Le Patriot Act a été promulgué en 2001, après les attentats du 11 septembre. Ce texte est avant tout une combinaison de modifications de lois existantes, datant des années 1970 et 1980, visant à simplifier, pour le gouvernement des Etats-Unis, dans le cadre d’enquêtes pénales, les procédures de surveillance et d’accès aux données pour prévenir, détecter, et enquêter sur des actes terroristes.
Par exemple, avant le Patriot Act, si les autorités avaient besoin d’accéder à des données détenues par des fournisseurs de services de communication dans plusieurs Etats du pays, ils devaient obtenir des mandats de plusieurs juges. Le Patriot Act a limité ce besoin à l’obtention d’un mandat auprès d’un seul juge fédéral. Cette disposition a simplifié le processus d’enquête du gouvernement dans certains cas mais n’a pas changé le droit sous-jacent du gouvernement américain à accéder aux données dans le cadre des lois en vigueur et de la jurisprudence.
Le droit du gouvernement des Etats-Unis à accéder à ces données n’est pas le fruit du Patriot Act mais de lois et de jurisprudences vieilles de plusieurs décennies lui fournissant des pouvoirs extra-territoriaux dans certaines circonstances limitées. Il n’est pas aisé pour ce gouvernement d’accéder à des données; de nombreuses règles rendent le processus complexe. Un examen attentif de ces règles permet de minimiser les craintes relatives au Patriot Act et à ses implications pour les clients des fournisseurs américains de services Cloud.
Des règles strictes
Aux Etats-Unis, de nombreuses lois encadrent les circonstances et la manière selon lesquelles un enquêteur est susceptible de pouvoir accéder à des données, des informations, des documents ou des locaux privés. Au niveau fédéral, la règle de base est inscrite dans le 4ème amendement de la constitution américaine, qui protège des enquêtes et saisies abusives.
De nombreuses lois supplémentaires, telles que le Wiretap Act, le Stored Communications Act, le Pen Register Act, le Foreing Intelligence Surveillance Act, le Communications Assistance to Law Enforcement Act, et l’Economic Espionnage Act, définissent des règles spécifiques. On retrouve des dispositions comparables dans les lois des Etats. La plupart d’entre eux ont en effet des lois sur la surveillance et certains peuvent avoir des règles spécifiques pour encadrer l’utilisation de certaines technologies à des fins de surveillance, dont RFID.
Ces lois sont susceptibles de dépendre de la nature des données. Par exemple, le Wiretap Act concerne les données en transit, tandis que le Stored Communications Act vise lui celles qui sont stockées. Les dispositions sont différentes selon qu’il s’agit d’accéder à du contenu plutôt qu’à des détails de contenu (ex.: identité de l’émetteur, du destinataire, moment de l’appel ou de l’échange, etc.). La loi est même susceptible de distinguer si la personne sur laquelle concerne l’enquête est un citoyen américain ou un résident, ou encore un «agent d’une puissance étrangère», comme dans le Foreing Surveillance Act.
Toutes ces lois intègrent des règles et des pré-requis spécifiques qui être respectées et remplis pour que l’enquêteur – d’un Etat, ou fédéral – puisse se voir accordé l’accès à des données, des propriétés privées, ou des équipements où les données se trouvent. Dans la plupart des cas, l’enquêteur doit obtenir un mandat, un ordre de la cour, ou une commission rogatoire. Dans certains cas rares, il est possible d’accéder aux données sans cela. Mais ces circonstances sont spécifiquement identifiées dans les textes applicables et sont généralement associées à des situations exceptionnelles.
Le Stored Communications Act
Les règles du Stored Communications Act sont fréquemment utilisées dans le contexte de l’accès à des données stockées par un fournisseur de services Cloud. Edictée en 1986, cette loi encadre l’accès aux communications électroniques, orales ou câblées stockées (par opposition à des échanges en transit). Elle intègre des interdictions génériques contre l’accès à ces communications et des règles qui autorisent la divulgation de ces communications par les fournisseurs de services de communication électroniques. Ce texte contient également une exception autorisant le gouvernement à accéder à des données stockées par des fournisseurs de services de communications et de traitement de données. Elles sont très complexes et très détaillées.
Par exemple, le gouvernement peut obtenir l’accès à des contenus stockés depuis moins de 6 mois par un service de communications électroniques, après l’obtention d’un mandat. Mais les conditions d’obtention d’un mandat sont très contraignantes: l’officier de montrer qu’une «cause probable» existe, sur la base de son observation personnelle ou d’informations obtenues par ailleurs, afin de montrer que la preuve d’un crime est susceptible d’être trouvée grâce à l’autorisation demandée.
L’accès à la même information détenue par le même fournisseur de services pour plus de 180 jours est soumis à des pré-requis différents. Dans ce cas, une commission rogatoire ou un ordre de la cour est susceptible de suffire. Et l’obtention de ces éléments est moins encadré. Toutefois, si le gouvernement souhaite opter pour l’un ou l’autre, il doit au préalable en avertir l’abonnement ou le client de ce service. Si le gouvernement veut éviter de devoir se justifier, il doit obtenir un mandat.
Ce ne sont que quelques exemples de la complexité de ces règles, auxquels il convient d’ajouter de nombreuses exceptions et nuances. Par exemple, si les règles présentées plus haut s’appliquent aux contenus, elles ne concernent pas les détails de communication.
Des rapports annuels
La fourniture d’un mandat ou d’ordres donnant accès à des communications ou permettant leur interception est hautement contrôlée. Non seulement chaque enquêteur doit fournir des informations substantielles pour montrer que sa requête est justifiée, mais le juge qui lui donné son aval ou a rejeté la requête doit produire un rapport détaillé de sa décision au Bureau Administratif des Cours de Justice des Etats-Unis.
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Enfin un excellent article sur ce sujet qui évite de tomber dans les caricatures et anti-américanismes primaires.
En fait, le Patriot Act est surtout un probleme non pas pour les filiales americaines de societes francaises, mais pour les entreprises fournisseuses de cloud services americaines ayant de l'infrastructure sur le territoire europeen.
Si leur infrastructure leur appartient elle est soumise au USA PATRIOT (Uniting (and) Strengthening America (by) Providing Appropriate Tools Required (to) Intercept (and) Obstruct Terrorism) act. Ce qui veut dire qu'en cas de terrorisme suspecte (et ceci est tres flou et ouvert a interpretation) le gouvernement americain peut demander a acceder les donnees presentes sur cette infrastructure.
Le moyen de contourner serait que l'infrastructure appartienne a une societe europeenne, et que l'entreprise americaine n'en soit que l'utilisatrice…
Des cas ou le gouvernement americain a accede a des donnees privees d'entreprises francaises (et europeennes) pour perturber la concurrence normale existent et sont documentes. Par exemple entre Airbus Industries et Boeing lors d'un appel d'offre il y a quelques decenies. Le gouvernement americain avait intercepte des offres commerciales d'Airbus et les avais transmis a Boeing ce qui a permit a Boeing de faire des offres plus interessantes sans pour autant etre trop penalisantes financierement pour eux. Cet exemple meme a ete utilise ensuite pour inciter en 1998 le gouvernement francais a liberaliser la crypto en France (je faisais partie du groupe de travail qui a conduit cette initiative).
Aujourd'hui, il suffirait que le gouvernement americain dise d'un client d'une entreprise francaise utilisant des services cloud de, par exemple, Google, que ce client est soupconne de blanchiment d'argent pour le terrorisme, pour que Google soit oblige de devoiler les informations de ce client hebergees sur leur infrastructure. Et ce sans prevenir le client en question.
Donc par exemple faire tourner le systeme de teledeclaration d'impots sur un cloud americain serait… problematique…
Evidemment, une facon de mitiger ce risque est d'utiliser des solution de cryptage en frontal de l'acces a du stockage en cloud. Mais ce n'est pas applicable a des problematiques de type compute server cloud. Juste au stockage.
Bref, le probleme reste present. Difficilement contournable pour tout. Mais facilement pour le stockage.
Ping : Cloud : Démystifier le Patriot Act - LeMagIT | Management de l'information | Scoop.it