Quel impact du Patriot Act, de Prism & de la LPM sur nos données ?

les écoutes de la NSA

Si dans le milieu des hackers / bidouilleurs on s’interrogeait et on alertait des risques du numérique pour notre vie privée depuis de nombreuses années, il a fallu attendre les révélations d’Edward Snowden en juin 2013 pour que le grand public comme le monde professionnel se saisissent de cette question.

Un peu plus d’un an plus tard, l’Aproged proposait le 25 juin 2014, une table ronde sur « l’impact du Patriot Act, Prism, et de la loi de la programmation militaire (LPM) sur le business » .

Après avoir rappelé les origines et le contexte du Patriot Act, de Prism et plus récemment de la LPM, une discussion s’est engagée sur le pourquoi d’une telle législation puis sur l’applicabilité du Patriot Act aux entreprises françaises. Qu’en conclure ?

Pourquoi une législation sur l’espionnage ?

L’espionnage n’est pas un phénomène récent. Mais, l’ère numérique nous a fait passer d’actions ciblées d’espionnage à une surveillance globale des populations. Politiciens, institutions publiques (sensibles ou pas), entreprises grands comptes et entreprises dites innovantes ne sont plus seules concernées par l’espionnage.

La collecte d’informations (en temps réel ou rétrospective) par l’intermédiaire d’acteurs privés (opérateurs de communications électroniques depuis la LPM, hébergeurs, fournisseurs d’accès Internet ou de services web) à remplacer les écoutes. Nous sommes maintenant tous concernés par la législation américaine et/ou française, dans lesquelles on trouve des mesures attentatoires à nos vies privées individuelles ou d’entreprises.

La judiciarisation a permis :

  • de rendre obligatoire pour les intermédiaires de la collecte de données la fourniture de données aux services de l’Etat,
  • de prémunir ces supplétifs des pouvoirs publics, d’actions en justice de leurs utilisateurs contre eux
  • et de cacher légalement le fait qu’ils communiquent des données de leurs utilisateurs.

 

Le Patriot Act impacte-t-il les entreprises françaises ?

_ Le Patriot Act concerne toutes les données, toutes les personnes quel que soit leurs pays et toutes les données détenues par une entreprise américaine ou ses filiales en dehors des Etats Unis.

Si l’on ajoute la sous traitance et le fait que la plupart des données sont stockées dans des datacenters américains, bien peu de données d’entreprises françaises échappent à la législation américaine…

A ceux qui argueraient qu’ils n’ont rien à cacher à la NSA, nous vous invitons à parcourir cet article de Jean-Marc Manach, journaliste d’investigation et spécialiste de l’Internet et des questions de surveillance et de vie privée.

_ Autre impact par ricochet du Patriot Act, l’article 20 de la loi de programmation militaire qui est très largement inspiré de l’article 215 du Patriot Act. Cf. http://rue89.nouvelobs.com/2013/12/19/loi-programmation-militaire-scandale-fait-sploutch-248467 ou cette autre réaction dans la presse « L’article 20 de la nouvelle loi de programmation militaire vient de donner à l’administration tout pouvoir de traiter tout citoyen soupçonné d’un délit quelconque comme un terroriste, c’est-à-dire de pénétrer dans sa vie privée sans contrôle a priori d’un juge » (Jacque Attali).

*

* *

Sous couvert de raisons légitimes comme la lutte contre le terrorisme bien des dérives sont possibles… Qui gardera les gardiens dit le proverbe ? C’est ce que J.M Manach, évoquait déjà en 2010 dans son ouvrage « La vie privée, un problème de vieux cons ». Un de ses articles plus récents intitulé « Lettre ouverte à ceux qui n’ont rien à cacher » compilent les principaux arguments que chacun d’entre nous devrait avoir en tête. Lubie d’un journaliste ? Sans doute pas puisque des personnalités comme Alex Turc, ancien président de la CNIL, était dans une émission sur France 5 assez pessimiste sur le futur.

Alors que faire si l’on souhaite protéger ses données ?

  1. Commencer par s’informer et comprendre les enjeux du débat semble déjà un bon début. Nul doute que les vidéos réalisées à l’occasion de « Pas sage en seine » qui s’est tenu du 26 au 29 juin 2014 seront d’un précieux secours.
  2. Ensuite, pourquoi ne pas mettre en application quelques-unes des réponses pragmatiques pour être moins vulnérable à de la collecte de données par la NSA et visibles à la fin de cet article ?
  3. Mais surtout, ne pas oublier que la sécurité est un processus.
    Et si jamais vous avez besoin d’un audit dans vos processus métier, pensez à InfoGnuEureka. 😉

le 30/06/2014
CD

1 Commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *