Abonné
Signé en mars 2018, le Cloud Act renforce les possibilités de saisie par la justice américaine de données d’entreprises françaises stockées chez des filiales de groupes américains. Une menace qui concerne notamment le domaine agricole.
Pour stocker ou analyser vos données d’exploitation ou d’entreprise, « normalement, vous devriez faire confiance à AWS (Amazon), Google ou Microsoft. Mais l’État américain a des outils réglementaires extraterritoriaux », rappelle Servane Augier, directrice du développement d’Outscale. Cette filiale de Dassault Systèmes, consacrée au cloud computing, propose notamment ses services à la plateforme API-Agro.
Cette réglementation extraterritoriale, c’est notamment le « Cloud Act », qui est vu en France comme une menace réglementaire sérieuse pesant sur les données du pays. Signée en mars 2018 par Donald Trump après un vote express du Congrès, il permet à la justice américaine de réquisitionner, dans le cadre d’une enquête, les données d’utilisateurs de services fournis par des entreprises américaines, y compris si ces données ne sont pas stockées dans des serveurs aux États-Unis. « Le Cloud Act stipule que cette réquisition peut intervenir dans le cadre de recherche pour des “crimes sérieux”, donc plutôt dans le domaine du pénal, mais la notion n’a pas le même ressort en France et aux États-Unis », relève Servane Augier.
« Grande menace d’espionnage économique »
Passée un peu inaperçue l’année dernière, la signature du Cloud Act commence à créer de réelles inquiétudes en France. « Même si c’est pour des " crimes sérieux ", on peut y voir derrière une grande menace d’espionnage économique », ajoute Servane Augier pour qui la mesure implique « qu’il y a une menace permanente qui pèse sur la donnée que vous allez mettre chez des acteurs américains ».
Depuis le début de l’année s’amorce le début d’une réponse politique. Le ministre de l’Économie Bruno Le Maire a ainsi annoncé à l’Assemblée nationale le 16 janvier que le gouvernement travaillait « à un dispositif de protection des données stratégiques » des entreprises françaises, « afin qu’elles ne puissent pas être récupérées par l’administration ou la justice américaines sans que ces entreprises ne soient averties ». Après les élections du mois de mai, Bruxelles pourrait, quant à elle, ouvrir des négociations avec les autorités américaines sur le « Cloud Act », que certains voient comme une forme de réaction à l’adoption en Europe du RGPD.
Bruno Le Maire, qui a indiqué le 20 février dernier qu’il souhaitait faire de la France « la première terre d’accueil de data centers (centre de stockage de données, ndlr) en Europe », a par ailleurs reçu « les CEO (directeurs généraux) de l’ensemble des entreprises françaises de la filière numérique pour dire qu’il attendait que les Français se rassemblent pour créer une réponse consistante », précise Servane Augier. Le ministre pousse ainsi pour la création rapide d’une plateforme souveraine de stockage de données.
Restez au courant en temps réel !
Suivez des thématiques, des projets législatifs, des entreprises et des personnalités pour être notifié dès que nous publions un article.
Suivi
Suivre
Réquisitionner les données
Dans le domaine agricole, la question des effets possibles du « Cloud Act » se pose avec d’autant plus d’insistance que les acteurs américains sont déjà bien présents. Via ses différents clouds (Azure, Dynamics…), une entreprise comme Microsoft France travaille aussi bien avec des éditeurs de logiciels agricoles comme Isagri ou Smag, des coopératives agricoles comme Acolyance ou Cap Seine, le groupe In Vivo ou des châteaux viticoles.
Dès lors se pose la question de la position de l’entreprise en cas de réquisition de la justice américaine sur des données agricoles françaises. « Imaginez que demain en France nous autorisions la culture de plantes qui ne sont pas autorisées aux États-Unis, disons les coquelicots. L’administration américaine pourrait vous dire que c’est pénal, que comme ils enquêtent sur les cultures des plantes en question, ils peuvent demander à réquisitionner les données qui sont stockées par les producteurs de coquelicots dans le Berry sur le cloud Amazon ou Microsoft », met ainsi en garde Servane Augier.
« Imaginez que nous autorisions la culture de plantes qui ne sont pas autorisées aux États-Unis »
Protéger les algorithmes : plus dur en Chine qu’aux États-Unis
Dans le récent rapport américain sur la cybersécurité en agriculture (voir article précédent), les auteurs mentionnent les modèles (ou algorithmes) utilisés pour aider les agriculteurs, comme une potentielle menace, en ce qu’ils pourraient être de mauvaise qualité. Pour Philippe Stoop, directeur recherche et innovation chez ITK, les modèles doivent aussi et surtout être protégés, lorsqu’ils sont de très bonne qualité : « La protection des algorithmes est encore plus importante que celle des données, car c’est là qu’est la valeur la plus durable ». Sa société, spécialiste des modèles/algorithmes pour l’agriculture, est actuellement en négociation avec un des géants américains du numérique. Et le sujet de la protection des modèles d’ITK est sur la table : « Ils restent ouverts, au moins pour l’instant, à des partenariats dans lesquels les algorithmes de traitement ne sont pas installés sur leurs serveurs, ni même aux USA ». Pour Philippe Stoop, la situation est « plus complexe avec la Chine », qu’il identifie comme « un marché potentiel majeur », mais où « il est nécessaire d’avoir une offre complètement hébergée sur place, sans communication avec l’Internet global. »