search Le média de ceux qui réinventent l'entreprise

Patriot Act et protection des données pour les services de partage de fichiers

Patriot Act et protection des données pour les services de partage de fichiers

Par Hugues de Maulmin

Mis à jour le 27 novembre 2020, publié initialement en 3 août 2018

Actualité dans le domaine du partage de fichiers : avec le RGPD qui réveille les Européens sur l’enjeu des données personnelles, qu’en est-il de la protection des moyens d’échange de données américains comme Dropbox, Google Drive, MS Azure, Amazon S3, etc. ?

Fiabilité des services américains

Si vous confiez vos données à Google Drive par exemple, que vous protégez son accès par une double authentification, vous pouvez être sûr de bénéficier d’une très haute protection, la sécurité de ces grands opérateurs est souvent au plus haut niveau mondial, tout comme les bonnes solutions Européennes.

L’écrasante position des autorités états-uniennes

Néanmoins, les sociétés américaines du web sont soumises aux exigences de leur gouvernement qui est réputé pour collecter à grande échelle les données passant par l’internet avec des objectifs de police, de défense et de renseignements économiques.

Le Washington Post a publié en 2010(1) que la NSA enregistrait quotidiennement 1,7 milliards de communications dans le monde. En 2013 les révélations d’Edward Snowden démontrent la collecte compulsive de données à une échelle démesurée. Qu’en est-il en 2018 et qu’en fait l’administration actuelle ?

Une législation controversée

Le USA Patriot Act, initialement limité dans le temps, oblige les opérateurs Internet à livrer des données ciblées. Avant tout, cette loi protège les opérateurs du net : en leur interdisant d’informer leurs clients de la possible intrusion dans leurs données et en interdisant toute poursuite judiciaire contre un opérateur ayant livré des données à l’état (sec. 225). En fait, c’est un vaste arsenal législatif(2) qui touche directement la question des données, comme le tout nouveau « Cloud Act » (2018) publié par l’administration actuelle, qui permet l’accès à des données hors USA sans que la personne visée soit informée, en totale opposition avec le RGPD(2) (Cloud Act sec.2713). Ou encore le « Foreign Intelligence Surveillance Act ».

Que craindre en tant que citoyen ordinaire ?

Nous pouvons méditer sur les relations entre les agences gouvernementales de renseignement et les Opérateurs Internet avec le procès intenté par le gouvernement américain contre Microsoft qui avait refusé de livrer des données stockées en Irlande. Procès qui s’est dénoué au profit de Microsoft(3) devant la cours suprême des USA, ceci avant la publication du Cloud Act qui donne désormais raison à l’État dans ce type de situation(2).

Concrètement, la possibilité que les documents et photos que nous transférons via les opérateurs américains soient copiés dans les bases de données gouvernementales américaines doit être prise en compte.

Les données de l’entreprise

« Bien que je ne suis pas réputé être un terroriste, puis-je transmettre, sans risque d’espionnage économique, des documents commerciaux ou techniques concernant ma société ? »

Et concernant le droit d'auteur et la propriété industrielle en phase de conception, il est essentiel de prévenir toute fuite pour garantir le respect des droits a posteriori.

Les données personnelles

« Si je partage la recette du clafoutis, ou la photo de mes enfants, est-ce bien grave si un collègue d’Edward Snowden les découvre ? »

L’accumulation titanesque des données fait que si demain un pouvoir autoritaire déclarait la guerre à tous les myopes, il n’aurait qu’un claquement de doigt à faire pour identifier tous les « coupables ». Voulons-nous, collectivement, courir ce type de risque en faisant l’autruche sur nos données personnelles(5) ?

En principe, le RGPD Européen est fait pour nous en protéger, en pratique les lois américaines actuelles ne préviennent pas ce risque(2).

Choisir son service de partage de données

Pour les Collectivités territoriales françaises, c’est simple « Toutes les données numériques produites par les collectivités territoriales relèvent du régime juridique des archives publiques et ne peuvent pas sortir du territoire douanier français. »(4)  

Cela concerne également les sociétés qui ont des relations avec les Collectivités.

Pour les entreprises, choisir une solution américaine doit être réfléchi avec toutes les cartes en main. Parce que l’Europe a mis en place une politique de protection de nos données et parce qu’elle ne dispose pas d’agences de renseignements numériques démesurées, le choix d’un service français ou Européen de partage de données écarte le risque d’intrusion gouvernementale.

Références consultables sur Internet :
(1) Dossier spécial du Washington post daté 19 juillet 2010 « Top secret America ». Extrait : "Every day, collection systems at the National Security Agency intercept and store 1.7 billion e-mails, phone calls and other types of communications."
(2)  Extraterritoriality Data Protection White Paper par Mathias Avocats July 2018. Extrait du site du Cabinet d’Avocats MATHIAS.
(3) zdnet.fr février 2018 « Microsoft : le cas irlandais devant la Cour suprême américaine » par Louis Adam.
(4) Note d'information n°2016/004 du 5 avril 2016 du directeur général des collectivités locales et le directeur chargé des Archives de France.
(5) Clubic.com 21 novembre 2013Vint Cerf, Google Chief Internet Evangelist déclare "La vie privée peut être considérée comme une anomalie"

Hugues de Maulmin

Hugues de Maulmin,

spécialiste en sécurité informatique et directeur du service J-Doc.com, solution française de partage sécurisé de documents.