Privacy Shield invalidé, EARN IT Act, LAED Act… : say goodbye aux hébergeurs américains ?

Le 5 mars, en pleine crise sanitaire mondiale, le Congrès des États-Unis propose le EARN IT Act [2], un projet de loi visant à lutter contre la diffusion de contenus pédopornographiques sur Internet. Le prétexte de la lutte contre le terrorisme pour tenter d’affaiblir le chiffrement et avoir un contrôle absolu sur l’ensemble des données qui circulent a probablement dû être trop utilisé, les sénateurs américains ont alors jeté leur dévolu sur la lutte contre l’exploitation et l’abus sexuel sur les mineurs. Il fallait bien trouver un nouveau prétexte.

Revirement de situation le 23 juin, ils nous ressortent la carte des terroristes ! Cette fois-ci le Congrès propose le LAED Act [3], un projet de loi visant tout simplement à interdire le chiffrement de bout en bout ou tout mécanisme de chiffrement qui ne pourrait pas être « déverrouillé » à la demande des autorités.

Tout y passe, systèmes d'exploitation, applications, plates-formes de messagerie instantanée, réseaux sociaux, stockage du courrier électronique et tout service d'hébergement en général, vidéoconférence, Smartphones, ordinateurs portables et de bureau, dispositifs médicaux. Tout appareil disposant d’une capacité de stockage d’un gigaoctet ou plus mentionne le texte.

Aux États-Unis, l’EFF après s’être insurgée contre le EARN IT Act [4], a lancé une pétition contre ce nouveau projet de loi [5]. Même discours du côté du Center for Internet and Society de Stanford [6]. Croisons les doigts pour que ces projets de loi ne soient jamais adoptés.

Ce serait une véritable catastrophe pour la protection des données. Même si le texte ne s’applique qu’aux États-Unis, tous les produits et systèmes américains disposeraient obligatoirement d’une « backdoor » permettant au gouvernement américain d’accéder aux données. Comment assurer notre souveraineté avec des outils complétement troués ? Qui nous dit de plus que des attaquants ne vont pas s’emparer des clés de ces « portes dérobées » ? Comment être certains que les portes ne seront pas ouvertes pour d’autres raisons que la lutte contre le terrorisme ou la criminalité ?

Même si les données stockées chez des hébergeurs américains disposant de datacenters en Europe ne sont pas répliquées / sauvegardées dans des datacenters aux États-Unis, entre le Cloud Act et ces nouveaux projets de lois, les États-Unis seraient en capacité à exfiltrer et déchiffrer les données de n’importe qui.

Sinon, suite à la décisions de la CJUE, invalidant le Privacy Shield, sommes-nous vraiment certains que les données de santé stockées chez des HDS américains ne sont pas répliquées sur des serveur situés aux États-Unis ? Même chiffrées ? Qu’aucune donnée de santé stockée sur un dispositif médical d’origine américaine dont le constructeur assure la télémaintenance ne pourrait rejoindre le territoire de l’oncle Sam ?

[1]

[2]

[3]

[4]

[5]

[6]