> Enjeux IT > Abandon de l’affaire Microsoft par la Cour suprême : une décision non sans conséquences pour les données

Abandon de l’affaire Microsoft par la Cour suprême : une décision non sans conséquences pour les données

Enjeux IT - Par iTPro.fr - Publié le 04 mai 2018
email

La Cour suprême des États-Unis a, enfin, délibéré dans l'affaire qui l’opposait à Microsoft concernant l’exploitation des données stockées en Irlande et a décidé de renoncer à ses poursuites. À première vue, cela semble positif, mais le contexte reste inquiétant en raison de l’adoption entre temps de la loi CLOUD (Clarifying Lawful Overseas Use of Data) autorisant l'accès aux données européennes. Alexis Boissinot, Directeur commercial Brainloop France revient sur le sujet.

Abandon de l’affaire Microsoft par la Cour suprême : une décision non sans conséquences pour les données

Le gouvernement américain a en effet entériné, le 23 mars dernier, de manière abrupte, la loi CLOUD visant à faciliter l’accès des États-Unis aux données stockées dans d’autres pays. Cependant, son approbation par les représentants du congrès est particulièrement intéressante du fait que celle-ci a été adoptée après avoir été ajoutée à la fin d’un projet de loi portant sur le budget.

Autrement dit, au lieu d’être complètement débattue, cette loi a été intégrée dans le processus législatif en ayant été dissimulée.

Contre toute attente, la loi CLOUD a été accueillie spontanément par les grandes entreprises américaines telles qu’Apple et Microsoft. Un comportement étrange quand on sait qu’ils avaient, durant ces derniers mois, vaillamment résisté aux demandes du gouvernement américain de transmettre des données.

La raison de cet assentiment est tout simplement intéressée, la loi CLOUD donne plus de sécurité juridique aux fournisseurs américains et signifie qu’ils ne sont plus pris entre les lois européennes et américaines. Un contexte qui pourrait évidemment leur épargner beaucoup de procès en Europe notamment.

 

Les conséquences de la loi CLOUD

L’un des piliers de la loi CLOUD est que celle-ci permet aux pays de partager des données sur la base d’accords bilatéraux. Aujourd’hui, de tels accord existent déjà entre les États-Unis et d’autres pays notamment avec le Traité d’assistance juridique mutuelle (MLAT) pour ne citer qu’un seul exemple. Cependant, la différence réside dans le fait qu’avec la loi CLOUD, les fournisseurs américains doivent dorénavant remettre des données concernant les citoyens américains même si celles-ci sont stockées sur des serveurs en dehors des États-Unis.

Or, il est indéniable qu’il existe aujourd’hui des différences culturelles fondamentales dans la façon dont les pays perçoivent la sécurité informatique et la protection des données, ce qui nuit fortement à la souveraineté des données régionales. Aux États-Unis, cela a commencé avec le PATRIOT Act, qui a permis aux autorités d’accéder aux données américaines sans avoir besoin d’un mandat légal. Cette emprise sur les données s’est poursuivie avec des programmes de surveillance comme Prism, puis s’est illustrée avec la pression exercée sur les fournisseurs américains (tels qu’Apple et Microsoft) afin que ceux-ci remettent des données, et pour finir il y a eu dernièrement la loi CLOUD. Cet état des lieux a été évidemment fait sans compter les autres cas individuels d’actes répréhensibles, tels que le récent exemple de Facebook.

La loi CLOUD a été légalisée d’une manière tellement inattendue qu’il sera intéressant de voir comment la situation va évoluer. Après tout, les manifestations publiques avaient permis d’aboutir à l’abandon du projet de loi de 2016 portant sur les portes dérobées et qui devait obliger les fabricants de terminaux américains à inclure cette fonctionnalité pour contourner le chiffrement.

 

Téléchargez gratuitement cette ressource

Comment contrer les menaces sophistiquées ?

Comment contrer les menaces sophistiquées ?

Votre réseau d'entreprise fait face à de profondes mutations en matière IT, à des comportements utilisateur à risque et à des menaces toujours plus sophistiquées (ransomware, vulnérabilités zero-day, attaques ciblées). Protéger votre réseau devient ainsi plus complexe. Pour faire simple, nous avons segmenté l'univers des menaces en trois profils : les menaces connues, celles qui sont inconnues et celles connues mais non divulguées...

Quel impact pour les entreprises européennes ?

Toutes les données partagées avec des entreprises et des citoyens américains et accessibles aux fournisseurs américains sont potentiellement concernées par la loi CLOUD. Cela comprend les courriels, ainsi que les informations sauvegardées sur des serveurs de fichiers.

Dans ce cadre strict, il est difficile d’imaginer l’impact que la loi aurait eu sur les accusations à l’encontre de Volkswagen et de Bosch dans l’affaire du « Dieselgate ».

Au vu de ce contexte contraignant pour la souveraineté des données, les entreprises travaillant avec des entreprises américaines vont devoir faire face à l’incertitude.

À plus long terme, les fournisseurs de logiciels américains devraient en subir les répercussions. Une problématique résolument sans fin pour les données.

Enjeux IT - Par iTPro.fr - Publié le 04 mai 2018