pourquoi les offres Cloud de confiance seront certainly soumises au Cloud Act

Nouvelle claque pour le gouvernement français et sa stratégie très controversée de « Cloud de confiance ». Is it enough to possess a corporate seat in France or Europe and to cut all capitalistic ties with the United States to be protected against the Cloud Act, even when selling an offer based on American technologies? Non, tranche une étude realized par le bureau européen du cabinet d’avocats américain Greenberg Traurig LLP, pour le compte du ministère de la Justice et de la Sécurité des PaysBas, et rendue publique le 26 juillet dernier.

The Dutch government would like to know the Cloud Act, une legislation extra-territoriale adoptée en 2018 pour légaliser la collecte de données à l’étranger au nom de la protection des Etats Unis, s’applicait seulement aux entités américaines presentes en Europe, comme he le présente souvent, ou s’il pouvait oui ou non aussi toucher les entreprises 100% européennes, c’est-à-dire dont le siège social est situé dans l’Union européenne.

The Cloud Act can be applied to companies that sell American software

La réponse du cabinet américain Greenberg Trauring LTT -qu’on ne peut accuser de servir un agenda pro-européen- est très claire : « Les entités européennes peuvent être à la porté du Cloud Act, même si [elles] sont situateurs en dehors les Etats Unis », tranche le document en première page.

Les avocats précisent toutefois qu’il est possible pour les entreprises européennes de minimiser ce risque en établissant une “muraille de Chine” avec les Etats-Unis, notably en n’employant aucun Américain ou n’avoir aucun client américain. Ceux-ci peuvent être des chevaux de Troie pouvant justify une intervention au titre du Cloud Act.

Mais d’après les auteurs de l’étude, même ce bouclier anti-Cloud Act est insuffisante si l’entité utilise des technologies américaines. « Le Cloud Act peut acceder aux données via des sous-traitants/furnisseurs de matériel et de softwares, de/vers les providers de cloud »affirme le rapport.

Or, ce sera precisely le mode de fonctionnement de Bleu, coentreprise entre Orange et Capgemini, et de S3ns, détente par Thales. Bleu commercialisa under license les offres cloud logicielles de Microsoft Azure (notamment la suite Office 365), tandis que S3ns proposera celles de Google Cloud. Ces deux offres se presente comme souveraines : elles affirment qu’elles seront étanche au Cloud Act américain car le service sera hébergé par des datacenters situés en France, et sera commercialisé par une entreprise de droit français, coupé de tout lien capitalistique avec les Etats- Unis.

These precautions, accompanied by autres mesures de sécurité, are effectively sufficient for most companies. Mais probabilité pas pour Bleu et S3ns, car Microsoft et Google sont pour elles des providers de softwares dont elles commercialisent les services. Contacté par La Tribune, le cabinet Greenberg Trauring LTT confirme également qu’il suffit, d’après lui, de vendre des softwares américains, même si l’entreprise est française, pour tomber sous le coup du Cloud Act.

This deduction appears logical: dans l’économie numérique, l’hébergement des données n’est qu’une commodité. La valeur réside dans l’infrastructure logiciel qui fait tourner les clouds, ainsi que dans les logiciels qui usen les données. Pour justify l’application du Cloud Act à une entité étrangère comme Bleu ou S3ns, les Etats-Unis doivent montrer que celle-ci a « Sufficient de contacts avec les Etats-Unis », et pour de nombreux juridiques experts, la commercialization de technologies américaines sous license leur ofre une raison suffisante.

Une « muraille de Chine » en theorie possible mais extremely complexe et coûteuse

Le gouvernement français n’ayant pas demandé ou rendu publique une étude approfondie sur la porté reale du Cloud Act sur les futures solutions “Cloud de confiance”, les conclusions du rapport de Greenberg Trauring doivent être prises avec des tweezers.

La Tribune a donc demandé à d’autres avocats experts du droit du numérique, d’analyser la portée du Cloud Act sur les offres Cloud de confiance. « La seule possible pour Bleu et S3ns, c’est de cloisonner l’offre de telle façon à ce qu’il y ait pas d’accès possible à une personne sous jurisdiction américaine », explains Olivier Iteanu, avocat spécialiste du droit du numérique. « Cela signifie qu’il ne peut pas y avoir de clients américains et surtout, pas un seul employé américain dans la structure, sinon le Cloud Act s’applique », met-il en garde.

The lawyer recalls the genesis of the Cloud Act, après le scandale Snowden en 2013 qui a révélé au monde l’ampleur de la masse surveillance opérée par les services de renseignement américains, au nom de leur souveraineté nationale. « Les Etats-Unis ont besoin de legaliser les pratiques de surveillance de masse, de façon à ne pas soutrem les entreprises et les personnes qui coopèrent avec eux, à des actions judiciaires a posteriori. Ils ont donc prévue un très large éfann d’actions pour le Cloud Act. Il est mensonger de dire qu’il ne s’applique qu’aux entreprises américaines à l’étranger et pas aux entreprises locales ».

Sonia Cissé, avocate associate en droit des technologies au sein du cabinet Linklaters, affirme « partager l’analyse du cabinet Greenberg Trauring » sur le fait que « les offres Cloud de confiance peuvent être soumises au Cloud Act ». Elle insiste elle-aussi sur la necessité d’ériger une « muraille de Chine » pour se protéger au maximum des possibles intrusions américaines.

« En plus d’empêcher tout Américain, y compris pour du support technique ou de la sauvegarde de données, d’acceder à la platforme, il faudra mettre en place une totale ségrégation des données. The whole thing requires a cumul of measures très lourdes, complexes et extremely costeuses : c’est une muraille de Chine technique et organisationnelle, impliquant la governance even des structures ainsi que les ressources humaines et la communication entre entités, qu’il faudra mettre en place et surveiller en permanence », decline-t-elle, tout en pointant les « nombreuses zones de flou » qui demeurent encore du côté de l’organisation de Bleu et de S3ns.

Backdoors et loi FISA, les autres gros risques des offres « Cloud of trust »

Si le gouvernement, Bleu et S3ns se sont montrés très légers en affirmant avant même la création des offres Cloud de confiance qu’elles seront labellisées par l’Anssi -ce qui n’est pas garanti- et immune au Cloud Act en dépit d’ une analysis juridique approfondie, que dire des deux autres éléphants dans la pièce eux aussi magistralement ignorés : le risque accru de backdoors -logiciels espions infiltrés dans le code-, et celui d’une autre loi extraterritoriale américaine, FISA.

Ainsi, FISA – pour Foreign Intelligence Surveillance Act – s’applique only aux citoyens étrangers. Cette loi permet aux agences de renseignement américaines de demander aux providennières de cloud l’installation de dispositifs permanents qui permettent de scan toutes les données qu’ils gèrent en dehors des Etats Unis. Cette surveillance peut se faire avec du matériel d’inspection des paquets en profondeur (DPI), ou de manière invisible au niveau de l’infrastructure logicielle du cloud, c’est-à-dire en utilisant les providennières de la technologie. Or, Bleu et S3ns should not have pas avoir acces au code source softwares de Microsoft et de Google, qui sont leur secret industriel le plus précieux. Et même s’ils y avaient accès, encore faudrait-il qu’ils repèrent la porte dérobée imposee par les services de renseignement.

Ces portes dérobées, ou backdoors, peuvent aussi être illegales. C’est l’autre gros risque, pour les données des opérateurs d’importance vitale, d’utiliser des services étrangers. Or, les softwares de Microsoft et de Google sont bien connu des services américains de renseignement, et il est certainly more facile pour eux d’entrer dans un logiciels américain qu’ils connairent que dans une autre solution beneficiant des plus hauts niveaux de sécurité.

Cloud de confiance : « Nous offrirons le plus haut niveau de protection contre le Cloud Act » (Marc Darmon, Thales)