LE SCANDALE PRISM ET LE CLOUD COMPUTING

Publié par le dans | Consulté 69 Fois

Le 6 juin 2013, le Washington Post rendait publique le programme de surveillance PRISM grâce aux informations classées top-secrètes de la National Security Agency obtenu grâce à Edward Snowden, un ancien informaticien de la NSA. Ces révélations s’inscrivent dans un contexte particulier entre les États-Unis et l’Europe qui vont mettre les données personnelles au cœur d’un débat idéologique. Ce scandale va affecter la politique et l’économie des univers numériques, notamment du cloud computing.

Un affrontement Idéologique entre l’Europe et les États-Unis

Dans le cadre de la lutte contre le terrorisme les atteintes aux droits fondamentaux sont nombreux. La question de la protection des données personnelles devient un enjeu de discussion entre l’Union Européenne et les États-Unis en raison de conceptions et de priorités différentes. La protection des données personnelles est érigé en droit fondamentale d’un coté de l’atlantique tandis qu’elle semble relégué au second plan de l’autre coté, en donnant la priorité à la lutte contre le terrorisme au nom de la sécurité.

L’affaire Snowden prend place dans un contexte international particulier. Des négociations sont actuellement en cour sur un accord de libre échange entre les États-Unis et l’Union Européenne. Mais surtout Viviane Reding, commissaire européenne à la justice a déposé en janvier 2012 un projet de règlement européen visant à améliorer la protection des données personnelles des Européens, le Data Regulation Protection (DPR). Ce projet a pour but de remplacer une réglementation hétérogène de protection des données personnelles en vigueur dans les 27 pays de l’Union Européenne par un règlement commun afin d’éviter le phénomène de forum shopping. Pour la Commission, un niveau élevé de protection des données est nécessaire pour permettre le fonctionnement du marché intérieur. Le projet de règlement comprend des dispositions spécifiques au cloud computing, notamment sur le champ d’application territorial du règlement. Un point actuellement souligné comme l’une des lacunes de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. L’affaire Snowden met en exergue l’inefficacité du système de Safe Harbour qui certifie les entreprises américaines pour permettre le traitement des données personnelles hors de l’Union Européenne étant en contradiction avec la législation américaine.

La CNIL a fait part de ses fortes inquiétudes au sujet de l’affaire PRISM. Elle estime que c’est un problème qui doit être traité à l’échelle européenne et encourage le projet de règlement européen en matière de protection des données personnelles. Mais elle redoute aussi l’existence de programmes similaires organisés par le gouvernement français.

Le projet de règlement européen a été soumis à un intense lobbying de la par des entreprises et des institutions américaines qui considèrent que la notion de données personnelles relève d’une logique purement commerciale. En fonction de la contrainte plus ou moins fortes des dispositions qui seront adoptées le flux des données numériques risquerait de ralentir ainsi que l’activité des géants du numérique qui base leur modèle économique sur les données. Afin de promouvoir leurs intérêts, ces multinationales ont mandaté des associations à Bruxelles pour enterrer, ralentir le texte ou le dénuer de sa substance. Plus de 4400 amendements à ce jour, dont des centaines copiés sur les propositions des lobbyistes ont été déposés contre le projet de règlement.

Le scandale PRISM a révélé que la National Security Agency avait eu accès à des données stockées dans le cloud d’entreprises américaines tel que Amazon, Google ou Microsoft. Cette information tend à décrédibiliser les lobbyistes et s’avère être un argument solide en faveur de la volonté d’un haut niveau de protection de l’Union Européenne pour la protection des données. Ce scandale pourrait ainsi accélérer l’adoption du règlement sur la protection des données personnelles.

L’impact économique du scandale PRISM sur le secteur du cloud computing.

Le cloud computing base son système sur la confiance et la concurrence sur ce marché fait de la sécurité et de la confidentialité des données des enjeux majeurs, que se soit sur le plan technique mais aussi sur le plan juridique. Il faut que les fournisseurs de cloud bénéficient d’une crédibilité forte pour que les clients acceptent de leurs confier leurs données. Dans ce secteur en expansion ils doivent conserver leurs clients mais aussi attirer de nouveaux clients. La question n’est pas de savoir s’il faut ou non revenir en arrière en retournant à des systèmes de stockages sédentaires coûteux et manquant de flexibilité mais de savoir à quel fournisseur de service confier ses données.

Daniel Castro, analyste à The information Technology & Innovation Foundation, s’est basé sur un sondage réalisé par la Cloud Security Alliance  pour prévoir une perte de 22 à 35 milliards de dollars pour les fournisseurs de cloud computing américain d’ici 2016. La part de marché des entreprises de cloud computing américaines en dehors des États-Unis pourrait donc passer de 85% à 65% en 2014. Les entreprises de cloud computing européennes pourraient ainsi drainer une partie de cette perte de marché. D’autant qu’elle bénéficie du soutient de l’Union Européenne en la matière qui considère le secteur du cloud computing comme une des 7 priorités du secteur numérique pour 2013-2014. La Commission européenne souhaite ainsi réduire l’exposition aux services américains et développer le cloud européen. Si les fournisseurs de cloud américains perdent une part important du marché à court terme ces effets seront démultiplié à long terme.

Une note de la commission Espace de liberté, de sécurité et de justice du Parlement européen avait souligné en 2012 que le régime juridique américain qui s’appliquait au cloud computing représentait une menace pour la souveraineté des données personnelles des européens. Le 20 septembre dernier cette même commission a publié une note sur « The US National Security Agency surveillance programmes (PRISM) and Foreign Intelligence Surveillance Act activities and their impact on EU citizens’ fundamental rights » en soulignant les risques engendrés par cette surveillance pour les citoyens non-américains.

Neelie Kroes, commissaire européenne aux affaires numériques, a exprimé l’importance de rétablir la confiance dans le cloud computing au vu de ses avantages. Elle considère le scandale PRISM comme un appel pour développer un cloud européen et une législation claire sur la sécurité des réseaux et de l’information. Netcraft a déjà observer une migration de sites web importante à la suite des révélations de Snowden. Au mois d’août 2013 près de 1,2 millions de sites sont passés à des sociétés d’hébergement allemandes avec meurs règles strictes sur la confidentialité des données et 803.000 sont passés à des sociétés d’hébergement canadienne. L’Europe doit s’efforcer de capter ces fuites pour renforcer ses propres programmes de cloud computing en s’appuyant règles claires de traitement des données. L’adoption du projet de règlement sur la protection des données personnelles prend dès lors une dimension économique nouvelle.

Sources :