​Le Patriot Act et la sécurité des données en ligne des entreprises

27 Février 2015
Nadim Baklouti et Gaetan Fron



Le Patriot Act est une loi antiterroriste qui a été adoptée par les Etats-Unis après le 11 septembre 2001. Promulguée dans l’urgence comme une loi d’exception, elle a été prolongée à deux reprises et est toujours en vigueur à l'heure actuelle.

Le risque de fuite de l’information

Le Patriot Act autorise l’administration américaine à accéder à tout moment et sans autorisation judiciaire aux données informatiques des entreprises ou des particuliers qui ont un lien, quel qu’il soit, avec les États-Unis. En pratique, cela peut poser de graves problèmes pour une entreprise ayant stocké ses données confidentielles ou celles de son client chez un hébergeur américain, même s’il s’agit d’une filiale localisée dans un pays différent.

Qu’en est-il alors des entreprises françaises ? Comment sont-elles aujourd’hui affectées par ce Patriot Act américain ? Quelles solutions existent pour assurer la confidentialité des informations privées des entreprises ? Chez Equity, Nadim Baklouti, Directeur R&D Leading Boards (solution de dématérialisation des Conseils d’Administration), et Gaetan Fron, Directeur DiliTrust (service de datarooms électroniques), se proposent d’apporter une réponse à ces questions.

En utilisant Outlook, les entreprises peuvent être espionnées

Dans un environnement hyperconcurrentiel, les risques de divulgation d’informations confidentielles pèsent sur toutes les entreprises puisque chacune a une part de marché à défendre ou une image à préserver. Néanmoins, toutes ne sont pas forcément impactées par l’étendue du Patriot Act, cela va dépendre de leur système d’information (organisation, gérance, etc.). Aujourd’hui, le développement de logiciels et la gestion des systèmes d’informations sont souvent sous-traités partiellement ou totalement à des fournisseurs pour notamment réduire les coûts de gestion ou bien bénéficier du savoir-faire et l’expertise de spécialistes.

Cependant, cette externalisation (en mode Saas ou autre) peut ouvrir la porte au Patriot Act en faisant le choix, délibérément ou par manque d’informations, d’un prestataire de services de nationalité américaine pour l’hébergement des données. En outre, l’Agence Nationale de la Sécurité Américaine (NSA) bénéficie de l’accès direct aux informations stockées sur les serveurs américains, et même aux données des fournisseurs de services informatiques américains (et donc de leurs clients) dont les serveurs sont situés en dehors des Etats-Unis ! Rappelons qu’en mai 2014, Microsoft (société de droit américain relevant donc du Patriot Act) a été sommé de céder aux autorités américaines les informations privées d’un client, bien que celles-ci fussent hébergées en Irlande.

Assurer la confidentialité des données privées

Si l’on prend maintenant l’exemple des solutions Microsoft 365 (Outlook en accès web), les informations sont enregistrées et traitées par un serveur américain qui relève du Patriot Act. Les entreprises, en utilisant ces services, peuvent donc être espionnées et leurs informations sensibles exploitées. De plus, les autorités américaines qui n’ont aucune obligation d’informer les propriétaires des données consultées ni des modalités de conservation !

Ainsi, du moment où elles passent par un serveur américain, les données des entreprises ne sont plus considérées comme sécurisées et courent donc un risque non négligeable de confidentialité (au niveau de l’intelligence économique notamment). C’est un risque que l’on peut comparer au piratage informatique sauf que dans le cas Patriot Act, il s’agit d’une intrusion légale. Dans ce contexte, trois étapes apparaissent essentielles pour permettre aux entreprises de ne pas être sujette à cette éventuelle fuite de l’information, et pour s’assurer le contrôle sur l’accès aux données :

1- Faire le tri

Dans un premier temps, il appartient aux entreprises de catégoriser leurs données, afin de cibler et de trier les informations sensibles, celles-ci pouvant revêtir de nombreux aspects : secret des affaires, communication financière et stratégique, brevets, éléments de recherche et développement, débats des conseils d’administration, mais aussi tout ce qui relève des échanges électroniques du quotidien.

2- Sensibiliser les collaborateurs

Pour prévenir le risque d’être confronté au Patriot Act, on note aussi l’importance de la communication au sein même de l’entreprise pour informer et responsabiliser les collaborateurs à la sécurité des données. Cette sensibilisation peut éviter une soumission par négligence au Patriot Act, comme c’est le cas lors des échanges par email via des services de messagerie grand-public (webmails) qui sont très populaires, mais souvent américains. Ainsi, former ses employés aux enjeux de la confidentialité des données et aux conséquences que peuvent avoir certains de leurs actes virtuels, c’est protéger le capital informationnel de l’entreprise tout en instaurant de bonnes pratiques en matière de sécurité informatique.

3- Être vigilant

Une fois les données catégorisées et les collaborateurs sensibilisés, l’entreprise doit être très attentive aux conditions de stockage de l’information dite sensible. Le meilleur moyen de se protéger du Patriot Act américain consiste à être vigilant quant à l’origine de l’hébergeur et du serveur. Une vérification de toute la chaîne de fournisseurs – et pas uniquement du serveur – s’impose donc pour s’assurer que les données ne sont pas concernées par cette loi américaine.

Ainsi il faut que l’entreprise privilégie les opérateurs européens dont les serveurs sont situés sur le territoire européen. Dans le cas d’une entreprise française, il est bien évidemment préférable de choisir des prestataires à caractère souverain dont les serveurs sont localisés en France. En effet, pour protéger l’information sensible de l’entreprise, la France et les acteurs européens créent des certificats (par exemple le Label Cloud Confidence ou le Label Cyber Sécurité France) dans l’idée de labéliser les services qui respectent le principe de conservation de l’information dans le cadre juridique européen.

Enfin, d’autres mesures classiques existent pour protéger ses informations privées : chiffrement des données, engagement de confidentialité, audits systématiques pour tester régulièrement la sécurité des logiciels utilisés, etc. Tous ces moyens de protection témoignent d’une véritable prise de conscience de la part des entreprises de la valeur critique de leurs données et de la nécessité de les protéger.

A propos des auteurs : Nadim Baklouti est directeur R&D Leading Boards chez Equity et Gaetan Fron, directeur DiliTrust, chez Equity.

Nadim Baklouti et Gaetan Fron