De plus en plus d’Etats tendent à s’aventurer juridiquement au-delà de leurs frontières, venant ainsi s’immiscer dans les affaires de leurs voisins par le biais des réglementations extraterritoriales. Le numérique et les télécommunications n’échappent pas à cette tendance de fond, observable au niveau mondial. Elle est mise en œuvre avec d’autant plus de force que certains pays font preuve d’un activisme virulent, à l’image de l’administration américaine. La question de législations à portée extraterritoriale, c’est-à-dire des lois votées dans un pays donné qui portent leur effet sur le territoire de pays tiers, devient donc plus que jamais prégnante.
En effet, si l’expansion de la zone d’influence de la juridiction américaine à l’ensemble du monde se décèle concrètement à travers, par exemple, les sanctions américaines contre les pays commerçant avec l’Iran, le partage d’informations et de données à travers le monde attise la convoitise de nombreux Etats qui en profitent pour étendre leur réglementation extraterritoriale.
Si l’Europe n’a pas encore quant à elle mise en place de législation extraterritoriale aussi agressive, le Cloud Act américain constitue aujourd’hui l’emblème de l’hypertrophie de la territorialité juridique économique.
Le Cloud Act, pour Clarifying Lawful Overseas Use of Data Act, a été approuvé par le Congrès Américain et promulgué par Donald Trump le 23 mars 2018. Son objectif est de permettre aux agences gouvernementales américaines d’exiger des fournisseurs de services de Cloud et de communication, soumis à la juridiction des Etats-Unis, qu’ils partagent avec l’administration américaine les données de leurs utilisateurs y compris dans les situations où ces données ne sont pas localisées sur le territoire des Etats-Unis. De plus, cette injonction ne se limite pas aux seules sociétés constituées aux États-Unis ou ayant leur siège social sur le territoire, et peut s’appliquer également aux filiales des sociétés américaines établies hors du territoire des Etats Unis. C’est pourquoi le Cloud Act se caractérise par sa portée extraterritoriale très vaste, d’autant plus que la plupart des données personnelles stockées sur des Cloud sont hébergées par des entreprises américaines. Les agences gouvernementales américaines (DOJ, FBI, NSA, DEA…), peuvent donc accéder directement aux données échangées dans le monde entier, et ce sur accord d’un juge américain Ensuite, ni la personne possédant les données (qui peut d’ailleurs être non-américaine), ni le pays dans lequel les données sont stockées ne sont informés de cet accès par l’administration américaine.
Toute entreprise, quelle que soit sa localisation, peut donc voir des autorités étrangères s’immiscer dans ses données et celles de ses utilisateurs dès lors qu’elles sont entreposées dans le Cloud ou manipulées par des fournisseurs de services de Cloud et de communication soumis à la juridiction des Etats Unis. En effet, malgré les apparences, les données personnelles ne flottent pas tel un nuage dans le ciel, mais sont bel et bien stockées dans des datacenters qui sont eux bien réels et positionnés physiquement. La plupart de ces datacenters sont d’ailleurs sur le sol américain, ou bien soumis à la juridiction américaine car appartenant à des entreprises étasuniennes, et permettent de facto à l’administration américaine d’y accéder.
Le Cloud Act n’est qu’un maillon parmi d’autres du réseau de la législation extraterritoriale qui se tisse dans le monde, et les Etats Unis ne sont que l’un des acteurs portant cette guerre économique sur le terrain du droit extraterritorial. Ce type de législation permet un étrange mélange des genres où les outils juridiques deviennent des armes au service d’une guerre économique. Ainsi, ce sont des lois nationales censées au départ lutter contre la corruption ou le terrorisme qui prennent une influence globale et finissent par servir de prétexte pour déstabiliser économiquement les concurrents et les adversaires, comme ce fut le cas lors du rachat d’Alstom par General Electric. La menace et la mise à exécution de poursuites judiciaires pour affaiblir des entreprises stratégiques n’est pas la seule crainte des grandes compagnies. L’espionnage industriel, l’intrusion dans des affaires sensibles ou, dans une moindre mesure, le traçage des données par des puissances étrangères sont des menaces sérieuses qui planent sur toutes les entreprises.
Pour faire face à ce type d’intrusion difficilement répréhensibles et dont il devient très ardu de s’émanciper, des armes juridiques existent mais restent à la traine par rapport à l’étendue des législations extraterritoriales. Ainsi, au niveau européen, le RGPD pour règlement général de la protection des données est efficace parce qu’il interdit la communication des données personnelles à des autorités étrangères s’il n’y a pas de décision commune ou à défaut de traité classique de coopération internationale garantissant que les données soient divulguées dans le respect du droit communautaire. Toutefois, la grosse faiblesse du RGPD reste qu’il ne s’applique pas aux données des entreprises, du moins celles qui ne sont pas des données personnelles. Par conséquent, dans la majorité des cas, les entreprises ont intérêt à coopérer et communiquent donc sans trop de résistance les données exigées par les autorités judiciaires étrangères.
Les américains ne sont pas les seuls à lorgner sur l’extraterritorialité judiciaire. Ainsi, en Chine, les lois nationales contraignent par exemple les entreprises à obéir aux injonctions gouvernementales pour fournir des données confidentielles appartenant à des utilisateurs de toute nationalité. De plus, avec la politique des Routes de la Soie, ce type de problématique tend à s’internationaliser. Face à cela, plutôt que de compter sur une législation lente et trop souvent inapte à régler efficacement le problème, les entreprises s’adaptent pour proposer leurs solutions.
C’est pour répondre à ces nouveaux enjeux et garantir la confidentialité des données de ses utilisateurs que STREAMWIDE a développé le concept d’application souveraine, par le biais de son architecture technique. Au vu des visées expansionnistes de nombreux pays, les avantages de disposer d’un cloud souverain ou d’un serveur local sont aujourd’hui indéniables. Cette solution permet de garder un contrôle total sur les données, en offrant aux clients de tous les pays la possibilité de disposer d’une solution souveraine. Ainsi, les données entreposées sur le Cloud souverain ou en local sont entièrement traitées et stockées sur le territoire national, quel que soit le pays considéré il existe une solution souveraine. Cette configuration sous forme de Cloud souverain ou de serveur local permet d’échapper aux dispositifs intrusifs des législations étrangères et de rester sous le contrôle total du client et de sa législation locale, alors que les leaders mondiaux du Cloud (GAFAM) stockent les données de leurs utilisateurs dans des datacenters dont ni le positionnement et ni l’accès juridique ne sont maitrisés. Qui plus est, ce sont ces mêmes leaders mondiaux qui basent leur business model sur l’appropriation et la revente des données de leurs clients ajoutant un risque supplémentaire via les techniques de traitement massif des données.
A l’inverse, STREAMWIDE offre la possibilité de s’affranchir intégralement des GAFAM en constituant une bulle sécurisée et imperméable aux activités de ces sociétés. Enfin, STREAMWIDE propose aussi à ses utilisateurs d’évoluer sur des serveurs locaux et totalement isolés d’internet. Tel est le cas pour les clients aux impératifs de sûreté élevés, comme les services gouvernementaux (Sécurité publique, défense…). Pour sécuriser ces données sensibles, plutôt que d’être hébergé dans le Cloud, les données sont alors stockées physiquement dans des serveurs locaux « on premise » et, si besoin, isolés d’internet.
Face à l’augmentation des flux mondiaux de données, il convient de rappeler que les données ne volent pas au vent dans le ciel, mais sont toujours hébergées physiquement dans des centres de données. En assurant un hébergement physique sécurisé, à l’intérieur de vos frontières ou même directement chez le client, STREAMWIDE entend proposer une solution innovante et sécurisée pour garantir la privacité et la confidentialité des données de ses utilisateurs mais aussi l’application du principe de subsidiarité en matière légale.
