Le cloud computing et le Patriot act des États-unis, perspective pour les entreprises canadiennes.

Le 26 mai dernier, le Congrès des États-Unis et le président Barack Obama ont endossé une extension de quatre ans à plusieurs articles de la USA Patriot Act. 

 

USA Patriot act est un acronyme pour Uniting and Strengthening America by Providing Appropriate Tools to Intercept and Obstruct Terrorism act (ci-après «Patriot Act»). 

 

Cette loi avait été adoptée en 2001 en réponse aux attaques du 11 septembre 2011 sur le World Trade Center, et avait pour but de mettre en place des mécanismes, entre autres, d'accès à de l'information dans le cadre de la guerre au terrorisme menée par les États-Unis. 

 

Principalement, le Patriot Act a élargi les possibilités d'obtention, de recoupement et de collecte d'information et de permettre un pouvoir accrue de surveillance par les instances de sécurité nationale des États-Unis et aussi de plusieurs autres agences régies par la US Foreign Intelligence Surveillance Act (loi américaine sur la surveillance des renseignements étrangers).

 

Notez que le présent texte n'est en aucun cas une analyse complète ou même partielle du Patriot Act, mais ne vise seulement qu'à mettre en lumière son application sur certains points qui touchent les entreprises canadiennes qui entreposent de l'information électronique aux États-Unis par le biais de service Cloud computing tel Google apps, iCloud, Drop box et autre. 

 

En effet, avec la popularité que représente l'expansion du «Cloud computing», de plus en plus d'entreprises entreposent leur information sur le nuage, plusieurs effectuent des copies de sauvegarde (backup) à l'externe (off site) et ces services sont souvent, voire principalement, hébergés sur des serveurs situés aux États-Unis, d'où l'importance de l'application du Patriot Act à l'encontre des entreprises situées au Canada.

 

Le droit applicable

 

L'article 215 du Patriot Act permet à un tribunal américain d'ordonner à toute personne ou entité («any person or entity»), la production de documents d'entreprise («business records»). Ces documents d'entreprise pouvant être des livres, rapports, papiers, documents électroniques et autres items intangibles («intangibles items»).

 

Avant la Patriot Act, il était possible pour un tribunal américain d'ordonner à toute personne de produire de tels documents d'entreprise, s'il y avait une preuve à l'effet que la personne à qui appartiennent ces documents était un pouvoir étranger ou un agent d'un pouvoir étranger («a foreign power or an agent of a foreign power»). 

 

L'article 215 est venu changer le critère de manière considérable. Maintenant, le critère de preuve a été dilué: il est maintenant seulement nécessaire d'établir que l'accès aux documents d'entreprise en question est important dans le cadre d'une enquête sur le terrorisme international ou une activité clandestine d'un service de renseignement («must only establist that the order is relevant to an investigation of international terrorism or clandestine intelligence activities»).

 

Avant le Patriot act, un tribunal américain devait s'assurer qu'une entité officielle (gouvernementale) supportait l'ordonnance de production de documents, et ce, dans le but de soutenir la sécurité nationale (sole purpose of foreing intelligence). L'article 218 du Patriot act réduit ce critère à un dessein raisonnable («significant purpose»).

 

Par le passé, le FBI pouvait obliger les établissements financiers, compagnies de téléphone ou fournisseurs de services Internet à fournir des informations en présentant une lettre de sécurité nationale (National Security Letter «NSL»). Maintenant, l'article 505 du Patriot Act a réduit le fardeau de la preuve nécessaire pour garantir une NSL. Auparavant, le FBI avait à présenter les faits à l'appui de la nécessité de la NSL pour la sécurité nationale des États-Unis. En vertu du Patriot Act, le FBI est seulement tenu d'établir que la NSL se rapporte à une «enquête de renseignements autorisés». 

 

De plus, en plus du FBI, le Patriot Act a multiplié les entités qui peuvent obtenir une NSL.

 

Commentaires

Ceci étant dit, quelle est l'implication de tout cela pour une entreprise canadienne qui considère l'utilisation de services Cloud qui entrepose les données sur des serveurs situés aux États-Unis?

 

Quelques uns ont allégué que les risques n'étaient pas réels. Les partisans de cette position vous diront que les chances que vous soyez la cible d'une enquête permise en vertu du Patriot Act des États-Unis sont des plus infimes.

 

Nous sommes d'opinion qu'il n'est pas prudent d'analyser cette question sur la simple base des probabilités. 

 

La vraie question est de qualifier la nature des informations qui sont entreposées sur les serveurs du Cloud: de l'information confidentielle et stratégique pour les entreprises canadiennes. 

 

Dans plusieurs cas, les communications courriels, documents, rapports, etc. qui sont mis sur le Cloud, contiennent des documents sensibles et confidentiels qui peuvent même contenir de l'information sur des clients, employés, partenaires ou encore des informations qui sont régies par le secret professionnel. Si ces informations sont accédées de manière non permise ou non désirée par l'entreprise canadienne, plusieurs conséquences peuvent en découler tant au niveau légal (ex. secret professionnel) qu'au niveau éthique et des informations pourraient être divulguées de manière publique.

 

La dure réalité est que sous le Patriot Act, un officier des États-Unis a un grand pouvoir de recherche qui est maintenant peu restreint quant à son objet et très large. Selon nous, le Patriot Act permet l'accès, par les autorités américaines à des informations à titre prospectif seulement, sans réel fondement immédiat pour la sécurité nationale. 

 

De plus quand une ordonnance est émise en vertu du Patriot Act, elle est émise à l'encontre du propriétaire du serveur où sont entreposés les documents informatiques, ce qui expose les documents qui y sont entreposés de manière non discriminatoire et sans exception.

 

À titre d'exemple, en décembre 2010, les autorités américaines ont obtenu, en vertu du Patriot Act, une ordonnance à l'encontre du réseau Twitter pour que ce dernier divulgue de l'information reliée à 6 personnes supposément reliées à Wikileaks. 

 

Malgré que les motifs soutenant à l'ordonnance émise en vertu du Patriot Act ne touchait que 6 personnes précises, l'ordonnance a permis de relever les informations personnelles de plus de 634 892 personnes qui avaient communiqué de près ou de loin avec Wikileaks. Les informations obtenues ont permis d'établir les noms, adresses, numéros de téléphone, numéros de carte de crédit et adresses IP de ces 634 892 personnes.

 

Pour les entreprises canadiennes l'implication du Patriot Act est donc d'importance dans cette ère où le Cloud computing est promu et mis de l'avant comme une solution intéressante et nécessaire. Comme règle générale, il ne faut pas oublier que le droit applicable au Cloud est le droit applicable là où l'information est entreposée (le serveur informatique). Les services Google apps, iCloud, Drop Box et compagnie ont tous leurs serveurs situés en sol américain et donc susceptible de faire l'objet d'un des pouvoirs du Patriot Act.

 

Ici, au Canada, notre gouvernements fédéral et nos gouvernements provinciaux n'ont pas de pouvoirs comparables au Patriot Act. Il est donc préférable d'utiliser des services Cloud basés au Canada ou dans une juridiction où des pouvoirs tels ceux du Patriot Act n'existent pas.

 

Notez qu'il est plus aisé de défendre ses droits dans son propre pays, au Canada, que dans une juridiction qui nous est inconnue. De plus s'il y avait abus d'une autorité gouvernementale canadienne, les droits sur la protection des renseignements personnels mis en place au Canada sont très rigoureux et pourront protéger la confidentialité ou la sensibilité des informations entreposées en sol canadien.

 

Nous conseillons donc aux entreprises canadiennes de s'assurer, pour la protection de leurs informations et documents électroniques de s'assurer d'utiliser, s'ils le veulent, des services Cloud qui sont hébergés au Canada. Plusieurs risques et problèmes peuvent ainsi être évités de même que plusieurs coûts légaux.

 

Pour toute information supplémentaire, n'hésitez pas à contacter Me Christian Saraïlis.

 

Le présent document est un instrument d'information et de vulgarisation. Son contenu ne saurait en aucune façon être interprété comme un exposé complet du droit ni comme un avis juridique de Saraïlis Avocats ou de l'un des membres du cabinet sur les points de droit qui y sont discutés.