Cloud : la localisation des datacenters ne suffit pas contre la NSA

Datacenter Aruba

Un juge fédéral américain confirme que le gouvernement US peut bien exiger l’accès à des données quel que soit le lieu où elles sont stockées. Visé par ce mandat, Microsoft se dit prêt à engager une bataille sur ce point avec les autorités de la première économie mondiale.

Les fournisseurs américains de services Cloud se seraient bien passés de pareille confirmation. Ecornés pour leur participation aux programmes d’écoute de la NSA, les IBM, Microsoft et autre Google se sont défendus en réclamant plus de transparence au gouvernement américain et en mettant en avant la localisation des données. Autrement dit, les clients craignant l’espionnage économique peuvent héberger leurs données dans des datacenters à l’extérieur des États-Unis pour échapper aux grandes oreilles de l’Oncle Sam.

Manque de chance : cet argument est invalide. Comme l’a établi voici quelques jours un juge fédéral américain. En cas de demande explicite du gouvernement des États-Unis, un fournisseur de service doit transférer les données de ses clients, même si ces dernières sont stockées en dehors du territoire de la première économie mondiale. La décision de justice, une première sur ce sujet selon Reuters, fait suite à une réquisition de justice adressée à Microsoft, réquisition concernant des e-mails d’un des clients du premier éditeur mondial stockés sur un serveur à Dublin (Irlande). Une réquisition à laquelle le premier éditeur mondial s’était opposé, arguant du fait que la demande de la justice ne pouvait s’étendre hors du territoire américain.

Microsoft veut se battre

Une vision réfutée par la juge James Francis, déjà à l’origine de la demande transmise à Microsoft. Selon ce dernier, dans le monde numérique, une réquisition est assimilable à une assignation à laquelle une entreprise ne peut s’opposer, en raison d’un texte appelé le Stored Communications Act s’appliquant aux fournisseurs de service Internet.

Dans un billet posté sur son site par son directeur adjoint des affaires juridiques, Don Howard, Microsoft n’a pas tardé à réagir. Expliquant que cet échec était attendu et qu’il n’était qu’une première étape ; Microsoft étant déterminé à se battre devant la justice en allant, si besoin, jusqu’à la cour d’appel fédérale. « C’est un premier pas sur la route menant à des cours de justice ayant l’autorité de corriger la vision de longue date du gouvernement concernant l’application des mandats de perquisition à des contenus stockés en dehors des États-Unis », assure le juriste. Et d’expliquer que le modèle valable dans le monde ‘physique’ – basées sur des accords bilatéraux établissant les modalités d’assistance entre états – devrait s’étendre au monde virtuel.

En décembre dernier, le premier éditeur mondial avait déjà pris un certain nombre d’engagements vis-à-vis de ses clients. Dont celui de les informer en cas d’injonction du gouvernement américain visant leurs données. Ou encore celui de combattre juridiquement tout mandat visant des informations stockées hors des États-Unis. Depuis, Redmond a été imité par IBM, qui, dans une lettre à ses clients publiée en avril, s’engage lui aussi à poursuivre le gouvernement américain si celui-ci lui impose de garder le silence sur une réquisition de données.

L’industrie US du Cloud touchée au porte-monnaie

l’interprétation du Stored Communications Act par la justice US n’est pas une surprise. Ce texte va d’ailleurs dans le même sens que le Patriot Act, qui lui aussi prévoit des clauses d’extra-territorialité. Ce dernier prévoit ainsi que les autorités américaines peuvent accéder aux données stockées sur les serveurs de sociétés américaines (ou d’entreprises ayant de simples intérêts économiques outre-Atlantique). Et ce, quel que soit l’endroit où sont stockées ces données. Le tout sans que le ou les propriétaires de ces informations en soient informés.

Pour l’industrie IT américaine, la perte liée aux opérations d’espionnage effectuées par la NSA est estimée à 35 milliards de dollars d’ici 2016 par l’ITIF (Information Technology and Innovation Foundation). La part de marché « Cloud » réalisée par les grands noms US hors des États-Unis passerait de 80% en 2014 à 65% en 2016, voire à 55% dans le pire des scénarios. L’industrie américaine, qui maintiendrait tout de même sa domination mondiale, pourrait donc perdre jusqu’à 20 points de parts de marché à l’international au cours des 2 ans qui viennent.

Forrester Research va encore plus loin dans ses estimations. D’après la société d’études, le manque à gagner pour l’industrie IT américaine pourrait atteindre 180 milliards de dollars d’ici deux ans, soit 25% des revenus globaux de ladite industrie. Les clients étrangers mais aussi américains se détournant de fournisseurs IT américains pour l’hébergement web, le Cloud et l’infogérance…

En complément :

– Notre dossier : Tout sur l’arsenal secret des espions de la NSA