Le scandale FBI-NSA pourrait rebattre les cartes dans le marché du 'cloud'

 

Par Guénaël Pépin

 

07.06.2013

 

La révélation de l'accès du FBI et de l'Agence nationale de sécurité américaine (NSA) aux infrastructures de neuf géants américains d'Internet jette le discrédit sur ces multinationales. Le programme "Prism", révélé par le Washington Post, serait un outil permettant aux services de renseignement américain d'accéder aux données des personnes situées à l'étranger, qui ne sont pas protégées par la loi américaine contre les consultations sans ordonnance.

 

http://s1.lemde.fr/image/2013/06/07/534x267/3426369_3_5e25_le-site-du-fournisseur-d-infrastructures_784d668967eb4c1d57547ca20435d766.jpg

 

Potentiellement, ce sont les données de l'ensemble des utilisateurs mondiaux d'AOL, Apple, Facebook, Google (et YouTube), Microsoft (et Skype), PalTank et Yahoo qui sont concernées. Deux d'entre euxFacebook et Google – ont démenti avoir des "portes dérobées" dans leurs services, qu'ils ont aussi refusé d'installer au Royaume-Uni fin avril. Apple affirme ne pas connaître ce programme.

 

Lire : Londres, Paris et Washington se préoccupent du contrôle des communications sur Internet

 

LA PROTECTION DU SAFE HARBOR

 

Pour le site spécialisé Gigaom, cette nouvelle arrive "au mauvais moment" pour ces entreprises, dont la cote de confiance sur les données privées se fragilise. Google et Microsoft, notamment, visent de plus en plus les entreprises dans leur transition vers le "cloud" (l'hébergement à distance et à la carte des applications et des données, parfois sensibles) et critiquent ouvertement les méthodes du concurrent. Dans ce contexte, les révélations du Guardian et du Washington Post placent ces entreprises dans un même panier.

 

Ces entreprises sont tenues au respect du "Safe Harbor", qui leur permet de certifier elles-mêmes qu'elles respectent la législation européenne en matière de vie privée, pour être en mesure de transférer les données des internautes européens vers des serveurs situés aux Etats-Unis. Mais elle restent aussi tenues aux obligations de communication des données imposées par les Etats-Unis. Ce principe, négocié entre les Etats-Unis et la Commission européenne en 2001, repose donc finalement sur la confiance des Etats, entreprises et particuliers européens. Pour rassurer ses éventuels clients, Microsoft a ainsi choisi fin 2012 de s'associer à Bouygues Télécom pour le lancement d'une offre "cloud", surtout destinée aux entreprises. Si Microsoft fournit les technologies, Bouygues est l'entité juridique responsable, soumise au droit français.

 

"En utilisant les centres de données de Bouygues en France, le droit français s'applique. Microsoft est aussi présent sous sa marque en Europe à Dublin et à Amsterdam. En tant que prestataire de cloud, nous avons des clauses contractuelles européennes et nous sommes soumis au Safe Harbor, qui s'applique à toute entreprise qui a une présence aux Etats-Unis. La protection des données est importante pour Microsoft, et le Safe Harbor n'a pas vocation à évincer les règles de confidentialité nationales", garantissait en novembre Marc Mossé, directeur des affaires publiques et juridiques de Microsoft France, qui n'a pas répondu à nos sollicitations, vendredi 7 juin.

 

Le programme secret "Prism" peut être interprété comme une violation de ces principes, n'étant pas notifié à la Commission européenne. "C'est un problème interne aux Etats-Unis", a toutefois répondu le département des affaires intérieures de la Commission européenne, contacté par Gigaom.

 

LE "CLOUD À LA FRANÇAISE" ET LA SOUVERAINETÉ

 

Cette affaire pourrait être bénéfique à deux nouveaux acteurs français, créés par l'Etat et les opérateurs : Cloudwatt d'Orange et Thales et Numergy de SFR et Bull. Les deux projets, financés par l'Etat à hauteur de 150 millions d'euros, ont fait de la souveraineté des données leur premier argument commercial, bien avant l'efficacité technique ou les conditions commerciales. Le but affiché est d'imposer deux acteurs de dimension européenne dans ce marché mondialisé, en misant sur la sécurité légale offerte par un hébergement français. Les deux projets, annoncés en septembre et octobre 2012, sont encore en phase de lancement.

 

Lire : Le cloud 'à la française' sous le feu des critiques

 

Les deux entreprises attaquent publiquement les géants américains actuels sur le thème du Patriot Act, à défaut de critiquer directement les aspect techniques ou commerciaux de ces offres mondiales. Pour Marc Mossé de Microsoft, il s'agissait en novembre d'une méthode marketing sans fondement, visant à jeter le discrédit sur un système fonctionnel. L'affaire "Prism" pourrait donc bien rebattre les cartes.

 

UNE AMÉLIORATION DE LA PROTECTION RETOQUÉE

 

Cette affaire intervient surtout au moment la législation européenne est en plein bouleversement. Depuis plusieurs mois, le projet de nouveau règlement – qui doit renforcer l'information et la protection des internautes européensest le sujet d'un "lobbyisme intense" de l'Etat et des entreprises américaines qui évoquent une menace pour l'innovation. La CNIL s'était d'ailleurs officiellement alarmée de cette situation, en demandant aux pouvoirs publics français de l'appuyer dans son combat. Le texte a été retoqué, jeudi 6 juin, par les Etats membres européens.

 

Lire : Très chères données personnelles

 

En France, la protection des communications est également le sujet de plusieurs polémiques. Début mai, L'Expansion a ainsi révélé les nombreux problèmes techniques et financiers de la prochaine Plateforme nationale des interceptions judiciaires, censée regrouper en septembre les moyens d'interception légale des communications téléphoniques et Internet, sous l'égide de Thales. A la mi-mai, c'était un rapport parlementaire qui accablait les méthodes des renseignements français, qui agiraient souvent dans l'illégalité. Le rapport recommande notamment de se donner d'une autorité de surveillance de ces pratiques tout en améliorant les capacités d'écoute des services.