Intervention de Stéphan Hadinger

Le Cloud Act est effectivement une question essentielle qui a suscité de nombreuses interrogations, en particulier depuis son entrée en vigueur début 2018. Nous avons assisté à beaucoup de controverses, notamment sur l'idée que le Cloud Act permettait au gouvernement américain d'avoir un accès libre et sans entrave aux données des clients de fournisseurs de cloud, ce qui est faux. Il a également été avancé que l'on ne pouvait plus avoir confiance dans les fournisseurs de cloud américains, ce qui est également faux. Par ailleurs, il faut savoir qu'il ne s'applique pas qu'aux fournisseurs de cloud.

Je vous propose donc d'aborder quelques-uns des plus grands mythes, qui sont autant d'idées fausses, autour du Cloud Act. Tout d'abord, d'après l'analyse de nos juristes, le Cloud Act ne fournit pas aux autorités judiciaires américaines un accès direct et illimité aux données stockées. C'est un mécanisme qui permet aux autorités de saisir un tribunal pour demander l'accès à des données dans le cadre d'affaires criminelles et pénales graves, comme des cas de terrorisme, des cas de pédophilie ou d'infractions liées à la drogue. Les autorités doivent respecter des normes juridiques rigoureuses pour obtenir un mandat délivré par un tribunal américain. Notamment, un juge indépendant doit conclure que les preuves recherchées sont clairement spécifiées et que les motifs qui sont présentés par les autorités sont raisonnables et directement liés à un crime. Enfin, la demande doit être claire, précise et proportionnée. Notons que ces normes sont parmi les plus strictes au monde.

Ensuite, le Cloud Act ne modifie pas la manière dont AWS protège les données de ses clients. Nous sommes toujours extrêmement précautionneux et rigoureux quant à la protection des données. En effet, le Cloud Act reconnaît spécifiquement le droit pour les fournisseurs de cloud de contester toute demande d'accès. Concrètement, chaque fois que nous recevons une demande, quel qu'en soit, d'ailleurs, le pays d'origine, nous avons une équipe dédiée de juristes qui analyse la demande et qui vérifie que l'émetteur de la demande est bien habilité. Nous informons également nos clients afin qu'ils puissent se défendre contre cette demande. Généralement, l'analyse conclut soit à une contestation de la demande, si elle n'est pas conforme aux normes, ou si nous la jugeons contraire à des lois internationales ou à des intérêts de pays étrangers, soit à une réponse partielle ou complète. Dans ce dernier cas, la décision remonte directement au plus haut niveau de l'entreprise, et, pour nos équipes techniques, ce sujet est traité comme un incident de sécurité.

Les deux points que je viens de présenter englobent la partie juridique de la protection des données, mais il y aussi des mécanismes techniques. Nous invitons très fortement nos clients à chiffrer leurs données, en particulier leurs données sensibles, dans le cloud. Pour cela, nous leur fournissons des services, mais ils sont libres d'utiliser toute technologie qu'ils souhaitent. Notons également que le Cloud Act n'oblige pas les fournisseurs de cloud à déchiffrer les données. Or, comme vous le savez, une donnée chiffrée sans la clé correspondante est complètement inutilisable.

Enfin, il faut savoir que le Cloud Act ne s'applique pas qu'aux fournisseurs de cloud. Ce terme est un acronyme qui signifie clarifying lawful overseas use of data, que je traduirai par « clarifier l'utilisation licite de données à l'étranger ». Malheureusement, l'utilisation de cet acronyme a laissé penser que le Cloud Act ne s'appliquait qu'au cloud, ce qui est une idée fausse. En réalité, il s'applique de manière beaucoup plus large, notamment aux services de télécommunication, et concerne donc les opérateurs de téléphonie mobile ou fixe, aux plateformes de médias sociaux, aux plateformes de messagerie, et bien sûr, aux plateformes de cloud.

Notons également qu'en vertu d'un droit international bien établi et complètement indépendant du Cloud Act, une entreprise est soumise à la juridiction des États-Unis si elle est américaine, bien sûr, mais également si elle entretient des contacts minimaux avec les États-Unis. En conséquence, une société non américaine sera aussi soumise au Cloud Act si elle a, par exemple, une succursale, un bureau, une filiale ou des employés sur le territoire américain. Le ministère de la justice a récemment fait remarquer que le fait d'avoir un site web qui vend à des clients américains, sans même avoir une présence sur le territoire américain, était probablement suffisant pour relever de la juridiction des États-Unis. M. Richard Downing, du département de la justice, a conclu qu'aujourd'hui la plupart des grands fournisseurs de cloud américains ou non américains étaient soumis à la juridiction des États-Unis.

En conclusion, comme vous le constatez, nous prenons le Cloud Act très au sérieux. Nous n'en faisons pas la promotion ; néanmoins, nous appliquons la loi, et nous devons à nos clients des explications et de la transparence. Toutefois, nous constatons qu'il provoque beaucoup de confusion. C'est pourquoi il me semble nécessaire de mener rapidement des négociations entre la France et les États-Unis, ou entre l'Europe et les États-Unis, afin d'établir un cadre juridique clair. C'est d'ailleurs ce qu'a déclaré M. Bruno Le Maire le 2 juillet dernier à Bruxelles.