Now Reading
Les dangers de la loi américaine FISAAA pour les données dans le Cloud
0

Les dangers de la loi américaine FISAAA pour les données dans le Cloud

by Cloud Guru11 février 2013

Caspar Bowden, co-auteur d’une récente étude du Parlement européen sur la loi FISAAA, s’explique sur le site 01 net. Selon lui, cette loi comporte des dangers pour les données hébergées dans le Cloud. Extraits :

Selon une récente étude du Parlement européen, la loi FISAAA (Foreign Intelligence Surveillance Act Amendments Act) permet aux services américains de puiser de manière large et automatique dans les infrastructures de cloud computing, à des fins d’espionnage.
L’un des co-auteurs de l’étude, Caspar Bowden, un défenseur indépendant des droits de la vie privée, nous explique pourquoi et comment une telle cybersurveillance peut être réalisée.

Les lois PATRIOT et FISAAA sont beaucoup plus longues et complexes que la plupart des lois européennes, et peu d’Européens  se sont donné la peine de les étudier avec attention. Les deux lois permettent à des agences de renseignement ou des services de police d’accéder à des données numériques. Pour résumer, PATRIOT permet aux services de polices de récupérer une quantité finie de données, qui doit être spécifiée. La nouveauté de FISAAA – et en particulier de l’article §1881a – est que cette loi 1) ne cible que les données situées en dehors des Etats-Unis et appartenant à des personnes non-américaines, 2) s’applique spécifiquement aux fournisseurs de services cloud (et pas seulement les opérateurs télécoms), et 3) supprime certaines contraintes qui empêchaient jusque-là de réaliser une cybersurveillance continue et de grande ampleur, et de récupérer tout type de données.
[…] Il y a deux choses que je trouve particulièrement étonnantes. Premièrement que personne n’a remarqué que le cadre d’application de FISAAA est passé de la simple écoute téléphonique à la surveillance des données dans les data center. Rien n’a été écrit là-dessus durant les quatre dernières années. Deuxièmement, tous les articles de presse qui parlaient de FISAAA 2008, expliquaient que cette loi représentait un danger pour les citoyens américains. Or, justement, FISAAA cible toute personne qui n’est PAS américaine – l’indice se trouve dans le mot « foreign » (étranger).

[…] l’Union européenne interdit le transfert de données personnelles en dehors de son territoire. […] C’est de la fiction juridique, car il existe des exceptions à la règle pour justifier des transferts de données et elles sont utilisées d’une manière douteuse. C’est le cas par exemple du Safe Harbor (un ensemble de principes de protection des données personnelles négociés entre les autorités américaines de la Commission européenne en 2001, ndlr) ou des contrats types européens pour la protection des données. Ils ne fournissent aucune protection contre PATRIOT ou FISAAA. Une nouvelle exception à l’interdiction des transferts de données vient d’apparaître. Elle est spécifique au cloud computing et particulièrement poussée la CNIL, pour une raison que j’ignore. Il s’agit des Règles interne d’entreprises (Binding Corporate Rules, BCR). L’idée est que l’infrastructure du fournisseur Cloud soit auditée au niveau de la sécurité par une société privée. Durant ce processus, beaucoup de documents vont être créés et, par la suite, les transferts de données seront automatiquement approuvés. Mais aucune société d’audit privée n’a le pouvoir de révéler officiellement des dispositifs de surveillance secrets, commandités par un autre pays dans le cadre de sa loi de sécurité nationale. D’ailleurs, les sociétés d’audit privées sont très gênées quand vous abordez ce sujet avec elles.
La position de la CNIL est qu’un tel dispositif ne doit pas exister, mais si c’est le cas, cela ne remet pas en cause les BCR, mais leur mise en application. Et puis de toute façon, ce serait plutôt à l’Etat de s’occuper de ce type d’affaires, pas la CNIL. D’ailleurs, si un membre du gouvernement américain ou un cadre du fournisseur Cloud se décidait à informer les autorités européennes sur l’existence d’un tel dispositif, il serait passible d’outrage au tribunal fédéral relatif au renseignement étranger (FISC, Foreign Intelligence Surveillance Court) et enfreindrait probablement la loi US Espionage Act, qui interdit la publication d’informations classées sur les méthodes de renseignement. […]

Pour en savoir plus :
> l’article complet sur 01.net

{lang: 'fr'}
About The Author
Cloud Guru

Vous souhaitez réagir sur cet article ?