Fondamentaux Patriot Act

Depuis septembre 2001, dès qu’une entreprise possède directement ou indirectement un hébergement de ses données aux USA, un client ou un prestataire américain, elle est soumise au Patriot Act. Cette loi permet au FBI d’accéder, sans mandat judiciaire, aux données détenues par cette entreprise ou son prestataire. Elle s’applique même si le siège de l’entreprise est en France, en Suisse ou sur le sol européen. Elle entre en conflit avec la réglementation qui, en Europe, impose aux entreprises de protéger les données personnelles. Elle présente aussi une menace pour des données sensibles. Voyons plus en détail l’impact du Patriot Act sur la protection des données.

Qu’est-ce que la loi américaine appelée le Patriot Act ?

Le USA PATRIOT Act est une loi de défense contre le terrorisme votée par le Congrès des États-Unis. Le Président George W. Bush y a apposé sa signature le 26 octobre 2001.

Le PATRIOT Act signifie en anglais “Providing Appropriate Tools Required to Intercept and Obstruct Terrorism”.

Cette loi permet, sans autorisation judiciaire, à l’agence fédérale du FBI d’obliger des entreprises, notamment les fournisseurs d’accès à Internet, à lui donner accès à leurs bases de données personnelles. Ces dispositions s’appliquent aux entreprises américaines, même pour les informations stockées en Europe. Elles concernent aussi les sociétés françaises qui ont des clients américains ou des serveurs aux USA. Ces entreprises ont la défense d’informer les personnes concernées. Le Patriot Act impose également des mesures de protection contre tout accès illicite ou malveillant et de vérifier l’identité des personnes accédant aux données.

Quelles sont les implications du Patriot Act pour la confidentialité des données stockées ?

Le Patriot Act ouvre une brèche sur la confidentialité des données. L’entreprise doit obligatoirement permettre au FBI ou à la CIA d’accéder aux données demandées, même sans autorisation judiciaire. Les entreprises d’Europe ou de Suisse doivent donc veiller à réduire au minimum les données stockées par des prestataires américains ou sur des serveurs aux États-Unis.

Quel est l’impact du Patriot Act sur les services de partage de fichiers ?

Voici quelques exemples d’acteurs économiques soumis au Patriot Act :

  • un fournisseur de services de Cloud Computing américain, même si ses serveurs sont en Europe ;
  • Microsoft, notamment les données d’Office 365 et plus généralement les données de son Cloud Windows AZURE ;
  • Meta (la maison mère de Facebook et Instagram) ;
  • Google et ses applications.

 

Cela signifie que le FBI peut avoir accès aux données hébergées dans le Cloud des entreprises qui recourent à leurs services : il y a un risque pour la confidentialité de leurs données, y compris de leurs brevets ou stratégies, et de celles de leurs clients.

En effet, Edward Snowden a révélé que cette loi avait été détournée de son but initial : une surveillance réservée à la lutte contre le terrorisme et le blanchiment d’argent le finançant. Dans le cadre de cette loi, et sous couvert de défense des intérêts américains, rien n’empêche le FBI de pratiquer de l’espionnage industriel ou autres tâches pour les agences fédérales américaines.

Le Patriot Act peut empêcher une entreprise de respecter le RGPD. Pour éviter cela, elle doit utiliser des services d’hébergement d’entreprises européennes dont les serveurs sont en Europe.

Quels sont les défis de la conformité au Patriot Act

Cette loi américaine pose trois grands défis aux entreprises en France et plus généralement, en Europe.

Mettre en place des mesures de cybersécurité respectant le droit américain et européen

Si l’entreprise a des données sur des serveurs aux États-Unis ou des clients américains, elle doit permettre à l’agence du FBI d’accéder aux fichiers demandés. Elle doit également mettre en place des mesures de protection comme :

  • la sécurité des communications ;
  • la surveillance des utilisateurs ;
  • le contrôle d’accès ;
  • la détection de logiciels malveillants ;
  • le renforcement de la politique de sécurité ;
  • le contrôle des configurations.

 

Cela impacte l’administration, la gestion des clients et des salariés ou la conception des logiciels et applications. Ces mesures doivent respecter à la fois la loi américaine et le droit français. Les entreprises ont besoin de personnel qualifié pour s’occuper de ces tâches. Par exemple, il faut des cryptologues pour sécuriser les communications.

Patriot Act et RGPD : deux lois en conflit

Cette loi entre en conflit avec le RGPD, notamment concernant la confidentialité des informations personnelles : une agence fédérale américaine peut y accéder sans autorisation de la personne concernée et hors cadre judiciaire. Or, c’est interdit en Europe.

Pour y voir clair, le recours aux services d’un juriste spécialisé en cybersécurité est indispensable. Cette personne maîtrise à la fois le droit du numérique et les questions de cybersécurité. Ses conseils éclairés aideront l’architecte cybersécurité et le directeur cybersécurité à prendre les mesures nécessaires.

De nombreux acteurs concernés directement ou indirectement par le Patriot Act

Avec le développement du numérique, les acteurs concernés sont très nombreux et les implications multiples. Une entreprise dont tous les clients sont français peut estimer ne pas être concernée par cette loi.

Mais qu’en est-il du fournisseur d’hébergement Internet de cette entreprise ? Sait-elle s’il a ou non des serveurs aux USA ?

Cette entreprise a-t-elle conscience que si ses secrétaires utilisent Microsoft 360°, ses fichiers sont soumis au Patriot Act ? A-t-elle conscience que si son prestataire free-lance utilise une adresse Gmail, les fichiers échangés par mail sont soumis au Patriot Act ?

L’OSINT Analyst est un spécialiste du renseignement. Grâce à sa veille active, l’entreprise saura si le Patriot Act s’applique à un de ses prestataires ou fournisseurs.

Comment le Patriot Act peut-il influencer les politiques de gouvernance des données des entreprises ?

Le Patriot Act peut amener les entreprises en France à modifier leurs pratiques concernant le stockage, la gestion et le traitement de leurs données. Cela peut affecter le choix de leurs fournisseurs de service Cloud pour qu’il ne soit pas soumis au Patriot Act. Elles doivent sensibiliser leur personnel à ces sujets.

Les entreprises peuvent aussi insérer des clauses dans leur contrat avec un prestataire pour éviter que les autorités américaines puissent avoir accès à leurs données chez celui-ci.

Enfin, si une entreprise intervient auprès de clients américains, elle doit prendre des mesures de sécurité pour que les données concernant ses clients en Europe ou en Suisse ne puissent être consultées par les agences fédérales dans le cadre du Patriot Act.

Le consultant GRC a un rôle important à jouer pour adapter la gouvernance de l’entreprise par rapport à la cybersécurité des données.

Comment concilier les exigences du Patriot Act avec la protection des données ?

Pour les entreprises opérant en France et aux USA, la conciliation entre les exigences du Patriot Act et celle du RGPD est très complexe.

  • Il faut évaluer les zones de conflits entre les dispositions de ces deux lois.
  • Les transferts de données entre les USA et l’Union européenne doivent être sécurisés pour qu’ils respectent le RGPD.
  • L’entreprise doit informer les personnes concernées de la manière dont leurs données sont collectées, traitées et transférées, et obtenir leur consentement éclairé.
  • Les organisations doivent adopter des mesures de protection des données par défaut (réduire au maximum les données, utiliser des pseudonymes, anonymiser, etc., pour diminuer la quantité de données personnelles collectées et traitées).
  • Des procédures internes doivent être mises en place pour veiller à ce que les demandes des autorités américaines concernant des données personnelles soient conformes à la loi et aux droits des personnes.

 

C’est un travail d’équipe où juriste, responsable Sécurité des Systèmes d’Information, ingénieurs cybersécurité ou développeurs back-end doivent unir leurs talents pour que le code et les procédures respectent la loi.

Quelle différence entre le PATRIOT Act et le CLOUD Act ?

Le Patriot Act et le CLOUD Act sont deux législations américaines qui ont des implications significatives pour la surveillance et l’accès aux données, mais elles abordent ces questions sous des angles différents.

PATRIOT Act (2001) : Adopté peu après les attaques du 11 septembre 2001, le Patriot Act visait à renforcer la sécurité nationale des États-Unis. Il a élargi les pouvoirs des agences fédérales pour surveiller et intercepter les communications dans le but de lutter contre le terrorisme. Le Patriot Act a permis aux agences de renseignement des écoutes téléphoniques plus étendues, des fouilles et des surveillances sans mandat sous certaines conditions, et un accès élargi aux dossiers financiers et médicaux. Cette loi a été critiquée pour ses atteintes potentielles aux libertés civiles et à la vie privée.

CLOUD Act (2018) : Le “Clarifying Lawful Overseas Use of Data” Act, ou CLOUD Act, a été conçu pour moderniser les lois sur la surveillance et le stockage des données à l’ère du cloud computing. Cette loi permet aux agences gouvernementales américaines d’accéder aux données stockées sur des serveurs cloud partout dans le monde, et elle facilite également la coopération internationale en matière de partage de données pour les enquêtes criminelles. Le CLOUD Act tente de résoudre les problèmes juridictionnels posés par le stockage de données dans différents pays, mais il a aussi soulevé des inquiétudes concernant la protection de la vie privée (RGPD) et la souveraineté des données.

Le rapport entre les deux lois réside dans leur objectif commun de renforcer les capacités de surveillance et d’accès aux données par les autorités américaines. Tandis que le Patriot Act s’est concentré sur la surveillance intérieure et la lutte contre le terrorisme, le CLOUD Act répond aux défis posés par la nature mondialisée du stockage des données et de la communication en ligne. Les deux législations reflètent l’évolution des préoccupations en matière de sécurité nationale et de surveillance à l’ère numérique, tout en soulevant des questions sur l’équilibre entre sécurité et vie privée.

Les risques de non-conformité au RGPD et au Patriot Act en matière de cybersécurité

Le Patriot Act était au départ conçu pour déceler et contrer le terrorisme, ainsi que le blanchiment d’argent le finançant. Au fil des années, il a été détourné à des fins de surveillance d’une personne ordinaire ou d’espionnage économique. Pour une entreprise, il présente donc un risque équivalent au piratage, mais légalisé. Ses données stratégiques ou celles de son client, ses travaux de recherche, ses brevets, etc. peuvent tomber entre les mains des Américains, lui causant un grave préjudice. Si un client est lésé, il peut attaquer l’entreprise en justice.

En cas de non-respect du Patriot Act, les entreprises qui interviennent sur le sol américain ou auprès de clients américains s’exposent à des sanctions civiles et pénales. 

De même, si à cause du Patriot Act, la cybersécurité d’une entreprise sur le sol européen ne respecte pas le RGPD, la justice de son pays peut lui infliger des sanctions administrative, financière ou pénale. Ces sanctions peuvent s’élever jusqu’à 20 millions d’euros ou 4% de son chiffre d’affaires mondial.

Ces deux lois sont donc à prendre très au sérieux, que l’on conçoive des logiciels et des applications ou qu’on en soit le client, que l’on exerce dans un pays de l’Union européenne, en Suisse ou aux USA.

Pour surmonter les problèmes posés en France par le Patriot Act, les entreprises du numérique ou traditionnelles ont un besoin croissant de personnels qualifiés ou de prestataires experts. Les métiers de la cybersécurité vous réservent une belle carrière aux rémunérations attractives. Découvrez nos formations en cybersécurité pour y accéder.