Défis et enjeux de l’hébergement Cloud : surveillance et vie privée

Partie introductive : L’état de la menace

La protection des données n’a de sens que si aucune dérogation ne peut permettre l’accès immodéré à des données personnelles sans l’accord de la personne concernée. De nombreuses inquiétudes quant à l’hébergement de données en Cloud en dehors de l’UE, proviennent des lois de police étrangères, qui comme nous le verrons permettent un certain nombre d’exceptions aux principes de la protection des données ( §1 ). A la suite de l’affaire Snowden, ces inquiétudes se sont révélées véridiques et ont entraîné une véritable crise de confiance entre l’Europe et les Etats-Unis ( §2 ).

§1. Les lois de police étrangères

Les lois de polices étrangères ont un impact considérable sur le sort des données hébergées dans des systèmes Cloud à l’étranger. Les Etats-Unis étant le pays détenant le plus d’infrastructures Cloud au monde, il convient de s’intéresser en particulier aux lois américaines de surveillance ayant une incidence sur les transferts de données personnelles depuis l’Union Européenne. A ce titre deux lois emblématiques ont largement impacté les transferts de données personnelles vers les Etats-Unis, le Patriot Act ( A ) et le Cloud Act ( B ).

A. Le Patriot Act

La première loi de police étrangère ayant provoqué des doutes sur la confidentialité des transferts de données outre-atlantique est la Loi sur la surveillance antiterroriste (plus connue sous le nom de Patriot Act). Promulguée le 26 octobre 2001, moins de trois mois après les attentats du 11 septembre 2001, elle est adoptée à l’unanimité par le Sénat américain et par une majorité écrasante à la Chambre des représentants. Elle est conçue pour donner aux agences gouvernementales américaines de nouveaux pouvoirs de surveillance et d’enquête afin de prévenir de futurs attentats terroristes.

Le Patriot Act est contesté du point de vue de la protection des données pour plusieurs raisons. Tout d’abord, cette loi a permis l’adoption du Foreign Intelligence Surveillance Act (FISA, 2001) dont la section 702 permet au gouvernement des États-Unis de collecter des communications internationales sans mandat.

Ces communications sont susceptibles de contenir des informations sur des étrangers qui ne sont pas des citoyens américains ou des résidents permanents légaux des États-Unis. Les communications qui peuvent être collectées comprennent les appels téléphoniques, les SMS, les e-mails, les messages Internet et les communications cryptées 17 .

Deuxièmement, le Patriot Act permet aux agences gouvernementales américaines de partager ces données avec d’autres agences gouvernementales, y compris les agences de renseignement étrangères. Cela signifie que les données collectées peuvent être partagées avec des pays qui ne respectent pas les mêmes normes de protection de la vie privée que les États-Unis.

Troisièmement, cette loi ne prévoit aucun mécanisme de recours pour les personnes dont les données sont collectées ou partagées sans leur consentement. Cela signifie que les personnes concernées n’ont aucun moyen de contester la collecte ou le partage de leurs données, même si elles sont collectées ou partagées illégalement.

En raison de ces préoccupations, le Patriot Act a été contesté devant les tribunaux à plusieurs reprises. Mais aucune réforme n’est intervenue à ce jour afin d’accorder aux personnes non américaines des protections raisonnables en matière de vie privée. Selon l’association NOYB fondée par Maximilian Schrems, malgré que les deux côtés de l’Atlantique concèdent que le FISA 702 porte atteinte aux droits fondamentaux en vertu du quatrième amendement aux États-Unis 18 et des articles 7, 8 et 47 de la Charte des Droits fondamentaux de l’UE, les États-Unis continuent d’insister sur le fait que les citoyens non-américains n’ont pas de droits constitutionnels aux États-Unis et que par conséquent la violation de leur droit à la vie privée n’est pas couverte par la protection du quatrième amendement 19 .

Bien qu’en 2015, le USA Freedom Act 20 a apporté des atténuations au Patriot Act, comme l’interdiction pour la NSA de poursuivre son programme de collecte de données de masse, celui-ci est encore aujourd’hui en vigueur et continue de permettre aux agences

17 Foreign Intelligence Surveillance Act (FISA) section 702, 50 U.S.C. §§ 1821-1829. 2001.

18 Cet amendement protège contre des perquisitions et saisies non motivées et oblige le recours à un mandat (et une sérieuse justification) pour toute perquisition. Il constitue avec l’arrêt Katz v. United States, le fondement de la protection de la vie privée aux Etats-Unis.

19 « La Commission européenne soumet les transferts de données entre l’UE et les Etats-Unis à un troisième examen par la CJUE », Noyb, 2023.

20 USA FREEDOM Act of 2015, H.R.2048, 2 juin 2015.

gouvernementales américaines de collecter et de conserver des données sur les citoyens américains sans mandat.

B. Le Cloud Act

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine promulguée en 2018. Elle permet aux autorités américaines d’accéder à des données stockées dans le Cloud, même si ces données sont stockées à l’étranger.

La loi a été promulguée à la suite de la décision de la Cour suprême des États-Unis dans l’affaire Microsoft v. United States 21 , dans laquelle la Cour a statué que les autorités américaines ne pouvaient pas contraindre Microsoft à fournir des données stockées sur des serveurs situés en dehors des États-Unis.

Le Cloud Act permet aux autorités américaines d’obtenir un mandat pour accéder à des données stockées dans le Cloud, même si ces données sont stockées à l’étranger. Le mandat peut être délivré par un juge américain, et il doit être conforme aux lois des États-Unis. La loi prévoit également des mécanismes de coopération entre les États-Unis et les autres pays pour accéder aux données stockées dans le Cloud.

Ces mécanismes sont destinés à faciliter l’accès aux données par les autorités américaines, tout en respectant les lois des autres pays.

Le Cloud Act a été critiqué par certains groupes de défense de la vie privée et par certains pays pour plusieurs raisons.

Tout d’abord, le Cloud Act permet aux autorités américaines de contraindre les entreprises à fournir des données, même si ces données sont stockées à l’étranger. Cela signifie que les entreprises peuvent être forcées de fournir des données à l’État américain, même si cela viole les lois du pays dans lequel les données sont stockées.

Deuxièmement, le Cloud Act ne prévoit aucun mécanisme de recours pour les personnes dont les données sont consultées par les autorités américaines. Cela signifie que les personnes dont les données sont consultées n’ont aucun moyen de contester cet accès, même si l’accès est illégal.

Troisièmement, En raison de ces préoccupations, le Cloud Act a été contesté par de nombreuses associations de défense des droits humains telles que l’American Civil Liberties

21 United States v. Microsoft Corporation, 253 F.3d 34 (D.C. Cir. 2001).

Union 22 , Human Rights Watch 23 ou l’Electronic Frontier Foundation 24 . Malgré ces critiques, le Cloud Act reste en vigueur et continue d’être utilisé par les autorités américaines pour accéder à des données stockées dans le cloud.

Il convient de souligner que toutes les entreprises américaines ne sont pas soumises à ces lois mais en ce qui concerne la section 702 de la FISA, elles affectent au moins tout fournisseur de service de communication électronique, tel que défini de manière très large à l’article 50 U.S. Code §1881 (4), de la manière suivante :

« The term “electronic communication service provider” means—

  • a telecommunications carrier, as that term is defined in section 153 of title 47;
  • a provider of electronic communication service, as that term is defined in section 2510 of title 18;
  • a provider of a remote computing service, as that term is defined in section 2711 of title 18;
  • any other communication service provider who has access to wire or electronic communications either as such communications are transmitted or as such communications are stored; or
  • an officer, employee, or agent of an entity described in subparagraph (A), (B), (C), or (D) ».

Au regard de cette définition, il est tout à fait plausible d’envisager que les fournisseurs d’hébergement Cloud soient concernés par les dispositions du Cloud Act.

Il convient ensuite de s’intéresser aux évènements ayant marqué l’élaboration du Cloud et notamment aux révélations d’Edward Snowden en 2013 sur les programmes de surveillance de la NSA.

22 GULIANI (N. S.), The Cloud Act is a dangerous piece of legislation, ACLU. American Civil Liberties Union, 2023.

23 HUMAN RIGHTS WATCH, « Groups Urge Congress to Oppose US-UK Cloud Act Agreement », 2019. 24 RUIZ (D.), « A new backdoor around the Fourth Amendement: The CLOUD Act », Electronic Frontier Foundation, 2018.

§2. Les révélations de Snowden

Les révélations de Snowden sur les programmes de surveillance de la NSA sont à l’origine de la plus grande crise de la gouvernance mondiale de l’Internet. Ces révélations ont alerté l’opinion publique sur la vulnérabilité des services informatiques et leurs impacts sur les individus.

Selon l’étude menée par le Centre de recherche pour l’étude et l’observation des conditions de vie (CRÉDOC) : « avant même l’affaire Snowden, le premier sujet d’inquiétude chez les internautes était le risque d’atteinte aux données personnelles. À titre d’exemple, 86 % des utilisateurs d’internet sur mobile français souhaitaient pouvoir interdire la transmission de leur géolocalisation à des entreprises commerciales » 25 .

En 2013, Edward Snowden, ancien contractant pour la National Security Agency (NSA), révèle des activités de surveillance massives menées par la NSA, notamment :

  • Le programme PRISM qui permettait à la NSA d’accéder directement aux serveurs des grandes entreprises technologiques, telles que Google, Apple, Microsoft, Facebook, et d’autres, pour collecter des données de communications électroniques (e-mails, vidéos, messages, photos, etc.) des utilisateurs.
  • L’écoute téléphonique de masse : Snowden a dévoilé que la NSA collectait en masse des métadonnées d’appels téléphoniques, y compris les numéros appelés, la durée des appels et les localisations, sans nécessiter de mandat judiciaire spécifique.
  • Le programme XKeyscore : Snowden a révélé l’existence du programme XKeyscore, un système de surveillance qui permettait aux analystes de la NSA de rechercher et d’analyser des données sur les communications internet mondiales des individus.

Après ces révélations E. Snowden est inculpé pour espionnage et vol de propriété du gouvernement, il obtient l’asile en Russie pour échapper à ces condamnations, où il se trouve encore aujourd’hui.

Ces révélations ont eu un impact profond sur la façon dont le grand public perçoit la surveillance gouvernementale et la protection de la vie privée. L’environnement numérique

25 BIGOT (R.), CROUTTE (P.), « La diffusion des technologies de l’information et de la communication dans la société français », Centre de recherche pour l’étude et l’observation des conditions de vie, 2012.

Européen est alors déjà profondément bâti sur des outils détenus par les entreprises technologiques américaines et toutes les relations de télécommunications entre l’Europe et les Etats-Unis sont alors remises en question.

Même les entreprises directement impliquées dans le scandale ont fait part de leur inquiétude quant aux conséquences des méthodes de la NSA, puisqu’en 2014, certaines grandes entreprises de la Silicon Valley ont fait savoir au Président américain leur inquiétude quant aux conséquences des activitées de la NSA sur la clé de voûte de l’internet : la confiance de ses usagers 26 .

Si ce scandale a ouvert de nombreux débats entre l’Europe et les Etats-Unis, il connaît également des échos en Chine où l’État a fortement repris en main les acteurs du numérique dans le cadre de sa nouvelle ligne politique « Common Prosperity » 27 .

26 Éditorial de M. Zuckerberg posté sur Facebook le 13 mars 2014, disponible sur : http://on.fb.me/1nVf2Cc (http://on.fb.me/1nVf2Cc) 27 SUN (X.), Decoding China’s “Common Prosperity” Drive. The London School of Economics and Political Science, 2022.

Face au constat de l’absence totale de contrôle sur les données stockées à l’étranger, il convient de s’intéresser dans une première partie aux enjeux entourant l’hébergement de données en Cloud Computing.

Pour citer ce mémoire (mémoire de master, thèse, PFE,...) :
Université 🏫: Université Grenoble - Mémoire en vue de l’obtention du Master Carrières Juridiques et Numériques Internationales
Auteur·trice·s 🎓:
Anna PLOIX

Anna PLOIX
Année de soutenance 📅: Année académique 2022-2023
Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top