Le scandale FBI-NSA pourrait rebattre les cartes dans le marché du 'cloud'
Par
Guénaël Pépin
07.06.2013
La
révélation de l'accès du
FBI et de l'Agence nationale
de sécurité américaine (NSA) aux infrastructures de neuf géants américains d'Internet jette le discrédit sur ces
multinationales. Le programme
"Prism", révélé par le Washington Post, serait un outil permettant aux services de renseignement
américain d'accéder aux données des personnes situées à l'étranger, qui ne sont pas protégées par la loi américaine contre les
consultations sans ordonnance.
Potentiellement, ce sont les données de l'ensemble des utilisateurs mondiaux d'AOL, Apple, Facebook, Google (et YouTube), Microsoft (et Skype), PalTank et Yahoo qui sont concernées. Deux d'entre eux – Facebook
et Google – ont démenti avoir des "portes dérobées" dans leurs services, qu'ils ont aussi refusé
d'installer au Royaume-Uni
fin avril. Apple affirme ne
pas connaître ce programme.
Lire
: Londres, Paris et Washington se préoccupent
du contrôle des communications sur
Internet
LA
PROTECTION DU SAFE HARBOR
Pour
le site spécialisé Gigaom, cette nouvelle arrive "au mauvais
moment" pour ces entreprises,
dont la cote de confiance sur les données privées se fragilise. Google et
Microsoft, notamment, visent
de plus en plus les entreprises dans
leur transition vers le
"cloud" (l'hébergement à distance et à la
carte des applications et des données, parfois sensibles) et critiquent ouvertement les méthodes du concurrent. Dans ce contexte, les révélations du Guardian et du Washington Post placent ces entreprises
dans un même panier.
Ces entreprises sont tenues au respect du
"Safe Harbor", qui leur permet
de certifier elles-mêmes qu'elles
respectent la législation européenne en matière de vie privée, pour être en mesure de transférer les données des internautes européens vers des serveurs situés aux Etats-Unis. Mais elle restent aussi
tenues aux obligations de communication des données imposées par les Etats-Unis. Ce principe, négocié entre les Etats-Unis et la Commission européenne
en 2001, repose donc finalement
sur la confiance des Etats, entreprises et particuliers européens. Pour rassurer ses éventuels
clients, Microsoft a ainsi choisi
fin 2012 de s'associer à Bouygues
Télécom pour le lancement d'une offre "cloud", surtout destinée aux entreprises. Si Microsoft fournit
les technologies, Bouygues est
l'entité juridique responsable, soumise au droit français.
"En
utilisant les centres de données de Bouygues en France, le
droit français s'applique. Microsoft est aussi présent sous
sa marque en Europe à
Dublin et à Amsterdam. En tant que
prestataire de cloud, nous avons
des clauses contractuelles européennes
et nous sommes soumis au
Safe Harbor, qui s'applique à toute
entreprise qui a une présence aux Etats-Unis. La
protection des données est importante pour Microsoft, et le Safe Harbor n'a pas vocation à évincer les règles de confidentialité nationales", garantissait en
novembre Marc Mossé, directeur des affaires publiques
et juridiques de Microsoft France, qui n'a pas répondu à nos sollicitations, vendredi 7 juin.
Le
programme secret "Prism" peut être interprété
comme une violation de ces principes, n'étant pas notifié à la
Commission européenne. "C'est
un problème interne aux Etats-Unis",
a toutefois répondu le département des affaires intérieures
de la Commission européenne, contacté
par Gigaom.
LE
"CLOUD À LA FRANÇAISE" ET LA SOUVERAINETÉ
Cette affaire pourrait
être bénéfique à deux nouveaux acteurs français, créés par l'Etat et les opérateurs : Cloudwatt d'Orange et Thales et Numergy de SFR et Bull. Les deux projets, financés par l'Etat à hauteur de 150 millions d'euros,
ont fait de la souveraineté
des données leur premier
argument commercial, bien avant
l'efficacité technique ou
les conditions commerciales. Le but affiché est d'imposer
deux acteurs de dimension européenne dans ce marché mondialisé,
en misant sur la sécurité légale offerte par un hébergement français. Les deux projets, annoncés en septembre et octobre 2012, sont encore en phase de lancement.
Lire
: Le cloud 'à la française' sous
le feu des critiques
Les
deux entreprises attaquent publiquement les géants américains actuels sur le thème du Patriot Act, à défaut de
critiquer directement les
aspect techniques ou commerciaux
de ces offres mondiales. Pour Marc Mossé de
Microsoft, il s'agissait en
novembre d'une méthode marketing sans fondement,
visant à jeter le discrédit sur un système fonctionnel. L'affaire "Prism" pourrait
donc bien rebattre les cartes.
UNE AMÉLIORATION
DE LA PROTECTION RETOQUÉE
Cette affaire intervient
surtout au moment où la législation européenne est en plein bouleversement. Depuis plusieurs mois, le projet de nouveau règlement – qui doit renforcer l'information et la
protection des internautes européens
– est le sujet d'un "lobbyisme intense" de l'Etat
et des entreprises américaines
qui évoquent une menace
pour l'innovation. La CNIL s'était d'ailleurs officiellement alarmée de cette situation, en demandant aux
pouvoirs publics français
de l'appuyer dans son
combat. Le texte a été retoqué, jeudi 6 juin, par les Etats membres européens.
Lire
: Très chères données personnelles
En
France, la protection des communications est également le sujet de plusieurs polémiques. Début mai, L'Expansion a ainsi révélé les nombreux problèmes techniques et
financiers de la prochaine Plateforme
nationale des interceptions judiciaires,
censée regrouper en septembre les moyens d'interception légale des
communications téléphoniques et Internet, sous l'égide de Thales. A la mi-mai, c'était un rapport parlementaire qui accablait les méthodes des renseignements français, qui agiraient souvent dans l'illégalité.
Le rapport recommande notamment
de se donner d'une autorité de surveillance de ces pratiques tout en améliorant les capacités d'écoute des services.