CLOUD Act & PATRIOT Act : tous les DSI des groupes français sont préoccupés
Le constat s'impose. Des témoignages de divers acteurs montrent que les grandes entreprises françaises ont bien pris conscience de l'impact du droit américain sur leurs outils cloud. Reste à préciser les parades.
« Cent pour cent des DSI du CAC 40 et du Top 100 français sont préoccupés par le CLOUD Act et le PATRIOT Act ». Ce constat sans ambiguïté a été fait la semaine dernière par Cédric Parent, Chief Marketing Officer d'Orange Cloud for Business lors d'un entretien avec le MagIT, en aparté d'un évènement d'OBS sur sa stratégie cloud.
Il tranche en tout cas avec l'attitude de certains éditeurs qui préfèrent ne pas communiquer sur le sujet.
La réponse de ces acteurs porte souvent sur la sécurité (la protection contre une attaque extérieure), alors que le CLOUD Act et le PATRIOT Act posent des questions de confidentialité (protection contre des indiscrétions des prestataires).
Une prise de conscience bien réelle en France
En France, OBS n'est pas le seul à constater cette prise de conscience. « Les demandes des entreprises françaises pour se protéger s’accélèrent », nous confirmait David Chassan, Chief Communications Officer de Outscale en août. « Il y a une véritable prise de conscience autour de la souveraineté de la donnée. Les entreprises savent qu’il ne suffit plus de dire que les données sont localisées en France, ou en Europe. »
« Il y a une véritable prise de conscience autour de la souveraineté de la donnée »
David Chassan, OUTSCALE
Idem, la semaine dernière, OVH s'est lui aussi exprimé sur le sujet (pour jouer la carte du cloud français, non soumis aux Acts) dans un billet. L'hébergeur français admet que le CLOUD Act est une « grande question » qui taraude « la plupart des clients et prospects d’OVH ».
OVH se félicite du CLOUD Act, pour mieux attirer le client
« Si je ne suis pas citoyen américain et que je confie mes données à la filiale européenne ou canadienne d’un hébergeur américain, les forces de l’ordre américaines, par exemple le FBI, peuvent-elles accéder à mes données ? », se demandent-ils.
OVH fait une réponse circonstanciée : oui elles peuvent... mais en théorie le CLOUD Act encadre plus les demandes et donnerait plus de possibilités de réactions aux prestataires.
Ceci étant, l'hébergeur prédit que les acteurs américains auront du mal à s'opposer aux requêtes.
« L’hébergeur peut essayer de le faire en vertu de dispositions qui sont précises et claires, mais uniquement applicables dans les pays qui ont signé un accord bilatéral avec les États-Unis. Or aujourd’hui aucun pays n’a signé de tel accord [...] Sinon, l’hébergeur peut s’appuyer sur le principe juridique traditionnel connu sous le nom de « comity » [mais] vous devriez compter sur votre hébergeur pour mener à bien la procédure… et sur le fait que le juge (américain) préfère l’argument de l’hébergeur à celui du FBI », écrit Adam Smith, Chief Legal Officer d'OVH.
Une fois que l'on retire le vernis diplomatique, le message est assez clair : les recours seront trop compliqués et leurs probabilités de succès bien faibles.
Les précautions de Cegid en avance de phase
La préoccupation semble en revanche se cantonner aux plus gros acteurs.
Chez Cegid, Sylvain Moussé nous confiait que les PME et les experts comptables n'auraient pas vraiment de réticences à mettre leurs données dans les clouds américains.
Pourtant, étant français Cegid a tout de même fortement communiqué sur son infrastructure SaaS, dans un datacenter d'IBM localisé dans le pays. Pour l'éditeur, les données comptables - critiques - ne pouvaient être migrées dans le cloud qu'à cette condition. Tout du moins le croyait-il.
Quelques temps plus tard, Cegid est également devenu revendeur d'Office 365 dans sa version « pur sucre », c'est à dire opérée à Dublin par Microsoft. Or cette offre - tout sauf souveraine - a connu un gros succès.
Même si ces clients se sentent peu concernés (aujourd'hui), Cegid prend ses précautions. Les données de ses utilisateurs sont chiffrées (ou en cours de chiffrement) sur les plateformes de ses deux partenaires IBM et Microsoft Azure.
Ses contrats sont de droits français. « Et personne avec un passeport américain ne travaille sur nos infrastructures », a imposé le CTO français, qui a décidé de prendre les devants avant que les clients ne le demandent.
Microsoft propose un cadre pour ne pas perdre de clients
Microsoft justement est à l'origine du CLOUD Act par le cas qu'il a porté jusque devant la Cour Suprême (un refus de fournir des données stockées sur ses serveurs irlandais). Dans un premier temps, l'éditeur a joué la même carte que Google.
Microsoft se réjouit - très prudemment - que le CLOUD Act pose les bases de possibles collaborations entre gouvernements (les « Executive agreements »).
« Ce texte clarifie les critères utilisés et laisse la possibilité d’avoir des accords bilatéraux entre États pour délimiter le périmètre des requêtes et l’accès aux données », a répondu Microsoft France au MagIT. « En cela, il s’agit d’un texte moderne qui vient faciliter et simplifier l’échange de preuves électroniques pour les autorités [...] ce texte apporte plus de transparence pour nos clients sur les critères utilisés et les actions de recours possibles ».
Mais depuis début septembre, le numéro un du logiciel confirme qu'il a aussi très bien entendu les inquiétudes que Google ne « saisit pas pleinement ».
Il appelle en effet clairement à ce que les lois et les accords respectent plusieurs principes de base pour assurer la confidentialité des clients et des personnes : droit d'être notifié dans le cas d'une demande (ce qu'interdit le PATRIOT Act et a priori dans la pratique le CLOUD Act aussi), demandes justifiées par des faits et contrôlées par des autorités indépendantes, possibilité de faire appel et de refuser les demandes pour les fournisseurs, droit de contrôler directement ses données pour les entreprises, droit d'informer le public sur les demandes globales (nombres, localisations, etc.).
« Nous continuerons d’aller en justice pour défendre les droits de nos clients lorsqu’ils sont violés par le gouvernement américain selon leur droit local »
Microsoft France
Mais le principe le plus significatif et critique est certainement celui où Microsoft appelle à ce que les accords internationaux (faits au sein du CLOUD Act) ne soient pas en contradiction avec les lois locales (comme le RGPD).
« Microsoft conserve un droit de s’opposer et de contester des requêtes lorsqu’elles seraient manifestement contraires à des lois locales », nous confirme Microsoft France. « Nous continuerons d’aller en justice pour défendre les droits de nos clients lorsqu’ils sont violés par le gouvernement américain selon leur droit local ».
Une adoption du cloud en sinusoïde
Cegid est lui-même client d'un gros acteur du SaaS américain : ServiceNow.
Le champion de l'ITSM dans le cloud - également fournisseur de Services de Relations Clients dans le cas de Cegid - a la parole très libre sur le CLOUD Act et sur le PATRIOT Act. Il prouve en tout cas que l'on peut être américain et prendre la problématique à bras le corps.
« Oui, nos clients nous posent la question depuis environ deux ans », admet sans ambages Matthieu de Montvallon, Directeur Technique France de ServiceNow.
Nos clients nous posent la question depuis environ deux ans
Matthieu de Montvallon, ServiceNow France
Pour lui, l'adoption du SaaS suit une courbe sinusoïdale. « Il y a 7 ans, quand nous sommes arrivés en France, le cloud n'était pas mûr. Puis Salesforce est arrivé dans le CRM et a ouvert les portes. Vendre du SaaS est devenu d'un coup beaucoup plus facile. Esnuite les entreprises ont commencé à voir les contraintes du cloud (NDR : dépendance au réseau, réversibilité des données pas assurée, coûts à long terme souvent plus élevé que sur site, etc.). Dans un quatrième temps, les atouts du cloud (NDR : flexibilité, rapidité de déploiement, pas de barrière à l'entrée, etc.) ont séduit à nouveau les entreprises. Et depuis la Loi de Programmation Militaire, il y a deux ans, tous les DSI des grands groupes se posent les questions de confidentialité [et de souveraineté] ».
Bien que les données ITSM ne soient pas les plus critiques, ServiceNow permet, pour qui le souhaite, de gérer ses clefs de chiffrement, un déploiement indépendant chez un partenaire (sur OBS opéré par OBS par exemple) voire d'avoir le logiciel sur site « même si ce n'est pas notre Business Model ». Beaucoup d'acteurs qui manipulent de la donnée plus critique n'ont pas cet éventail de réponses, ou ne nous ont pas répondu.
Google minimise
Google par exemple, nous a fait savoir qu'il ne souhaitait pas répondre à nos questions sur les options (techniques et légales) qu'il peut proposer pour rassurer ses clients face à ces lois américaines, « car nous n'avons pas saisi pleinement à quelle inquiétude vous faites référence » (sic).
Il nous a ensuite renvoyé vers un billet de blog qui, par un savant tour de passe-passe, fait du CLOUD Act une évolution législative entièrement bénéfique pour les acteurs du IaaS, du PaaS et du SaaS.
Le CLOUD Act y est décrit comme « un progrès majeur », qui « modernise la Electronic Communications Privacy Act, vieille de plusieurs décennies ».
Pour Urs Hölzle, SVP Technical Infrastructure de Google, « il est important que la loi reflète une compréhension des innovations technologiques et du fonctionnement des systèmes distribués modernes ». D'où la non pertinence de conditionner des requêtes légales à la localisation géographique des données.
Dans cette vision purement technique, Urs Hölzle procède ensuite à une totale inversion des problématiques pour les Européens : « il est important que les solutions législatives n'utilisent pas la localisation des données pour déterminer si un pays particulier peut exercer sa juridiction sur un fournisseur de services ».
Indépendamment de ces Acts, Google est au coeur d'un autre exemple très symptomatique de la problématique de confidentialité dans les SaaS.
A nouveau, Google - qui tente par ailleurs de séduire les entreprises - a minimisé ces questions en ne donnant pas de réponse claire aux questions des sénateurs américains - comme le rapporte Reuters.
Une commission d'enquête a été lancée après un article du Wall Street Journal qui révélait en juillet que des développeurs d'extensions tierces pour Gmail - et les employés de leurs sociétés - pouvaient accéder aux mails des utilisateurs. Et surtout, que cette possibilité n'était pas clairement indiquée. Ce qui, au passage, rappelle que ces mails ne sont pas chiffrés au repos dans la version B2C de la messagerie, souvent utilisée dans le Shadow IT.
« Dérives potentielles » et solutions techniques
David Chassan, du IaaS français Outscale, partage l'analyse du CTO du champion américain de l'ITSM. « Les clients français et européens sont à la recherche d’un cloud souverain pour contrer les potentielles dérives qui pourraient être engendrées par le CLOUD Act ».
Le mot est lâché : « dérives ». Si OVH souligne les progrès d'une loi qui impose de passer par un juge, nombreux sont les clients qui craignent que le droit américain ne soit détourné de son objectif initial officiel.
La meilleure solution semble donc de se protéger légalement et techniquement. En sachant que certaines réponses communément citées - comme la localisation en France donc ou les contrats français - ne sont pas suffisantes. Aguerris à l'IT B2B et aux grands groupes, Microsoft assure en conclusion de son billet sur le CLOUD Act : «nous continuons d’offrir à nos clients de multiples alternatives pour stocker leurs données ». Une saine réaction tout comme celle du CTO d'AWS de tout chiffrer, tout le temps.
