Les révélations massives de Facebook et de Cambridge Analytica continuent de fournir des nouvelles choquantes concernant votre vie privée. Mais au cours de ce cycle d'actualités dominé par Facebook, le gouvernement américain s'est faufilé dans une législation qui viole de manière drastique la vie privée dans le monde entier.
Le CLOUD Act élimine toute protection des données à l'étranger, permettant aux agences gouvernementales de choisir d'où elles prennent vos données. Cela modifie également fondamentalement la manière dont la police accède aux données détenues par des entreprises privées, comme Facebook, Google, etc.
Alors, qu'est-ce que le CLOUD Act et comment détruit-il votre vie privée ?
Le CLOUD Act a été adopté sans tambour ni trompette alors que les législateurs l'ont ajouté à la fin du projet de loi de dépenses gouvernementales incontournable de 1,3 billion de dollars. L'ajouter à la fin d'un autre énorme projet de loi a empêché le CLOUD Act de faire l'objet d'un débat sérieux, ce qui signifie qu'un nombre considérable de citoyens n'en ont même jamais entendu parler, et encore moins comprennent comment il modifie radicalement la confidentialité des données.
Le Clarifying Overseas Use of Data (CLOUD) Act est une série de lois permettant aux forces de l'ordre américaines d'accéder aux données stockées à l'étranger et vice versa. Il s'agit d'une mise à jour de l'Electronic Communications Privacy Act (ECPA), adoptée en 1986. Le gouvernement et de nombreuses entreprises technologiques estiment que ces lois sont mal adaptées aux communications numériques modernes. Et l'ECPA l'était probablement, étant donné qu'en 1986, il y avait entre 2 000 et 30 000 systèmes connectés au précurseur Internet ARPANET.
Alors, pourquoi un changement aussi radical de la législation passerait-il sous le radar ? Voici quelques faits et informations clés pour vous.
Les forces de l'ordre peuvent demander vos données, quel que soit leur emplacement de stockage. Les hébergeurs ne peuvent pas non plus refuser de fournir vos données sur cette base.
"Un fournisseur de service de communication électronique ou de service informatique à distance doit se conformer [...] indépendamment du fait que cette communication, cet enregistrement ou toute autre information se trouve à l'intérieur ou à l'extérieur des États-Unis."
Jusqu'à la semaine dernière, les demandes de données nécessitaient un traité d'entraide judiciaire (MLAT) avec un autre gouvernement. Le MLAT définit le partage de données entre les deux pays, y compris les types de données et le contexte d'une demande. Les MLAT doivent passer par le Sénat avec l'approbation des deux tiers.
Le CLOUD Act change cela, permettant au gouvernement d'établir des relations "exécutives" avec d'autres pays qui contournent la législation MLAT existante. Le résultat est que n'importe quelle agence peut demander à n'importe quelle entreprise technologique de transmettre les données des utilisateurs, quel que soit leur emplacement.
En 2013, le département américain de la Justice a délivré un mandat à Microsoft, leur demandant de remettre les données d'un client soupçonné d'activité illégale. Le client, cependant, était irlandais, vivant en Irlande, et ses données étaient stockées sur un serveur situé en... vous l'avez deviné, en Irlande. Microsoft a porté l'affaire jusqu'à la Cour suprême, arguant que le mandat du DOJ était excessif, car son client n'était pas citoyen américain.
Le CLOUD Act contourne toute cette situation, permettant au DOJ de demander les données, obligeant Microsoft à se conformer. En fait, le DOJ a demandé à la Cour Suprême de "réfuter" l'affaire, citant l'introduction de la nouvelle loi.
Tout comme le CLOUD Act permet aux forces de l'ordre américaines de collecter des données étrangères, il permet aux forces de police étrangères de faire de même. En fait, cela brouille encore plus les cartes (compte tenu de la vaste collecte de données dans le cadre de divers programmes d'agences gouvernementales).
Neema Singh Guiliani, conseil législatif de l'ACLU, confirme que le projet de loi permet "aux pays de mettre sur écoute le sol américain pour la première fois, y compris les conversations que des cibles étrangères peuvent avoir avec des personnes aux États-Unis, sans se conformer aux exigences de la loi sur les écoutes téléphoniques". Ces cibles de communication incluent Facebook, Google, Snapchat, les serveurs de messagerie privés, les conversations de messagerie instantanée et tout ce qui se trouve entre les deux. (Consultez notre guide de confidentialité Facebook.)
Voici un exemple de la façon dont cela pourrait fonctionner (paraphrasé à partir de l'article EFF lié):
Certaines dispositions du CLOUD Act visent cependant à mettre un terme à ce type de collecte de données. Par exemple, les actes suivants sont interdits :
Même avec ces dispositions, il est difficile de garantir l'utilisation correcte et l'application de ces règles. Une modification tardive du CLOUD Act oblige le procureur général des États-Unis à faire un rapport au Congrès justifiant l'utilisation d'un accord exécutif, offrant une autre disposition.
Tout en ouvrant presque tout le monde à une demande de données, le CLOUD Act accélère sans aucun doute le processus d'acquisition des données. Parfois, remplir une demande MLAT peut prendre des mois. Parfois, les données sont obsolètes ou inutiles au moment du traitement de la demande de données. Une réduction du temps de traitement des données pourrait permettre à la police de résoudre les crimes plus rapidement, voire d'en empêcher certains.
Le CLOUD Act a également une fenêtre d'appel extrêmement étroite pour les fournisseurs de contenu et de services. Il n'y a que deux dispositions dans le CLOUD Act permettant à une entreprise technologique de faire appel d'une demande de données.
Le "et" est assez significatif ici. Un appel devra répondre à ces deux critères avant même de voir le jour.
Le deuxième point est un enjeu majeur pour les entreprises technologiques. Les données ne restent pas toujours sur le sol américain. Dans de nombreux cas, il n'y entre jamais. Mais les entreprises technologiques sont désormais prises au milieu du gouvernement américain et de leurs pays hôtes étrangers. En tant que telles, les entreprises technologiques ont des dispositions dans le CLOUD Act pour fermer toute demande qui les compromettrait, tant que l'entreprise fait appel dans les 14 jours.
Mais même alors, la demande n'est pas morte. L'entreprise technologique et le gouvernement américain entrent dans un processus de courtoisie complexe par lequel un tribunal établit un équilibre entre les exigences du gouvernement en matière de données et l'acte criminel perturbateur/enfreignant la loi imposé à l'entreprise technologique.
Le CLOUD Act permet la collecte de données à partir d'une vaste gamme de services. Mais, dans une légère aubaine pour les droits à la vie privée, les accords exécutifs ne peuvent obliger aucun gouvernement à décrypter les données. Dans certains cas, le décryptage des données est extrêmement difficile, et le gouvernement ne perdrait probablement pas de temps sur ces sources de données (telles que WhatsApp ou Telegram).
Une révision du libellé du CLOUD Act oblige le secrétaire d'État et le procureur général des États-Unis à s'assurer que tout pays concluant un accord exécutif "offre de solides protections substantielles et procédurales pour la vie privée et les libertés civiles". Cet aspect tente de protéger les droits des citoyens américains des conséquences de la loi, notamment :
Cependant, les sceptiques souligneront que si ces dispositions « protègent » les libertés civiles, il existe déjà de nombreux exemples d'autres agences gouvernementales (pas seulement aux États-Unis) qui enfreignent ces règles. Alors, que dire de l'une ou l'autre des dispositions, dans cette section ou ailleurs, protégera les citoyens d'une collecte de données ultérieure ? La réponse est simple :vous devez faire confiance aux forces de l'ordre et au gouvernement pour faire ce qu'il faut.
Le CLOUD Act bénéficie du soutien de nombreuses grandes entreprises technologiques. La loi elle-même crée une ligne claire entre la manière dont le gouvernement américain et les gouvernements étrangers peuvent accéder aux données, à la fois sur le territoire national et à l'étranger.
Une lettre signée par Apple, Microsoft, Google, Facebook et Oauth indique que le CLOUD Act "encourage le dialogue diplomatique, mais donne également au secteur technologique deux droits statutaires distincts pour protéger les consommateurs et résoudre les conflits de droit s'ils surviennent. La législation prévoit des mécanismes pour informer les gouvernements étrangers lorsqu'une demande légale implique leurs résidents, et pour lancer une contestation judiciaire directe si nécessaire."
Ces entreprises ont longtemps fait pression pour que la clarté soit inscrite dans la loi, en particulier compte tenu des lois obsolètes précédemment en place. Et, si vous prenez du recul par rapport aux problèmes de confidentialité omniprésents, cela a du sens, tant pour les consommateurs que pour les entreprises technologiques.
Le CLOUD Act démolit-il complètement votre vie privée ? Eh bien, cela dépend de ce que vous lisez. De plus, cela dépend à qui vous faites confiance.
L'ACLU, l'EFF et la Freedom of the Press Foundation s'opposent vivement au CLOUD Act. Ils soutiennent qu'il s'agit d'une étape dangereuse, essentiellement irrévocable, vers une insécurité permanente des données. De plus, l'ACLU et l'EFF notent que malgré la portée mondiale de cette loi, elle "n'a jamais reçu l'attention qu'elle méritait au Congrès".
Le CLOUD Act représente un changement radical dans la confidentialité des données aux États-Unis. Il a été balayé avec un projet de loi de dépenses qui devait passer de peur que le pays ne connaisse une nouvelle fermeture du gouvernement . Et vous n'y avez même pas jeté un coup d'œil.
