Les révélations sur Facebook et Cambridge Analytica continuent de susciter des inquiétudes sur la vie privée. Au milieu de cette actualité, le gouvernement américain a discrètement adopté le CLOUD Act, une loi qui impacte profondément la protection des données à l'échelle mondiale.
Le CLOUD Act supprime les protections pour les données stockées à l'étranger, autorisant les agences gouvernementales à les accéder quel que soit leur lieu de stockage. Il modifie aussi fondamentalement l'accès des forces de l'ordre aux données détenues par des entreprises privées comme Facebook ou Google.
Qu'est-ce que le CLOUD Act et en quoi affecte-t-il votre vie privée ?
Adopté sans débat public majeur, le CLOUD Act a été glissé dans un projet de loi de finances de 1 300 milliards de dollars. Cette manœuvre a limité sa visibilité, laissant de nombreux citoyens dans l'ignorance de ses implications sur la confidentialité des données.
Le Clarifying Lawful Overseas Use of Data (CLOUD) Act met à jour l'Electronic Communications Privacy Act (ECPA) de 1986, inadapté aux réalités numériques actuelles. À l'époque, l'Internet naissant comptait seulement quelques milliers de systèmes connectés.
Voici les points clés pour comprendre cette réforme législative.
Les forces de l'ordre peuvent exiger des données indépendamment de leur localisation. Les fournisseurs ne peuvent refuser sur ce motif.
"Un fournisseur de services de communication électronique ou de services informatiques à distance doit se conformer [...] indépendamment du fait que cette communication, cet enregistrement ou toute autre information se trouve à l'intérieur ou à l'extérieur des États-Unis."
Auparavant, les demandes impliquaient un traité d'entraide judiciaire (MLAT), approuvé par le Sénat à une majorité des deux tiers. Le CLOUD Act autorise des accords exécutifs bilatéraux, contournant ces procédures.
Exemple : en 2013, le Département de la Justice (DOJ) a réclamé à Microsoft des données d'un utilisateur irlandais stockées en Irlande. L'affaire, portée devant la Cour suprême, est devenue obsolète avec le CLOUD Act.
Le CLOUD Act fonctionne dans les deux sens : les forces de l'ordre étrangères peuvent accéder aux données sur le sol américain, et vice versa.
Neema Singh Guiliani de l'ACLU note que cela permet à des pays d'espionner des communications impliquant des Américains sans respecter les normes de la loi sur les écoutes. Cela concerne Facebook, Google, Snapchat, etc. (Consultez notre guide de confidentialité Facebook.)
Exemple hypothétique inspiré de l'EFF :
Certaines limites existent :
Ces règles sont difficiles à appliquer. Un rapport au Congrès est requis pour justifier les accords.
Les procédures MLAT pouvaient prendre des mois. Le CLOUD Act les accélère, aidant potentiellement à résoudre ou prévenir des crimes plus vite.
Les fournisseurs peuvent contester uniquement si : 1) la personne n'est pas américaine, et 2) la divulgation viole la loi de leur pays.
Les entreprises ont 14 jours pour contester, menant à une médiation judiciaire.
Les accords ne peuvent forcer le déchiffrement. Les pays partenaires doivent offrir des protections solides : vie privée, procès équitable, liberté d'expression, etc.
Cependant, l'application dépend de la bonne foi des gouvernements.
Apple, Microsoft, Google et autres soutiennent le CLOUD Act pour sa clarté légale et ses mécanismes de protection des utilisateurs face aux conflits juridiques.
Critiqué par l'ACLU et l'EFF comme une menace irréversible, soutenu par les tech giants, le CLOUD Act marque un tournant. Adopté dans l'urgence pour éviter un shutdown gouvernemental, il mérite une attention accrue.
[]