américains à nouveau remise en cause
Le 25 avril dernier, un juge new-yorkais a pris une décision qui marquera peut être l’histoire du Cloud et des services informatiques. James C. Francis IV a rendu un arrêt obligeant Microsoft à lui fournir des données appartenant à un de ses clients, alors que celles-ci sont hébergées en Irlande. C’est l’occasion de revenir sur les risques à choisir un fournisseur de Cloud américain.
En juin 2013, Edward Snowden, ancien informaticien de la NSA, révélait par le biais des médias l’existence de divers programmes de surveillance et d’espionnage (notamment le PRISM) orchestrés par le gouvernement américain. Il était question d’écoute, de collecte de données et de surveillance sur Internet. Les révélations de l’ancien salarié ont posé des questions sur les garanties de confidentialité des données hébergées par les différents géants américains.
L’espionnage – car c’est bien de cela dont il est question – est pourtant tout à fait légal. En effet, les autorités américaines agissent conformément au USA PATRIOT ACT. Derrière ce nom se cache un texte voté par le Congrès des Etats-Unis suite aux attentats terroristes du 11 septembre 2001. Il crée à l’attention des sociétés américaines et leurs filiales, ainsi qu’aux sociétés non américaines dont les serveurs ou les plateformes se trouvent aux Etats-Unis, des obligations de laisser accéder les services d’enquête aux données stockées dans leurs serveurs, notamment sur leur plateforme Cloud, à l’insu des titulaires des données et sans qu’ils en soient immédiatement informés. En bref, tout fournisseur de Cloud américain ou étranger dont les serveurs sont aux Etats-Unis, ne peut refuser l’accès aux données de leurs clients aux autorités américaines.
Suite à ce scandale, les fournisseurs de Cloud européens dont les serveurs se situent géographiquement en Europe sont donc apparus comme plus sécuritaires. Ils obéissent en effet à la législation européenne qui protège les données personnelles et privées. Elle a créé le G29, un organe consultatif rassemblant les représentants de chaque autorité indépendante de protection des données nationales (CNIL). Cette organisation a pour mission :
- de contribuer à l’élaboration des normes européennes en adoptant des recommandations,
- de rendre des avis sur le niveau de protection dans les pays hors UE,
- de conseiller la Commission européenne sur tout projet ayant une incidence la protection des données et des libertés des personnes.
Pour en savoir plus sur le G29 et la protection des données.
Un juge américain exige à Microsoft l’accès aux données de ses clients hébergées en dehors des Etats-Unis
Pour ne pas subir de pertes trop importantes dues aux révélations d’Edward Snowden, les fournisseurs de Cloud américains se sont dotés de serveurs en Europe, et ont ainsi communiqué auprès du grand public quant à la sécurité de leurs services, alors présentée comme équivalente à celle de leurs concurrents européens… Mais c’était sans compter le nouveau tournant que vient de prendre l’histoire des services informatiques. Un juge américain vient en effet de notifier à Microsoft une injonction de lui fournir des données, (en l’occurrence des contenus d’e-mails) alors que celles-ci sont hébergées en Irlande. Microsoft a fait appel, en espérant que la décision ne sera pas reconduite. Ce serait effectivement une situation très préjudiciable pour la firme, mais aussi pour tous les autres fournisseurs de cloud américains : ils seraient alors tiraillés entre législation américaine et législation européenne, d’une part de lourdes amendes et d’autre part la perte de nombreux clients européens.
Dans l’attente du nouveau jugement, nous vous conseillons de prendre garde lors de votre choix de fournisseur de Cloud. Adopter une solution française comme NetExplorer dont les données sont hébergées dans l’hexagone vous assure un niveau de sécurité et de protection maximal.