Now Reading
Faut-il avoir peur du Patriot Act ?
0

Faut-il avoir peur du Patriot Act ?

by Cloud Guru14 juin 2012

 

Le Mag IT reprend cette semaine un article anglais de Françoise Gilbert, directeur exécutif du IT Law Group et conseiller juridique de la Cloud Security Alliance.
Cet article tente de répondre à une question souvent posée par les utilisateurs de solutions Cloud : faut-il craindre les dispositions du « Patriot act » ?

Depuis plusieurs mois, les acheteurs européens de services de Cloud Computing manifestent leur inquiétude à l’idée que le gouvernement des Etats-Unis pourrait être en mesure d’accéder aux données stockées sur les serveurs d’un fournisseur américain de services de Cloud Computing, outre Atlantique mais aussi ailleurs. Le Patriot Act serait la clé de cette capacité, sorte de baguette magique permettant au gouvernement américain d’accéder sans restriction à toutes les données, n’importe où, n’importe quand. En fait, l’impact réel du Patriot Act, dans ce contexte du Cloud Computing, est négligeable.

Le Patriot Act a été promulgué en 2001, après les attentats du 11 septembre. Ce texte est avant tout une combinaison de modifications de lois existantes, datant des années 1970 et 1980, visant à simplifier, pour le gouvernement des Etats-Unis, dans le cadre d’enquêtes pénales, les procédures de surveillance et d’accès aux données pour prévenir, détecter, et enquêter sur des actes terroristes. (…)

Le droit du gouvernement des Etats-Unis à accéder à ces données n’est pas le fruit du Patriot Act mais de lois et de jurisprudences vieilles de plusieurs décennies lui fournissant des pouvoirs extra-territoriaux dans certaines circonstances limitées. (…) Un examen attentif de ces règles permet de minimiser les craintes relatives au Patriot Act et à ses implications pour les clients des fournisseurs américains de services Cloud.

Des règles strictes

Aux Etats-Unis, de nombreuses lois encadrent les circonstances et la manière selon lesquelles un enquêteur est susceptible de pouvoir accéder à des données, des informations, des documents ou des locaux privés. Au niveau fédéral, la règle de base est inscrite dans le 4ème amendement de la constitution américaine, qui protège des enquêtes et saisies abusives.

De nombreuses lois supplémentaires, (…) définissent des règles spécifiques. On retrouve des dispositions comparables dans les lois des Etats. (…)

(…) Dans la plupart des cas, l’enquêteur doit obtenir un mandat, un ordre de la cour, ou une commission rogatoire. Dans certains cas rares, il est possible d’accéder aux données sans cela. Mais ces circonstances sont spécifiquement identifiées dans les textes applicables et sont généralement associées à des situations exceptionnelles.

Le Stored Communications Act

Les règles du Stored Communications Act sont fréquemment utilisées dans le contexte de l’accès à des données stockées par un fournisseur de services Cloud. Edictée en 1986, cette loi encadre l’accès aux communications électroniques, orales ou câblées stockées (par opposition à des échanges en transit). (…) Elles sont très complexes et très détaillées.

Par exemple, le gouvernement peut obtenir l’accès à des contenus stockés depuis moins de 6 mois par un service de communications électroniques, après l’obtention d’un mandat. Mais les conditions d’obtention d’un mandat sont très contraignantes(…)

L’accès à la même information détenue par le même fournisseur de services pour plus de 180 jours est soumis à des pré-requis différents. (…)

Ce ne sont que quelques exemples de la complexité de ces règles, auxquels il convient d’ajouter de nombreuses exceptions et nuances. Par exemple, si les règles présentées plus haut s’appliquent aux contenus, elles ne concernent pas les détails de communication.

Des rapports annuels

La fourniture d’un mandat ou d’ordres donnant accès à des communications ou permettant leur interception est hautement contrôlée. Non seulement chaque enquêteur doit fournir des informations substantielles pour montrer que sa requête est justifiée, mais le juge qui lui donné son aval ou a rejeté la requête doit produire un rapport détaillé de sa décision au Bureau Administratif des Cours de Justice des Etats-Unis.

De la même manière, le procureur qui a formulé une demande doit fournir un rapport au bureau administratif de la cour. (…)

Dès lors, les enquêtes ne sont pas lancées à la légère. Devoir préparer tant de rapports et de demandes est déjà, en soin, dissuasif. Qui plus est, chaque enquête est coûteuse. (…)

L’accès aux données à l’étranger

Que se passe-t-il lorsqu’une enquête nécessiterait l’accès à des données se trouvant dans un pays étranger ? Généralement, un procureur ou un enquêteur américain n’a pas le droit de conduire une enquête ou d’interroger un témoin à l’étranger. Dans la plupart des cas, l’aide des autorités locales est nécessaire. Pour cela, les nations ont conclu de longue date des accords bilatéraux ou multilatéraux de coopération sur certains sujets.

Par exemple, les Etats-Unis sont signataires de plusieurs traités d’assistance judiciaire réciproque à des fins de collecte et d’échange d’informations pour l’application du droit civil ou pénal. Ces traités sont nombreux dans les domaines des actions de police et de lutte contre l’évasion fiscale.

Qui plus est, les Etats-Unis sont signataires de la Convention du Conseil de l’Europe sur la cybercriminalité, ratifiée en 2007. Cette convention encadre la surveillance électronique, et l’échange de preuves liées à la criminalité informatique. (…)

Dans certains cas, les autorités peuvent demander à accéder à des informations détenues à l’étranger en consultant la filiale américaine d’une multinationale susceptible d’avoir accès ou de contrôler des documents et des informations recherchés. (…)

Protection de la vie privée

Il y a une opposition naturelle entre les demandes des autorités pour accéder à des données dans le cadre d’enquêtes criminelles, ou de la lutte contre le terrorisme et le trafic de drogues, et la protection des libertés individuelles des individus. Les lois qui encadrent l’accès des autorités aux données et communications ont été établies en essayant de maintenir un équilibre entre l’intérêt des individus et celui de la communauté. Mais également en reconnaissant que la sécurité nationale est plus importante que la vie privée. (…)

Alors que le Patriot Act et d’autres réglementations liées à l’accès des autorités aux données et communications aux Etats-Unis ont fait l’objet d’une grande attention, la plupart des pays disposent également de lois autorisant les enquêtes à des fins de sécurité nationale ou autre. Nous examinerons prochainement ces textes.

Pour en savoir plus :
> lire l’article complet du Mag IT (traduit de l’anglais)

{lang: 'fr'}
About The Author
Cloud Guru

Vous souhaitez réagir sur cet article ?