Le Cloud Act américain entérine l’hégémonie américaine via les GAFAM. Entreprises et Etats européens sont directement menacés. La solution : une prise de conscience collective pour un protectionnisme numérique.
Cloud contre cloud. Mounir Mahjoubi, le Monsieur numérique du gouvernement, et Bruno Le Maire, son collègue à l'économie, ont présenté fin août la réponse française au Cloud Act américain. Promulguée le 25 mai dernier, la mesure étasunienne est perçue par de nombreux industriels et acteurs politiques comme une ingérence inacceptable, légalisant de fait l'espionnage industriel. Au-delà de la protection des données privées, c'est la sécurité des données des administrations françaises qui est en jeu. Celles-ci sont actuellement stockées sur quelque 50 000 serveurs, répartis dans 120 data centers.
Cloud étatique : trois niveaux de protection
Concrètement, le futur cloud étatique français comportera trois niveaux d'exigences, en fonction du degré de sensibilité des renseignements. Le premier sera un « cloud externe », stockant les data non-sensibles, pouvant être hébergées à l'étranger. Le second, un « cloud dédié », conservera les données régaliennes, qui devront être confiées à des acteurs français. Enfin, un troisième « cloud interne » sera dédié aux informations les plus sensibles, telles que celles du ministère des Armées. Elles continueront à être hébergées par l'Etat.
Sans l'ombre d'un doute, le cloud étatique français se veut une réponse ferme au Cloud Act décidé par l'administration Trump. Et en cela il est plus que bienvenu, tant le Clarifying Lawful Overseas Use of Dada Actrenforce, s'il en était besoin, la scandaleuse conception de l'extraterritorialité du droit américain. Le Cloud Act contraint en effet les prestataires de services et opérateurs numériques américains à divulguer les informations personnelles de leurs utilisateurs aux autorités. Et ce même si ces données sont stockées hors des Etats-Unis.
Autrement dit, les GAFAM, ces géants de la Silicon Valley, ne pourront plus garantir la confidentialité de leurs données, quand bien même celles-ci seraient stockées en Europe. De fait, le règlement européen pour la protection des données personnelles, le fameux RGDP, entré en vigueur deux mois plus tôt pour protéger les 500 millions d'Européens, vole en éclat avant même d'avoir été effectif. « L'arrivée du Cloud Act qui, de l'avis de tous les experts, constitue une ingérence juridique jamais vue, est une menace pour le secret des affaires de toute entreprise contractant avec un prestataire américain », alerte Yves Garagnon, directeur général de DiliTrust.
La forte présence des GAFAM dans le tissu numérique européen rend le Cloud Act potentiellement explosif. En témoigne l'exemple éloquent de Microsoft Irlande, sommé en 2013 par la justice de l'Oncle Sam de fournir le contenu de messageries électroniques de clients hébergés sur l'île britannique. Les autorités américaines appréciant peu que Microsoft, se retranchant derrière le droit irlandais, refuse de leur transmettre les données, elles ont donc dégainé le Cloud Act.
Des risques de dérive
Les risques de dérives ne sont pas à prendre à la légère, d'autant moins que le contexte de sanctions américaines et de guerre commerciale larvée avec l'Europe ne rassure pas. Dernier exemple en date, le futur rachat du groupe américain Diligent, un fournisseur de logiciels pour entreprises, de racheter l'Allemand Brainloop, fleuron de la protection des données. Basée à Munich, l'entreprise protège 70% des données des entreprises du DAX allemand, notamment celles liées aux conseils d’administrations, et de plusieurs poids lourds français. Avec le Cloud Act, si Diligent parvenait à ses fins, les clients de Brainloop courraientun sérieux risque pour le secret de leurs affaires, notamment en matière de fusion-acquisition.
Le Cloud Act est une menace pour toutes nos entreprises, quelle que soit leur taille et leur secteur d'activité. Pour lutter contre cet espionnage industriel légalisé, la solution réside dans une prise de conscience collective des entreprises (CAC 40, ETI, PME). Elles doivent impérativement apprendre à revenir à une forme de protectionnisme numérique, en choisissant des opérateurs français ou européens.
Maxime Overlack