Les entreprises américaines veulent muscler la réforme de la NSA
Trop d’édulcorant tue l’édulcorant
Le 05 juin 2014 à 15h50
7 min
Droit
Droit
Les grandes entreprises américaines du web donnent une nouvelle fois de la voix pour faire entendre leurs revendications sur les programmes de surveillance. Elles lancent un appel au Congrès des États-Unis pour que le récent Freedom Act, voté par la chambre des représentants, soit musclé.
La version édulcorée d'un texte décevant
Il y a environ deux semaines, le parlement américain a voté l’adoption du projet de loi Freedom Act. Il s’agit d’un texte prépare par l’administration Obama à la suite des déclarations du président américain au début de l’année. Étaient alors annoncés en grandes pompes l’arrêt de la collecte de masse des métadonnées téléphoniques et une plus grande liberté accordée aux entreprises pour communiquer sur les demandes qui leur étaient faites dans le domaine des données personnelles.
En elle-même, la réforme qui avait été annoncée par Barack Obama était déjà décevante, bien loin de la montagne de scandales laissée dans le sillage des révélations d’Edward Snowden. Le projet de loi Freedom Act avait cependant l’avantage d’être fidèle à ce qui avait été annoncé par le président. Mais la version votée par la chambre des représentants était nettement édulcorée, deux points cruciaux ayant été modifiés la semaine précédant le vote.
Moins de transparence, plus de flou
D’une part, les entreprises perdent la possibilité de communiquer davantage sur les lettres nationales de sécurités (NSL) et le nombre précis de comptes sur lesquels des requêtes ont été effectuées. Comme actuellement, les NSL ne pourront en fait pas être abordées du tout. Mais en plus de casser la possibilité promise, le Freedom Act ajoute deux restrictions qui n’existaient pas dans le projet original : attendre six mois entre la réception d’une requête et sa communication et, pour les jeunes entreprises, l’obligation d’attendre au moins deux ans avant de commencer à publier de telles informations. Interdiction donc pour les start-ups de vouloir se montrer transparentes.
Mais le plus gros changement concernait la spécificité des termes qui permettaient à la NSA d’établir des requêtes auprès des opérateurs de téléphonie, puisque ces derniers se retrouvent les seules sources de métadonnées. L’agence devait ainsi employer des termes « utilisés pour décrire de manière unique une personne, une entité ou un compte ». Mais dans le texte voté il y a deux semaines, on retrouvait la référence à « un terme distinct, tel qu’un terme identifiant spécifiquement une personne, une entité, un compte, une adresse ou un appareil ». Un passage flou qui fait perdre le concept d’unicité au profit, à nouveau, de termes beaucoup plus larges.
Lors de ce vote, beaucoup avaient exprimé leur déception devant cette version édulcorée d’un texte qui ne répondait que mollement aux scandales accumulés depuis un an. Il n’était évidemment pas question pour les États-Unis de perdre leur capacité de détection et de lutte antiterroriste, mais le résultat concret était encore en deçà de ce qui avait été annoncé. De fait, les grandes entreprises américaines du cloud, pointées largement du doigt depuis la mise au jour de Prism, demandent au Congrès de se manifester.
Les grandes entreprises en appellent au Sénat
Le vote de la chambre des représentants n’était en effet que la première partie sur le parcours législatif. Le texte va maintenant passer entre les mains des sénateurs et peut donc être largement modifié à cette occasion. AOL, Apple, Facebook, Google, LinkedIn, Microsoft, Twitter et Yahoo, réunis au sein du collectif « Reform Government Surveillance » (RGS), ont donc fait parvenir une lettre aux sénateurs (et qui sera publiée demain dans le New York Times) expliquant qu’ils avaient « l’opportunité de montrer la voie et de voter une version du Freedom Act qui pourrait restaurer la confiance des internautes ». Car, en définitive, c’est bien là le grand problème de ces entreprises.
Toutes sont touchées par une crise de confiance car le cloud est désormais au cœur de leurs stratégies. Si les internautes ne font plus confiance aux solutions centralisées qui sont, comme Laurent Chemla (cofondateur de Gandi) l’indiquait récemment, des « boulevards à la surveillance généralisée », ce sont toutes ces stratégies qui s’écroulent. Une prédiction déjà réalisée par la commissaire européenne Viviane Reding.
Le problème de la confiance des clients, encore et toujours
Les entreprises américaines n’ont évidemment pas le choix et doivent se conformer aux lois en vigueur. Ce qui ne les empêche pas de regretter l’opportunité d’une communication plus libre : « Malheureusement, la version qui vient de passer la chambre des représentants pourrait permettre la collecte de masse des métadonnées Internet (par exemple, à qui vous écrivez et qui vous écrit), une chose que l’administration et le Congrès voulaient arrêter. En outre, bien que le texte de la chambre permette une certaine transparence, il est crucial pour nos clients que la loi autorise les entreprises à fournir de plus amples détails sur le nombre et le type de requêtes gouvernementales qu’elles reçoivent pour des informations sur leurs clients ».
Le problème de la confiance apparait en filigrane dans le plaidoyer : si les clients n’ont plus confiance, ils iront tout simplement voir ailleurs, potentiellement même vers des entreprises locales. Une manière également de rappeler au Sénat que ce sont ces entreprises en particulier qui ont le pouvoir actuellement sur la centralisation des données, les États-Unis étant à la source de toutes les plus grandes solutions grand public destinées au cloud. Que l’on parle de Gmail, d’iCloud, du stockage distant OneDrive ou même des « Like » sur Facebook, il s’agit dans tous les cas de données stockées sur des serveurs américains, et donc susceptibles d’être analysées par la NSA.
La liste de courses de Microsoft
Brad Smith, responsable juridique de Microsoft, n’hésite d’ailleurs pas à aller plus loin dans un billet consacré à la version édulcorée du Freedom Act. Il constate les mêmes problèmes mis en évidence par le collectif RGS, mais ajoute un autre point : l’inquiétude devant le pouvoir d’un juge d’obliger une entreprise américaine à fournir des données qui sont stockées à l’extérieur des frontières du pays. Smith fait ici référence à la demande d’un juge de New York début mai pour des données situées dans des serveurs en Irlande.
Le responsable va plus loin et propose lui-même plusieurs mesures qui, selon lui, pourraient largement détendre la situation et restaurer la confiance des internautes et des clients. Par exemple, limiter les mandats de recherche américains aux frontières des États-Unis. Plus que la fin de la collecte de masse des métadonnées téléphoniques, il souhaite surtout la fin de toutes les collectes de masse. Il aimerait en outre la promesse qu’aucun piratage des serveurs ou des câbles ne soit fait ainsi qu’une réforme de la FISC. Pour rappel, cette dernière est le tribunal secret qui valide les requêtes de la NSA pour l’obtention des données. Cette demande n’est d’ailleurs pas neuve mais semble avoir curieusement disparu de la version votée il y a deux semaines.
Selon Smith finalement, un an après les premières révélations de Snowden, il y a encore plus de travail à faire qu’auparavant.
Les entreprises américaines veulent muscler la réforme de la NSA
-
La version édulcorée d'un texte décevant
-
Moins de transparence, plus de flou
-
Les grandes entreprises en appellent au Sénat
-
Le problème de la confiance des clients, encore et toujours
-
La liste de courses de Microsoft
Commentaires (14)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 05/06/2014 à 15h56
Trop d’édulcorant tue l’édulcorant
Oui, c’est devenu “Acidifiant” cette histoire…
—–> [ " /> ]
" />
Le 05/06/2014 à 16h03
Toute cette surveillance électronique est flippante. Il y a toujours l’argument du “je ne suis pas terroriste” qui est bien stupide quand on y réfléchit. Même si c’est quasi impossible, il convient de limiter au maximum sa présence sur Internet, à commencer par les réseaux sociaux dont je me suis désinscrit, plus de tweeter, plus de facebook, plus de copains d’avant…
Le 05/06/2014 à 16h35
Se désinscrire n’enlève pas la trace sur ce genre de sites.
Ce qui m’agace c’est que même sans être inscrit, il suffit qu’un idiot mette une photo de toi avec ton nom et hop, tu y figures, même sans ton accord " />
Le 05/06/2014 à 16h41
La confiance des clients dépend autant des pratiques de ces entreprises que de celles de la NSA que nous suspections tous bien avant.
Si cette bande d’hypocrites veut ma confiance il faudra aussi qu’ils fassent passer des lois pour s’interdire à eux-même de ficher leurs clients, analyser toutes leurs données (emails, cloud, …), épier toutes leur activité partout sur internet.
Ce qu’ils veulent c’est juste l’exclusivité sur les données qu’ils ont récoltées.
Le 05/06/2014 à 17h03
bah un jour ou l’autre les usa vont se prendre les pieds dans leur propre tapis et ça va faire leur faire trés mal.
Le 05/06/2014 à 17h19
Rappelons quand même que tout cela concerne avant tout les citoyens américains.
C’est à l’Europe de protéger les européens (enfin théoriquement).
Le 05/06/2014 à 18h45
Le 05/06/2014 à 19h19
Le 05/06/2014 à 19h41
Intéressant, le text mining fait sur le discours d’Obama, l’interview de Snowden et la synthèse
Le 05/06/2014 à 20h06
Le 05/06/2014 à 20h36
Le 05/06/2014 à 21h54
Le 06/06/2014 à 05h19
La collecte de masse informatisée et automatisée est le seul moyen de démasquer l’aiguille dans la botte de foin. Les grandes entreprises devraient arrêter leurs coms hypocrites.
Le 06/06/2014 à 06h38