Cloud Act et Cloud Microsoft en France

· par · dans Gouvernance, O365, RGPD. ·

Microsoft a dernièrement publié un Webinar sur son application du Cloud Act avec rien de moins que Mathieu Coulaud, Directeur Juridique France et Bernard Ourghanlian, Directeur Technique France. Une vidéo à voir absolument si vous êtes en lien avec les aspects juridiques de clients du Cloud Microsoft ou si vous vous intéressez au Cloud Act et cherchez à comprendre son impact. Pas de nouveauté, pas de nouvel outil ou fonction, mais des explications précieuses sur les conséquences de cette loi sur Microsoft et la manière dont les requêtes sont traitées ainsi que leur volume. Afin de bien comprendre ce qui y est dit, je vous propose un rappel du contexte dans lequel se place cette loi et une analyse des informations transmises par Microsoft ce qui devrait tempérer les affirmations alarmistes qu’on peut lire ou entendre ailleurs.

Cloud Act VS Patriot Act and Co.

Tout d’abord, il convient de recadrer la portée du Cloud Act. Ce dernier n’a rien à voir avec le Patriot Act (aka Freedom Act) qui autorise les USA à accéder aux données passant par leur territoire. Cela explique entre autre pourquoi il est important de bien choisir où on crée ses tenants Office 365 et l’intérêt du « multi geo » qui permet de gérer plus finement la localisation des données d’Office 365.

Et le Cloud Act n’a encore rien à voir avec les programmes d’espionnage de masse américain tels PRISM révélés notamment par Edward Snowden.

Le Cloud Act, qui sera présenté plus loin, s’applique uniquement dans le cadre d’enquêtes menées par le département de justice américaine (le Department of Justice, aka DoJ).

Contexte géopolitique

Le Cloud Act a été particulièrement décrié par le rapport parlementaire, dit « rapport Gauvin », sorti en Juin 2019. Ce dernier porte sur la souveraineté de la France et de l’Europe et les lois à portées extraterritoriales. On parle de loi extraterritoriale quand une loi s’applique en dehors de son pays d’origine, comme c’est le cas du RGPD qui s’applique à toute entreprise dès lors qu’elle manipule les données personnelles d’un citoyen européen. Le rapport voit dans le Cloud Act un outil aux mains de l’état américain dans l’application de ses propres lois extraterritoriales.

Deux cas de lois extraterritoriales américaines y sont visés :

Les affaires de corruption

Depuis 1977 le FCPA (Foreign Corrupt Practices Act) interdit aux entreprises américaines d’avoir recours à la corruption directe, qui sert depuis toujours à faciliter l’obtention de nouveaux marchés. Cela induit alors un biais concurrentiel avec les entreprises européennes qui pouvaient encore avoir recours à ces pratiques.

En 1997, l’OCDE établi à son tour la Convention de l’OCDE contre la corruption qui est ratifiée par la France en 1997 et publiée en 2000. Le problème est que la France ne poursuit et ne condamne quasiment pas ces affaires. A tel point qu’en 2016, même un rapport parlementaire constate que « [l’]application [des lois relatives à la lutte contre la corruption] par le système judiciaire français apparaît lente et limitée ».

Outre Atlantique, à partir 1998 le FCPA américain est modifié pour devenir extraterritorial dès lors qu’il y a un lien entre l’entreprise et les USA. La chose monte encore d’un cran après les attentats du World Trade Center, les USA considérant que la lutte contre le blanchiment ou la corruption fait partie intégrante de la lutte contre le terrorisme. La France ne mettant pas en application ses engagements, cela offre aux USA une ouverture pour directement attaquer les entreprises étrangères suspectées relevant du droit américain.

Certains commentateurs décrient l’asymétrie des condamnations entre les entreprises américaines et non américaines. Il faut dire que les entreprises étrangères représentent 35% des poursuites et quand on regarde le top 10 des condamnations, on trouve seulement 2 sociétés américaines. La France est particulièrement concernée avec Alcatel (137M$ en 2010), Technip (296M$ en 2010), Total (398M$ en 2013), Société Générale (568M$ en 2018) et Alstom (incarcération d’un cadre français pendant 2 ans aux USA, 772M€ en 2014 et de possibles influences son rachat par General Electrics).

Les embargos américains

Les USA utilisent l’embargo comme outil pour peser dans les relations avec les autres nations, n’hésitant pas à les décréter de manière unilatérale. Les USA attendent de leurs partenaires qu’ils appliquent ces embargos même lorsqu’ils ne sont pas validés par l’ONU. C’était le cas de l’Iran et du Soudan et cela a donné lieu il y a quelques années à un procès contre BNP Paribas qui s’est soldé par un accord d’un montant record de 8,9 Milliards de dollars. Ici, point de corruption ni FCPA mais seulement du commerce avec des pays sous embargo. C’est le seul procès de ce type à ce jour, mais son impact médiatique fut retentissant par le montant des sommes et par l’argument utilisé à l’époque de faire valoir le droit américain car des transactions avaient été faites en dollars.

Le Cloud Act et son histoire

Avant le Cloud Act, il était déjà possible pour la justice américaine de faire des requêtes sur les données d’entreprises étrangères dans le cadre du SCA (Stored Communication Act) américain qui passait alors par les accords bilatéraux d’assistance judiciaire entre les pays (MLAT) illustrés ci-dessous.

En 2013, dans le cadre d’une enquête criminelle pour trafic de drogue, le DoJ demande sur la base du SCA à Microsoft d’accéder aux mails d’un Irlandais dont la boite aux lettres était hébergée sur le Cloud Microsoft en Irlande. Microsoft refuse au nom de la vie privée et de la souveraineté de l’Irlande et va devant les tribunaux. C’est le « NY Warrent Case » évoqué dans la vidéo. L’affaire prend une ampleur considérable et Microsoft, en fer de lance de la protection des données,  trouve de nombreux appuis dans la société civile, les médias, le gouvernement Irlandais ainsi que des entreprises du secteur IT telles qu’Amazon, Salesforce ou Apple (voir la liste des signataires où certains brillent par leur absence). Microsoft ira ainsi 4 fois devant les tribunaux et jusqu’à la cour Suprême des Etats-Unis qui conclue en 2018 que c’est au législateur de trancher.

En mars 2018, dans la foulée du RGPD européen, les USA adoptent le Cloud Act (Clarifying Lawful Overseas Use of Data Act). Il change la procédure. Désormais, pour toute société soumise au droit américain, indépendamment de la localisation des données, un procureur (attorney) américain peut instruire une demande à faire valider auprès d’un juge américain qui émettra alors un mandat (warrant) directement auprès du fournisseur.

Il est possible au fournisseur de refuser de s’exécuter si les deux conditions suivantes sont réunies :

  • L’utilisateur n’est pas une « United States person » (voir plus bas)
  • La demande va à l’encontre de la législation locale.

Cela peut se faire dans le cadre d’une procédure de courtoisie (common-law comity analysis) qui statue en fonction :

  • De l’importance des information demandées
  • Du degré de spécificité de la requête
  • De la disponibilité de l’information sur le sol américain ou d’autres alternatives pour obtenir l’information
  • Des intérêts des autorités locales

Le Cloud Act ouvre aussi la porte à la mise en place d’accords bilatéraux clarifiant le processus de résolution des conflits avec une procédure sous 14 jours. Dans la mesure où il n’existe pas à ce jour d’accord entre l’Europe ou la France et les USA, cette seconde voie ne peut pas être utilisée. C’est par contre déjà le cas avec le Royaume Uni.

Il est important de noter aussi que le Cloud Act:

  • N’interdit pas de notifier les clients : c’est mentionné clairement dans le livre blanc émis par le DoJ mais suivant le type d’enquête, il se trouve que cela peut être requis.
  • N’oblige pas à déchiffrer les données ni donner les moyens de les décrypter

Pour aller plus loin sur les aspects juridiques, je vous invite à lire l’article de 2018 d’Emmanuelle Mignon, ancienne membre du Conseil d’État.

Pour qui s’applique le Cloud Act

Ce dernier s’applique uniquement aux “United States person” ce qui signifie :

« a citizen or national of the United States, an alien lawfully admitted for permanent residence, an unincorporated association a substantial number of members of which are citizens of the United States or aliens lawfully admitted for permanent residence, or a corporation that is incorporated in the United States. »

Pour ce qui est des entreprises, que ce soit pour le FCPA ou le Cloud Act, la notion est assez large. Le livre blanc du DoJ indique :

“Personal jurisdiction is most readily established when a company is located in the United States. Whether a foreign company located outside the United States but providing services in the United States has sufficient contacts with the United States to be subject to U.S. jurisdiction is a fact-specific inquiry turning on the nature, quantity, and quality of the company’s contacts with the United States. The more a company has purposefully directed its conduct into the United States, the more likely a court will find the company is subject to U.S. jurisdiction.”

Les cas passés montrent que cela englobe les cas où :

  • Une filiale américaine est impliquée dans les faits
  • Il y a eu utilisation du dollar dans les transactions (Affaire BNP Paribas)
  • Un volume conséquent d’affaires de la société passant par les USA
  • L’activité à un impact fort sur l’économie américaine

La position de Microsoft

Microsoft entend continuer à défendre les droits de ces clients et c’est une bonne chose.

Conscient que sans confiance de la part des clients, il n’y a pas de migration vers les Cloud possible, ils posent une stratégie articulée autour de 4 piliers :

  • Transparence
  • Respect de la vie privée
  • Conformité
  • Sécurité

Cela passe par des audits par des tiers extérieurs que vous pouvez consulter sur le portail Service Trust où vous trouverez aussi les rapports de tests de pénétration ou encore les livres blancs sur différents sujets liés à la conformité ou la sécurité.

De plus, Microsoft est à la pointe des fournisseurs Cloud en ce qui concerne la conformité des normes et règlements. C’est le cas par exemple du RGPD ou de l’hébergement de données de santé en France mais vous pouvez en retrouver la liste complète sur le site de Microsoft.

Enfin, Brad Smith, Président de Microsoft, Executive of the Year 2019 pour le Business Journal, ayant publié récemment « Tools and Weapons » et qui fut à la manœuvre de tous les grands procès de Microsoft, à commencer par celui pour Anti Trust, publie suite au Cloud Act les principes que Microsoft entend promouvoir auprés des états:

  • Le droit universel de notification : c’est-à-dire être toujours en mesure d’informer les clients des accès faits à leurs données
  • Autorisation judiciaire préalable indépendante et préservation minimale des faits requise : c’est-à-dire que, comme pour le Cloud Act, les requêtes doivent être justifiées, faits à l’appui, et validées par une autorité indépendante
  • Processus judiciaire spécifique et complet et motifs clairs de contestation : c’est-à-dire l’existence d’un processus judiciaire clair permettant de contester les demandes. Dans le cas du Cloud Act, ce n’est pas le cas des common-law comity analysis et Microsoft préfèrerait passer par les accords bilatéraux qui n’existent pas à ce jour entre les USA et l’Europe.
  • Mécanisme permettant de lever et résoudre les conflits de loi avec les pays tiers : c’est-à-dire un mécanisme de résolution des conflits avec les juridictions locales.
  • Moderniser les règles applicables à la recherche de données d’entreprises en permettant aux entreprises de répondre elle-même aux demandes des autorités
  • La transparence en permettant au public de savoir quand les gouvernements cherchent des preuves

Comment Microsoft gère les demandes

Premièrement, il apparait que Microsoft traite des demandes provenant des autorités depuis longtemps et que cela n’a pas attendu le Cloud Act.

Deuxième point, Microsoft annonce dans la vidéo qu’à la réception d’une demande émanant des autorités françaises (peut être une coquille ? On peut se demander ce qu’il en est des demandes américaines à moins que, contrairement à ce qui est annoncé, les demandes passent encore par la justice française) cette dernière passe d’abord par un cabinet d’avocat français extérieur pour l’analyse de la recevabilité de la demande.

Cela permet d’assurer une certaine indépendance dans le traitement et surtout d’assurer que les investigations des avocats seront couvertes par la confidentialité des échanges entre un avocat et son client, principe respecté en France comme aux Etats-Unis et qui ne peut être levé qu’à l’initiative du client.

Troisième point, Microsoft cherchera dès que possible à rediriger la requête directement vers le client.

Si la notification ou la redirection est interdite, Microsoft va chercher à chaque fois à défendre le cas. Et enfin, si le cas n’est pas défendable, elle s’exécutera. C’est décrit dans l' »Addendum sur la Protection des Données » (DPA de Janvier 2020 en annexe des Conditions de Vente) :

« Microsoft s’engage à ne pas divulguer de Données d’assistance et de conseil (NdA : Professional Services Data en VO) aux pouvoirs publics, à moins d’y être tenue par la loi. Dans l’hypothèse où les pouvoirs publics contacteraient Microsoft en vue d’obtenir des Données d’assistance et de conseil, Microsoft les invitera à adresser leur demande directement au Client. Si Microsoft est tenue par la loi de divulguer des Données d’assistance et de conseil aux pouvoirs publics, elle s’engage à en aviser le Client dans les meilleurs délais et à fournir un exemplaire de la demande, sauf interdiction légale.

Dès réception d’une demande de Données d’assistance et de conseil émanant d’un tiers, Microsoft en avisera le Client dans les meilleurs délais, sauf interdiction légale. Microsoft rejettera la demande sauf si la loi la contraint de l’accepter. Si la demande est valable, Microsoft s’efforcera de suggérer au tiers de demander directement les données au Client.

Microsoft ne fournira à aucun tiers : (a) un accès direct, indirect, général ou illimité aux Données d’assistance et de conseil ; (b) les clés de chiffrement utilisées pour sécuriser les Données d’assistance ou la capacité de déchiffrer un tel chiffrement ; ou (c) l’accès aux Données d’assistance et de conseil si Microsoft sait que ces données seront utilisées à d’autres fins que celles énoncées dans la demande du tiers. »

Microsoft annonce au passage que dans le cas de demandes de lutte anti-blanchiment, le client ne pourra pas être notifié. On peut dès lors se poser la question sur des cas de FCPA ou commerce avec un pays sous embargo américain.

Le plus important restant de savoir comment Microsoft peut défendre le conflit avec la législation locale dans le cadre d’un common-law comity analysis.

Dans la vidéo, il est fait mention du RGPD. En effet, ce dernier l’annonce clairement :

« toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international (…) »

Outre le RGPD évoqué dans la vidéo, on peut aussi mentionner :

Concernant la loi de blocage, suite au rapport Gauvin évoqué précédemment, un renforcement de la loi serait à attendre ce qui donnerait une arme supplémentaire à Microsoft pour défendre les données de ses clients.

Statistiques sur les demandes

Enfin, dans un soucis de transparence toujours, Microsoft publie depuis 2013 deux fois par an son Microsoft Transparency Report.

Ce dernier donne, par semestre et par pays, le nombre de demandes par type (civil, urgence, pénal) et par traitement :

  • Content : des données de contenus (mails, documents) ont été communiquées
  • Non-Content data : métadonnées / données de connexion
  • No data found : aucune donnée trouvée
  • Rejected : Microsoft est parvenu à bloquer la demande devant les tribunaux.

Il n’y a hélas pas de distinction entre les requêtes sur des services aux particuliers et ceux aux entreprises.

Ci-dessous, on voit par exemple qu’au premier semestre 2019, aucun contenu n’a été transmis aux autorités concernant des clients Français. Même en remontant tout l’historique, on voit que jamais ce ne fut le cas. La France n’est pourtant pas favorisée ; premier semestre 2019, les demandes furent très nombreuses (15% des demandes mondiales au pénal, en troisième position derrière les USA et l’Allemagne).

En fouillant dans les chiffres, on voit que sur Janvier-Juin 2019, en Europe, seuls le Luxembourg et les Pays Bas ont eu ce type de transfert.

Concernant la communication de contenus, cela représente au niveau mondial au premier semestre 2019 :

  • civil <2%
  • urgence <6%
  • pénal < 6% sachant que le pénal représente 98% des demandes, pour l’essentiel au Brésil, Luxembourg et les USA eux-mêmes.

Dans la vidéo, un focus est donné sur les demandes pour lesquelles les clients n’ont pas pu être prévenus. Sur Janvier-Juin 2019, on compte 4860 demandes de la part des USA, dont seulement 126 extraterritoriales ce qui a abouti à la communication des contenus d’une seule entreprise cliente située en Europe (mais toujours pas en France à fortiori vu les chiffres du Transparency Report).

La plupart des demandes concernant des clients individuels (Hotmail/Outlook/OneDrive personnel) et aboutissent généralement au transfert uniquement de métadonnées.

En regardant les chiffres sur la longueur, on observe une tendance baissière sur le fond. L’arrivée du Cloud Act ne semble pas avoir eu d’incidence forte sur les volumes de demandes même si ces derniers ont sensiblement augmenté au premier semestre 2019. Il conviendra de suivre ces chiffres sur la longueur pour voir si la tendance se confirme.

Pendant ce temps, chez les autres acteurs

Les autres acteurs majeurs du Cloud produisent aussi leur Transparency Report au rythme semestriel.

Même si faire des comparatifs en volumes de requêtes auraient peu de sens (cela tient du volume d’utilisateurs et de la nature de l’ensemble des services de chaque fournisseur), il est intéressant de comparer les proportions de requêtes aboutissant à une transmission de données aux autorités.

Sur le premier semestre 2019 au niveau monde, alors que Microsoft a transmis finalement dans seulement 58,78% des cas (5,38% de contenus, le reste seulement des métadonnées), on observe :

  • Chez Google, chez qui les volumes de demande sont en constante augmentation, cela atteint 73% des cas. On notera un pic à 79% pour la France au dernier semestre alors que la moyenne était plutôt à 62% ces dernières années.
  • Chez Facebook, c’est assez similaire. Des volumes en constante augmentation et une transmission est faite dans 73,6% des cas. Certains pays sont particulièrement exposés comme les Etats-Unis (88%) et le Royaume Uni (90%) alors que la France est à seulement 70%.
  • Apple est l’un des seuls à annoncer une baisse des volumes de demandes en 2019. Son taux de transfert est important (85% des cas niveau mondial et 69% pour la France)
  • Amazon, sur AWS, les mandats de recherche US sont dans des volumes très faibles et ont abouti dans 83,9% des cas. Aucune information sur la localisation des clients hélas.

Pour conclure

Tout d’abord, il faut saluer l’effort de transparence de Microsoft qui se livre là à un exercice délicat.

La bonne nouvelle, c’est qu’on voit bien qu’il n’y a pas de transfert systématique et que Microsoft cherche au maximum à défendre les droits de ses clients et apporte des éléments tangibles de transparence. Toute comparaison est à prendre avec précaution mais les taux de transfert sont nettement inférieurs à ceux des autres fournisseurs.

Concernant le volet légal, on observe qu’en France, l’arsenal législatif permet déjà de protéger dans une certaine mesure le transfert de contenus (zéro à ce jour chez Microsoft) mais des évolutions législatives sont attendues afin d’assurer cela.

Cela signifie aussi qu’il continue d’être important de stocker en France. Cela reste un premier niveau de protection même si cela ne protège pas totalement. Microsoft ne pourra en aucun cas bloquer les demandes d’accès pour des données stockées sur le territoire américain.

Pour les clients Azure, n’oubliez pas qu’il vous est possible dans bien des cas de chiffrer vos données par vos propres moyens ce qui offrira un niveau supplémentaire de protection.

Microsoft ne déroge pas à son cœur de métier et cherche aussi des solutions techniques à proposer. Des pistes sont évoquées dans la vidéo telles que le chiffrement homomorphe (voir le projet Open Source Microsoft SEAL par exemple) ou le Confidential computing.

Enfin, il faut noter l’arrivée en France en 2016 de la loi dite « Sapin 2 » qui entend réellement forcer les entreprises françaises à cesser leurs pratiques de corruption à l’étranger avec, entre autre, la mise ne place de l’AFA (Agence Française Anti-Corruption). Les effets se sont faits sentir récemment : sur un procés initié par le Royaume Uni, Airbus a été condamné conjointement par le PNF français, le SFO britannique et le DoJ américain et s’acquitte d’une amende de 3,6 Milliards d’euros, dont 2,1 milliards pour la France, 900M€ pour le Royaume Uni et 500M€ pour les USA.

Si cela se généralise, on peut espérer que les USA n’auront plus de motif d’appliquer leur FCPA ce qui devrait tarir en grande partie la source du problème. Et pour aller plus loin, peut-être anticipant la perte d’une source de revenu, Trump aurait demandé à réformer le FCPA afin de réautoriser les entreprises américaines à corrompre, de quoi faire disparaitre totalement la menace du FCPA du jour au lendemain.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.