[Web Obscur – Les Inrockuptibles – 19/04/2010]

Où sont mes données lorsque je les stocke en ligne sur Hotmail, Flickr ou Google Docs? J’avais abordé la question en février dernier, mais 2 affaires américaines sont venues souligner l’importance du problème.
Quand Google Docs mâche le travail du FBI
En août dernier, lors d’une enquête sur des spammeurs, le FBI a obtenu un mandat l’autorisant à exiger de Google de lui fournir tous les Google Docs d’un suspect (voir l’article de Wired). 10 jours après, Google leur a envoyé les documents, dont une feuille de calcul contenait plus de 3 millions d’adresses spammées. Sans le cloud computing, obtenir une telle pièce à conviction aurait pris des semaines, puisqu’il aurait fallu aller la chercher sur le disque dur du suspect. Et encore, il aurait pu tout avoir effacé.

Le mieux dans cette histoire: Le FBI n’avait même pas besoin de mandat. Une loi de 1986, le Stored Communications Act, autorise la police à accéder aux documents personnels stockés sur un serveur après un délai de 180 jours. Ce qui était sensé dans les années 1980 (lorsque les documents ne faisaient que transiter du serveur vers des ordinateurs distants) provoque un joli maelstrom à l’heure de l’informatique dans les nuages.

En utilisant cette loi surannée, un procureur général américain a voulu forcer Yahoo à transmettre des e-mails plus récents que 180 jours, sous prétexte que l’utilisateur les avait déjà lus (toujours chez Wired).

Cette demande a provoqué une levée de boucliers chez les défenseurs de la vie privée outre-Atlantique. Soutenu par Google et l’Electronic Frontier Foundation, Yahoo a tenu bon, empêchant ainsi les flics US de lire à loisir les e-mails d’une vaste majorité d’Américains.

Résultat, si vos données sont hébergées par un fournisseur basé aux Etats-Unis, ou même sur un serveur installé là-bas, la police n’a pas beaucoup d’obstacles à franchir pour y avoir accès.

En France, le règne du flou
En France, le statut des données stockées dans les nuages manque de clarté. La loi relative au secret des correspondances électroniques de 1991 dispose que la force publique ne peut mettre son nez dans vos mails que si la sécurité nationale est en cause (ou le grand banditisme, ou le terrorisme – le genre de choses qui a peu de chances de vous concerner). Et c’est le premier ministre qui doit autoriser et motiver l’autorisation d’espionner.

La loi sur la confiance dans l’économie numérique de 2004, qui devait éclaircir les choses, s’est bien gardée de trancher le débat. Elle définit l’e-mail mais en fait l’égal d’une lettre, ce que le conseil constitutionnel a confirmé par la suite. Pour les juges, les policiers et les citoyens, le message est clair: Débrouillez-vous !

Face à une loi aussi peu adaptée aux enquêtes ordinaires, c’est le flou qui domine. La distinction entre correspondance privée et professionnelle, par exemple, oscille depuis deux dizaines d’années. Un jugement de janvier 2010 semble dire que les emails envoyés depuis le lieu de travail ne relèvent pas de la correspondance privée. Il vient à l’encontre d’un jugement de 2001 qui disait exactement l’inverse, c’est-à-dire que toute correspondance électronique envoyée à un seul destinataire depuis une adresse protégée par mot de passe est privée. Jusqu’à ce que la cour de cassation tranche, les juges seront libres de se fonder sur l’une ou l’autre des décisions.

Quant aux moyens pour la force publique d’accéder aux mails, c’est encore plus drôle. En 2007 par exemple, un médecin isérois partageant par mail avec ses collègues ses réserves quant au bien fondé d’une mesure gouvernementale s’est vu convoquer chez le sous-préfet. Comment les e-mails se sont-ils retrouvés à la préfecture? Nul ne le sait.

Un cocktail de lois nationales
Alors, faut-il préférer une loi Américaine qui ne protège que modérément l’utilisateur ou une loi française qui hésite depuis 20 ans sur la démarche à adopter? Et quels services sont soumis à quelles lois?

Dans une décision d’avril 2008, le TGI de Paris a affirmé que les lois françaises ne s’appliquaient pas aux services hébergés aux Etats-Unis. Les juges ont débouté une française exigeant que Google efface ses interventions sur Google Groups. Même s’ils ont souligné que la loi de 1978, censée donner aux internautes un droit d’accès à leurs données, ne s’appliquait pas à une entreprise californienne, les attendus expliquaient aussi que la plaignante pouvait faire le travail elle-même, en effaçant les messages à la main. Encore une fois, tant que la Cour de Cassation ne s’est pas prononcée, nul ne sait à quoi s’en tenir.

Mais de toute façon, une décision de justice en France peut très bien être contredite par un jugement américain. Un article de Bloomberg recense la flopée de jugements internationaux n’ayant aboutis à rien, faute de coordination entre juges européens et américains.

Pour Stéphane Grégoire, chargé de mission au Forum des droits sur l’internet, que j’avais interviewé en février, la solution à ce méli-mélo juridique est d’unifier le droit du cloud computing au niveau mondial. Les sites globaux, comme Facebook, sont soumis à 130 lois nationales différentes. Impossible dans ces conditions de créer des services sur mesure pour respecter les législations locales.

Dans ce but, le groupe de travail G29, qui rassemble les 27 CNIL européennes, propose pour commencer d’unifier la notion de ‘données à caractère personnel’ (voir l’avis). En effet, les textes communautaires laissent aux 27 membres de l’Union une bonne marge de manœuvre pour décider de l’interprétation de ce terme.

Les législateurs les plus intéressés par le sujet, en Autriche, ont clarifié la situation en créant la catégorie des données indirectement personnelles, qui ne permettent pas en elles-mêmes d’identifier une personne (l’adresse IP, par exemple). A l’inverse, la cour suprême allemande a opté pour une approche de la question au bulldozer en février dernier, interdisant la sauvegarde de données liées aux appels téléphoniques et aux e-mails jusqu’à ce que le gouvernement revienne avec des amendements protégeant plus l’utilisateur.

Conclusion: Si vous voulez conserver un total contrôle sur vos données personnelles, ne stockez rien en ligne! Sinon, vous prenez un risque que vous ne pouvez pas évaluer.

http://blogs.lesinrocks.com/web-obscur/?p=98