Microsoft est condamné à livrer les emails de l’un de ses clients à la Justice américaine bien que ces données soient situées en Irlande. Appliqué aux fournisseurs de services de Cloud Computing, cela signifie qu’ils ne peuvent s’opposer à une saisie de leurs données clients en Europe de la part des autorités américaines. Microsoft a fait appel.
Microsoft a été condamné le 25 avril dernier à livrer à la justice américaine les emails de l’un de ses clients, hébergés à Dublin dans son centre de données Irlandais. La décision émane du juge James C. Francis IV de la cour du district Sud de New York (United States District Court Southern District of New York). Les sociétés internet doivent donc livrer les données de leurs clients, même si elles sont situées hors des Etats Unis.
Microsoft annonce qu’il s’y oppose
Microsoft a annoncé qu’il continuera à s’opposer à la livraison des données situées en Irlande. Et l’éditeur entend même transformer cette situation en opportunité. « C’est la première étape pour amener cette question devant des cours qui ont l’autorité de corriger les vues du gouvernement sur l’application des mandats de recherche sur des données stockées numériquement hors des Etats Unis » déclare David Howard, Corporate Vice President & Deputy General Counsel de Microsoft Microsoft, dans un billet de blog.
Le juge précise pour sa part que les mandats de recherche qui s’appliquent à du contenu en ligne sont gouvernés par la loi fédérale, selon le « Stored Communications Act ». Selon le juge, le mandat de recherche doit plutôt être traité comme une citation à comparaître appliquée aux documents, et toute personne citée à comparaître doit fournir les renseignements demandés, peu importe le lieu.
Toujours selon le juge, le gouvernement aurait du mal à mener ses efforts de répression s’il devait se coordonner avec les gouvernements locaux quand il désire obtenir des données des sociétés internet comme Google ou Microsoft, rapporte la BBC.
Appliquer à internet les règles du monde physique
« Le gouvernement américain ne peut pas émettre un mandat pour fouiller une maison à l’extérieur des Etats Unis, pas plus qu’il ne peut rechercher le contenu d’emails situés à l’étranger. Les règles du monde physique doivent s’appliquer au monde internet » a répliqué David Howard.
Microsoft avait essayé de s’opposer au mandat de recherche sur la base que l’information était stockée exclusivement sur des serveurs situés en dehors des Etats Unis. C’est plutôt un coup dur pour Microsoft qui s’était notamment employé à rassurer le public lors des récents Techdays, le 13 février dernier, en déclarant que dans ses Data Center de Dublin et d’Amsterdam « c’est le droit européen par principe qui s’applique. »
Noms, numéros de cartes de crédit et contenu des messages
Le juge pour sa part estime que les mandats pour les données en ligne diffèrent des autres mandats. Le mandat émis dans ce cas, recherchait des informations liées à un membre du service d’email public de Microsoft. Cela concerne les noms, les numéros de cartes de crédit, et tous les contenus des messages.
Une porte-parole de la commission européenne pour la Justice, Mina Andreeva, interviewée par la BBC, a estimé que « La position de la commission est que les données ne devraient pas être accédées ou transférées vers les autorités américaines en dehors des canaux formels autorisés de la coopération, dans le cadre de l’assistance judiciaire mutuelle, ou des accords sectoriels entre l’Europe et les Etats autorisant de tels transferts. »
Des exceptions sérieusement encadrées
Accéder par d’autres moyens aux données devrait être exclu, « à moins que cela ne se déroule dans des situations exceptionnelles, clairement définies et sous contrôle judiciaire. » a-t-elle poursuivi. La porte Parole conclut, « le parlement européen, a renforcé le principe selon lequel des sociétés qui opèrent en Europe doivent respecter les règles européennes de protection des données, même si elles sont situées aux Etats Unis. »
Coup de Gueule : « Les fournisseurs de Cloud doivent-ils vraiment livrer leurs données aux autorités ?»…
On lit vraiment un peu n’importe quoi sur ce sujet un peu partout ! Lire les faits et mon « Coup de Gueule » sur http://fb.me/6ycaHJENr
Il y en a marre !
– Si un juge doit rendre un jugement c’est que les Microsoft et les Google ont refusé de livrer ces données.
– Ces entreprises feront appel et gagneront en appel. Ne serait-ce que parce que les enjeux économiques sont trop importants pour les entreprises informatiques américaines.
– Ces entreprises informatiques ont des filiales dans des pays qui sont régies par les lois de ces pays. Ils se mettraient alors hors la loi dans ces pays.
– Si le FBI ou la DGSE veut obtenir des données sur vous, ils le feront très simplement sans avoir à demander aux fournisseurs informatiques. Un gamin a réussi en faisant de l’ingénierie sociale à craquer le mot de passe du compte Twitter de Barak Obama http://www.usinenouvelle.com/article/un-jeune-francais-a-pirate-le-compte-twitter-de-barack-obama.N128527 . Alors le FBI !
– Dans les faits les entreprises de chacun des pays coopèrent, avec les états. Voir par exemple ; http://www.lemonde.fr/international/article/2014/03/20/dgse-orange-des-liaisons-incestueuses_4386264_3210.html
– Les Internautes et les usagers n’appliquent pas les règles de base de sécurité. Leurs données sont facilement accessibles. La solution de type mot de passe est des plus simples à craquer ! Voir par exemple : http://fr.slideshare.net/AliceAndBob/lauthentification-forte-ou-vers-la-mort-du-mot-de-passe
– Si vous utilisez des logiciels Symantec, Microsoft, Apple, Google, Oracle, Adobe, etc… ou des matériels IBM, Dell, etc. on peut imaginer qu’ils ont mis des « backdoors » pour pouvoir accéder à toutes vos données. Il faudrait donc aussi arrêter d’utiliser ces solutions et revenir au bon vieux plan calcul ?
– Commençons par éduquer les Internautes et les usagers aux règles de base : Utiliser un pare-feu à jour. Ne pas installer n’importe quel logiciel sur n’importe quel site. Utiliser des mots de passe robustes. Mettre à jour ses logiciels. Utiliser un antivirus à jour. Etc…
– En tant que professionnels de l’informatique arrêtons par exemple de proposer des solutions de type mot de passe aux usagers et adoptons des solutions de type certificat électronique pour l’authentification forte. http://fr.slideshare.net/AliceAndBob/accroitre-la-confiance-dans-les-personnes-et-les-machines-qui-se-connectent-votre-reseau-dentreprise , Etc…
Beaucoup de questions se posent en effet sur le cadre juridique et les exigences réglementaires de protection des données dans le cadre d’un hébergement dans le Cloud. Quel impact à la localisation des données, l’origine de l’hébergeur, etc. sur la confidentialité de vos données ? Quels engagements pouvez-vous attendre de votre hébergeur ?
Je vous invite à faire le point sur ces questions lors de notre prochain séminaire mardi 17 juin de 8h00 à 10h00 dans les Salons de la Maison des Arts et Métiers.
Pour vous inscrire (participation gratuite, places limitées) :
ww.auranext.com/invitation-seminaire-enjeux-et-risques-cloud.html