19 demandes en 2013 pour le Patriot Act
En ce qui concerne le Patriot Act, on comprend que chez Microsoft « il y a eu 11 demandes [NDLR : d’accès aux données] en 2012 et 19 demandes en 2013 comme indiquées dans nos documents Law Enforcement Report. C’est un nombre limité. Ce sont des demandes qui ont été faites aux Etats Unis, pour des clients américains. Ces demandes sont passées par un juge. Aucune ne concernait le territoire européen, ni des clients européens ou français. Après examen par nos services, nous avons donné suite à 5 demandes en 2013 que nous avons considérées comme fondées juridiquement. Et sauf dans un cas particulier, elles ont été communiquées au client » a indiqué Marc Mossé.
Il insiste : « nous n’avons jamais répondu à des demandes d’accès généralisé à nos données ni de fourniture de nos clés de chiffrement. Nous examinons chaque demande pour chaque identifiant, chaque compte particulier. On examine si la demande est juridiquement qualifiée, si elle correspond à quelque chose. » Les demandes sont examinées à l’aune des textes sur certaines infractions graves comme le terrorisme.
Audit ISO 27 001
Autre information communiquée de manière détaillée lors de la session, le fait que Microsoft fait auditer ses Data Center selon la norme ISO 27001, pour l’infrastructure et les services délivrés, que les rapports d’audit sont à disposition des clients, et que ceux-ci peuvent demander à faire procéder à leur propre audit.
Reste qu’il faut remettre à sa juste place le rôle de l’ISO 27 001. Ce n’est qu’une norme de mise en œuvre d’un système de gestion de la sécurité, et des bonnes pratiques associées sans guère de lien avec les questions qui préoccupent les décideurs, c’est-à-dire les risques de captation de leurs données par des agences américaines.
De fait, du flou a surgi au fil des échanges ainsi que de nouvelles interrogations. La volonté de minimiser certains aspects négatifs des lois crée le doute. Idem, quand Microsoft s’emploie à mettre en parallèle les législations de différents pays afin de montrer qu’elles se ressemblent toutes quand il s’agit d’autoriser les accès aux données à l’insu des clients. Cela ne rassure pas.
D’autant plus que Microsoft confirme qu’il demande actuellement auprès de la Cour suprême des Etats Unis, avec d’autres, la possibilité de communiquer plus d’informations à ses clients en vertu notamment du premier amendement de la constitution dit « Freedom of Speech ». Le gouvernement américain fait actuellement barrage.
Des clauses supplémentaires
Ceci dit, la session ne pouvait pas répondre à toutes les questions, d’autant que certaines sont particulièrement complexes à formuler. Marc Mossé déclare ainsi que Microsoft inclut des clauses types de garantie sur le traitement des données dans le Cloud dans ses contrats, définies selon les principes édictés par la commission européenne en 2010.
Il affirme que le Microsoft est le seul prestataire de Cloud parmi les grands acteurs à proposer ces clauses et que sa société a demandé à ses sous traitants d’être soumis à cette cascade de garanties juridiques, de clauses contractuelles types.