Décret Trump concernant les étrangers et le Cloud américain : quelles répercussions ?

22 janvier 2021 à 09h50
9
Donald Trump © Evan El-Amin / Shutterstock.com
© Evan El-Amin / Shutterstock.com

La veille de son départ de la Maison-Blanche, Donald Trump a signé un décret qui facilite la rétention de données des opérateurs de Cloud étatsuniens.

C'était son petit dernier. Discret durant les dernières heures de sa présidence, Donald Trump a pourtant signé un décret aux répercussions bien plus que symboliques, le mardi 19 janvier 2021. Celui-ci impose aux prestataires de Cloud américains de conserver les dossiers complets de leurs clients étrangers. Une décision que tout dirigeant européen ne pourrait pas prendre, avec le RGPD. Le but ? Faciliter la traque d'éventuels cybercriminels et se prémunir de tout abus et toute menace provenant de l'extérieur.

Trump voulait briser les ailes de potentiels individus malveillants basés à l'étranger

Plus précisément, le décret fait peser l'obligation sur les fournisseurs de Cloud de conserver des dossiers comprenant les noms, les adresses postales et électroniques, les moyens et informations de paiement, les numéros d'identification nationaux, les coordonnées téléphoniques mais aussi les adresses IP rattachées à l'utilisateur qui sollicite les services du fournisseur, et ce pour chaque connexion.

Dans une lettre écrite à la présidente de la Chambre des représentants Nancy Pelosi et du désormais ancien vice-président et ex-président ex-officio du Sénat Mike Pence, Donald Trump pointe du doigt les acteurs étrangers utilisateurs de produits IaaS (Infrastructure as a service), qui, pour lui, peuvent les utiliser « pour diverses activités malveillantes, ce qui fait qu'il est très difficile pour les responsables américains de suivre et de récolter des informations par le biais d'une procédure judiciaire, avant même que ces acteurs étrangers ne basculent sur une infrastructure de remplacement et ne détruisent les preuves de leurs activités passées ».

Il faut avoir à l'esprit qu'une solution IaaS permet à son utilisateur d'accéder au Cloud depuis n'importe quel endroit du monde, du moment qu'il jouit d'une connexion internet. Ce qui rend évidemment plus difficile voire impossible la détection d'acteurs étrangers, comme les hackers.

Le décret ne se limite pas qu'au IaaS (même si Donald Trump ne vise que le IaaS dans sa lettre), il s'ouvre aussi à d'autres services d'hébergement en ligne, ce qui comprend les offres complémentaires, d'essai, ou celles qui fournissent le traitement, le stockage, les réseaux ou d'autres ressources informatiques.

Un point doit être fait avec le président américain dans 240 jours

Officiellement donc, et même si Joe Biden est en capacité légale de révoquer ce décret depuis qu'il a officiellement prêté serment au Capitole le 20 janvier, le secrétaire au Commerce des États-Unis disposera très bientôt du pouvoir de limiter l'accès aux services américains de Cloud s'il s'avère qu'un pays héberge un trop grand nombre d'individus utilisant des produits IaaS américains, dans le but de mener des activités cybercriminelles.

Cette restriction d'accès aux services de Cloud computing américains pourrait s'appliquer à des personnes, des entreprises ou à certaines juridictions.

Si le décret reste en vigueur, les entreprises du Cloud disposent de 6 mois (180 jours) pour attester de la tenue de registres comportant les données des utilisateurs. Un peu avant, dans 120 jours, l'administration américaine devra discuter de la façon d'augmenter le partage d'informations entre les fournisseurs de Cloud et les autorités du pays. L'idée première restant, donc, de dissuader toute utilisation abusive des solutions IaaS de l'oncle Sam.

Dans 240 jours, le président Joe Biden pourra consulter un rapport et recevoir certaines recommandations.

Source : ZDNet.com

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
9
10
Lord_Crazy
«&nbsp;Une décision que tout dirigeant européen ne pourrait pas prendre, avec le RGPD&nbsp;» mais pas du tout, pourquoi affirmer cela ?<br /> Le RGPD prévoit plusieurs bases légales pour traiter des données personnelles, notamment le respect d’une obligation légale, donc ce type de décret viendrait au contraire rendre ce traitement potentiellement justifiable au sein du RGPD.<br /> Article 6 sur les bases légales :<br /> «&nbsp;c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis&nbsp;»
youlse
Merci Lord_Crazy pour cette précision ! C’est malheureux de votre qu’après 2ans le RGPD n’est toujours pas assimilé…
dante0891
Le GAFAM va faire la gueule. Ca veut dire qu’il risque d’y avoir une baisse de trafic dans l’utilisation des serveurs puisqu’ils iront voir ailleurs.
webfree79
Le mieux étant d’utiliser des services cloud Européens qui utilisent des serveurs en Europe (OVH, Infomaniak, IONOS, pCloud…Etc…)
solistice
les services cloud européens ne sont pas encore au niveau de mon point de vue mais j’espère de tout cœur qu’ils le seront vite pour que nous ne soyons plus «&nbsp;AWZure&nbsp;» dependents…
Bombing_Basta
Une décision que tout dirigeant européen ne pourrait pas prendre, avec le RGPD.<br /> Une décision qui va à l’encontre du RGPD, et donc de la loi européenne, en ce qui concerne les européens…
cirdan
Lord_Crazy:<br /> Le RGPD prévoit plusieurs bases légales pour traiter des données personnelles, notamment le respect d’une obligation légale, donc ce type de décret viendrait au contraire rendre ce traitement potentiellement justifiable au sein du RGPD.<br /> Article 6 sur les bases légales :<br /> « c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis »<br /> Heureusement que vous précisez «&nbsp;potentiellement&nbsp;» ! Par contre, «&nbsp;justifiable&nbsp;» c’est une autre histoire.<br /> Le RGPD, comme n’importe quel règlement, loi, décret, etc… a bien sûr des bases légales, sinon il ne pourrait pas exister, mais dans le cas présent rien n’indique que les termes de ces bases permettraient d’imposer une telle décision en Europe.<br /> Et une décision aussi radicale est très improbable ici, déjà parce qu’elle ne pourrait jamais se prendre par un simple décret, en plus de ne concerner que des européens contrairement à la version Trump qui ratisse tout ce qu’elle peut.<br /> D’autre part, s’il s’avérait qu’une telle décision serait finalement votée par le parlement et entérinée par la Commission (c’est déjà sans doute hautement improbable) il existerait plusieurs recours contre ce qui pourrait apparaitre comme un abus de pouvoir, notamment eu égard au droit à la vie privée des citoyens, au respect de leurs données personnelles et du traitement des entreprises.<br /> Mais aux US on s’embarrasse moins de ces détails, puisqu’on est habitué à régenter la planète, même si ce genre de décret va surement faire réagir et il serait étonnant qu’il ne soit pas, au moins en partie, amendé, voire supprimé.
nicgrover
Il est vrai que pour les USA et Trump en particulier, le danger vient des autres et de l’extérieur…
Jolan
Mouais.<br /> J’héberge plusieurs serveur chez OVH.<br /> Directement branché sure le web, les machines sont sous un feu constant d’attaques.<br /> La plupart du temps les adresses IP sont étrangères, mais parfois viennent directement d’OVH. Quand je leur ai remonté le problème, on m’a répondu qu’ils n’étaient pas responsable de l’usage fait des services.<br /> Refus de notifier le propriétaire de la machine attaquante.<br /> Je ne demandais pas à savoir qui s’était, mais à ce qu’il soit prévenu.<br /> Car il y a de bonnes chances que la machine en question ai été corrompue et que son propriétaire ne soient en rien responsable de l’attaque.<br /> Si ma machine servait de vecteur d’attaque, personnellement, j’aimerais être au courant.<br /> Lui ne le saura pas, il aurait fallu porter plainte.<br /> De mon point de vue, que l’attaque vienne du Pakistat ou de France ne change pas le problème, mais j’aurais pensé qu’un hébergeur français aurait eu plus de réaction.<br /> Autre épisode, OVH débite de façon indue notre CB.<br /> Impossible d’avoir la moindre donnée sur l’auteur du prélèvement (ce qui peut se comprendre). Mais savoir qu’un de leur service avait été commandé avec un numéro de CB volée n’a pas semblé émouvoir mon interlocuteur. La encore j’étais un peu interloqué.<br /> Bref, exiger de savoir qui sont ses clients et être un peu plus regardant sur ces derniers ne me parait pas un mal, y compris pour des services français.
Voir tous les messages sur le forum

Derniers actualités

Au Nebraska, Facebook transmet à la police les messages privés d'une jeune fille suspectée d’avortement illégal
Avec ce code promo ce PC portable devient encore moins cher
Voilà un prix plus qu'intéressant pour ce SSD Crucial de 1To
Le clavier sans fil Logitech POP Keys profite d'une belle promotion en ce moment
L'offre de RED sur son forfait mobile 80Go est toujours disponible !
Xiaomi présente lui aussi son robot humanoïde, mais dans quel but ?
Cet antivirus constitue une belle opportunité de protéger votre Mac !
Pour fêter le lancement de ses nouveaux produits, Samsung sort le grand jeu !
En 2023, la voiture la plus vendue au monde pourrait être une électrique !
Reddit débarque (vraiment) en France
Haut de page