Le fait : Google, Microsoft ou Apple doivent répondre à des demandes d'information sur leurs clients utilisateurs de plus en plus fréquentes en provenance d'autorités diverses, tant locales qu'étrangères.En soi, l'accès des autorités administratives, judiciaires et gouvernementales à certaines données d'utilisateurs de services en ligne n'est pas nouveau. A titre d'exemple, l'article 60-1 du code de procédure pénale autorise les officiers de police judiciaire à obtenir communication, sous certaines conditions, de tout document intéressant l'enquête, y compris les informations issues d'un système informatique ou d'un traitement de données nominatives.
De nombreuses requêtes émanent des Etats-Unis…
L'essor auprès du grand public des services de cloud de type messagerie en ligne ou plates-formes de partage, ainsi que l'augmentation corrélative du volume de données échangées ouvrent de nouvelles perspectives. Les informations stockées en ligne deviennent plus facilement accessibles que si elles étaient sur le disque dur d'un ordinateur conservé dans un lieu privé. L'analyse des statistiques publiées par Google dans son
“ Transparency Report ” montre que le nombre de demandes d'accès à ces données utilisateurs augmente fortement. Dans ce curieux classement, les Etats-Unis arrivent très largement en tête avec 7 969 requêtes, loin devant la France, en quatrième place avec 1 546 requêtes.
… mais les utilisateurs français sont aussi concernés
Les sociétés de droit américain, et notamment les grands prestataires de services de cloud, sont en effet soumises au Patriot Act. A ce titre, elles sont tenues de communiquer au FBI tous les éléments de preuve (documents, données informatiques…) en lien avec une enquête en cours sur des activités terroristes ou d'espionnage. Cette demande peut également concerner des données de tiers stockées en Europe, pourvu que ces sociétés aient les moyens d'y accéder. Aujourd'hui, toutes les politiques de confidentialité des entreprises offrant des services de cloud prévoient même plus largement la possibilité de transférer des informations personnelles à des autorités judiciaires ou gouvernementales, quelles qu'elles soient, sans qu'il soit besoin d'obtenir l'accord des utilisateurs concernés ni même de les en informer.
