Comme cela se fait dans tous les pays, le vendredi dernier, Donald Trump a signé un projet de loi sur les dépenses gouvernementales des États-Unis, après qu’il a été adopté par les deux chambres du Congrès. Toutefois, était jointe au projet de plus de 2000 pages une mesure législative sans rapport avec les dépenses du gouvernement américain : le CLOUD Act (Clarifying Lawful Overseas Use of Data Act).
Dévoilé début février par le Congrès américain, en tant que projet de loi bipartisan, le CLOUD Act vise à faciliter l’accès, par les forces de l’ordre, aux données stockées sur des serveurs à l’étranger. Il semble donc motivé par la volonté de trancher dans des cas comme celui qui oppose Microsoft au gouvernement fédéral américain. Dans cette affaire, qui a débuté en 2014, le département américain de la Justice (DoJ) a porté plainte contre Microsoft pour avoir refusé de fournir des informations sur des emails stockés sur des serveurs en Irlande. Le gouvernement fédéral a fait valoir que Microsoft devrait se conformer au mandat, en vertu du Stored Communications Act, mais Microsoft refuse de satisfaire à sa demande estimant que les mandats de perquisition US ne peuvent pas s’appliquer au-delà des frontières américaines.
Les géants de la technologie, y compris Microsoft, Apple, Facebook et Google, ont donc bien accueilli cette loi qu’ils considèrent comme « une solution logique pour gérer l’accès transfrontalier aux données ». D’après Brad Smith, le directeur juridique de Microsoft, le CLOUD Act « crée un cadre juridique moderne pour la manière dont les forces de l’ordre peuvent accéder aux données stockées au-delà des frontières » et « répond directement aux besoins des gouvernements étrangers frustrés par leur incapacité à enquêter sur les crimes dans leur propre pays. »
Pour les entreprises de la technologie, cette loi va encore un peu loin en essayant de les libérer de la pression d’introduire des portes dérobées dans leur chiffrement. En effet, le CLOUD Act « comprend également une déclaration forte sur l’importance d’empêcher les gouvernements d’utiliser la nouvelle loi pour exiger que les entreprises américaines créent des portes dérobées dans le chiffrement, une protection supplémentaire importante pour la vie privée », estime Brad Smith de Microsoft. On espère donc que cela mettra fin aux appels incessants du FBI à introduire des portes dérobées dans les produits et services des géants de la technologie. Mais, les implications pour les utilisateurs seraient désastreuses d’après les défenseurs de la vie privée.
Comme l’explique l’Electronic Frontier Foundation (EFF), le CLOUD Act est une loi de grande portée. En effet, la nouvelle loi prévoit explicitement que les forces de l’ordre US aient accès au contenu d’une communication électronique ou autres données concernant une personne sans se soucier du pays où vit cette personne ou de la localisation des données. Le CLOUD Act stipule également que le président américain peut conclure des « accords exécutifs » avec des gouvernements étrangers en vue de permettre à chaque gouvernement d’acquérir les données d’utilisateurs stockées dans l’autre pays, sans se conformer aux lois locales sur la protection des données personnelles. Cette loi a donc d’importantes répercussions sur la protection de la vie privée tant aux États-Unis qu’à l’étranger.
Sources : EFF