Les entreprises américaines veulent muscler la réforme de la NSA

Les grandes entreprises américaines du web donnent une nouvelle fois de la voix pour faire entendre leurs revendications sur les programmes de surveillance. Elles lancent un appel au Congrès des États-Unis pour que le récent Freedom Act, voté par la chambre des représentants, soit musclé.

La version édulcorée d'un texte décevant

Il y a environ deux semaines, le parlement américain a voté l’adoption du projet de loi Freedom Act. Il s’agit d’un texte prépare par l’administration Obama à la suite des déclarations du président américain au début de l’année. Étaient alors annoncés en grandes pompes l’arrêt de la collecte de masse des métadonnées téléphoniques et une plus grande liberté accordée aux entreprises pour communiquer sur les demandes qui leur étaient faites dans le domaine des données personnelles.

En elle-même, la réforme qui avait été annoncée par Barack Obama était déjà décevante, bien loin de la montagne de scandales laissée dans le sillage des révélations d’Edward Snowden. Le projet de loi Freedom Act avait cependant l’avantage d’être fidèle à ce qui avait été annoncé par le président. Mais la version votée par la chambre des représentants était nettement édulcorée, deux points cruciaux ayant été modifiés la semaine précédant le vote.

Moins de transparence, plus de flou 

D’une part, les entreprises perdent la possibilité de communiquer davantage sur les lettres nationales de sécurités (NSL) et le nombre précis de comptes sur lesquels des requêtes ont été effectuées. Comme actuellement, les NSL ne pourront en fait pas être abordées du tout. Mais en plus de casser la possibilité promise, le Freedom Act ajoute deux restrictions qui n’existaient pas dans le projet original : attendre six mois entre la réception d’une requête et sa communication et, pour les jeunes entreprises, l’obligation d’attendre au moins deux ans avant de commencer à publier de telles informations. Interdiction donc pour les start-ups de vouloir se montrer transparentes.

Mais le plus gros changement concernait la spécificité des termes qui permettaient à la NSA d’établir des requêtes auprès des opérateurs de téléphonie, puisque ces derniers se retrouvent les seules sources de métadonnées. L’agence devait ainsi employer des termes « utilisés pour décrire de manière unique une personne, une entité ou un compte ». Mais dans le texte voté il y a deux semaines, on retrouvait la référence à « un terme distinct, tel qu’un terme identifiant spécifiquement une personne, une entité, un compte, une adresse ou un appareil ». Un passage flou qui fait perdre le concept d’unicité au profit, à nouveau, de termes beaucoup plus larges.

Lors de ce vote, beaucoup avaient exprimé leur déception devant cette version édulcorée d’un texte qui ne répondait que mollement aux scandales accumulés depuis un an. Il n’était évidemment pas question pour les États-Unis de perdre leur capacité de détection et de lutte antiterroriste, mais le résultat concret était encore en deçà de ce qui avait été annoncé. De fait, les grandes entreprises américaines du cloud, pointées largement du doigt depuis la mise au jour de Prism, demandent au Congrès de se manifester.

Les grandes entreprises en appellent au Sénat 

Le vote de la chambre des représentants n’était en effet que la première partie sur le parcours législatif. Le texte va maintenant passer entre les mains des sénateurs et peut donc être largement modifié à cette occasion. AOL, Apple, Facebook, Google, LinkedIn, Microsoft, Twitter et Yahoo, réunis au sein du collectif « Reform Government Surveillance » (RGS), ont donc fait parvenir une lettre aux sénateurs (et qui sera publiée demain dans le New York Times) expliquant qu’ils avaient « l’opportunité de montrer la voie et de voter une version du Freedom Act qui pourrait restaurer la confiance des internautes ». Car, en définitive, c’est bien là le grand problème de ces entreprises.

Toutes sont touchées par une crise de confiance car le cloud est désormais au cœur de leurs stratégies. Si les internautes ne font plus confiance aux solutions centralisées qui sont, comme Laurent Chemla (cofondateur de Gandi) l’indiquait récemment, des « boulevards à la surveillance généralisée », ce sont toutes ces stratégies qui s’écroulent. Une prédiction déjà réalisée par la commissaire européenne Viviane Reding.

Le problème de la confiance des clients, encore et toujours 

Les entreprises américaines n’ont évidemment pas le choix et doivent se conformer aux lois en vigueur. Ce qui ne les empêche pas de regretter l’opportunité d’une communication plus libre : « Malheureusement, la version qui vient de passer la chambre des représentants pourrait permettre la collecte de masse des métadonnées Internet (par exemple, à qui vous écrivez et qui vous écrit), une chose que l’administration et le Congrès voulaient arrêter. En outre, bien que le texte de la chambre permette une certaine transparence, il est crucial pour nos clients que la loi autorise les entreprises à fournir de plus amples détails sur le nombre et le type de requêtes gouvernementales qu’elles reçoivent pour des informations sur leurs clients ».

Le problème de la confiance apparait en filigrane dans le plaidoyer : si les clients n’ont plus confiance, ils iront tout simplement voir ailleurs, potentiellement même vers des entreprises locales. Une manière également de rappeler au Sénat que ce sont ces entreprises en particulier qui ont le pouvoir actuellement sur la centralisation des données, les États-Unis étant à la source de toutes les plus grandes solutions grand public destinées au cloud. Que l’on parle de Gmail, d’iCloud, du stockage distant OneDrive ou même des « Like » sur Facebook, il s’agit dans tous les cas de données stockées sur des serveurs américains, et donc susceptibles d’être analysées par la NSA.

La liste de courses de Microsoft 

Brad Smith, responsable juridique de Microsoft, n’hésite d’ailleurs pas à aller plus loin dans un billet consacré à la version édulcorée du Freedom Act. Il constate les mêmes problèmes mis en évidence par le collectif RGS, mais ajoute un autre point : l’inquiétude devant le pouvoir d’un juge d’obliger une entreprise américaine à fournir des données qui sont stockées à l’extérieur des frontières du pays. Smith fait ici référence à la demande d’un juge de New York début mai pour des données situées dans des serveurs en Irlande.

Le responsable va plus loin et propose lui-même plusieurs mesures qui, selon lui, pourraient largement détendre la situation et restaurer la confiance des internautes et des clients. Par exemple, limiter les mandats de recherche américains aux frontières des États-Unis. Plus que la fin de la collecte de masse des métadonnées téléphoniques, il souhaite surtout la fin de toutes les collectes de masse. Il aimerait en outre la promesse qu’aucun piratage des serveurs ou des câbles ne soit fait ainsi qu’une réforme de la FISC. Pour rappel, cette dernière est le tribunal secret qui valide les requêtes de la NSA pour l’obtention des données. Cette demande n’est d’ailleurs pas neuve mais semble avoir curieusement disparu de la version votée il y a deux semaines.

Selon Smith finalement, un an après les premières révélations de Snowden, il y a encore plus de travail à faire qu’auparavant.