Masques et données en jeu

Avons-nous les moyens d’être dépendants d’entreprises vulnérables aux sautes d’humeur de la politique américaine ? Le pathétique épisode de l’interdiction par la Maison-Blanche de livrer au Canada des masques à usage médical au nom d’une loi sur l’effort de guerre éclaire les enjeux des politiques publiques canadiennes. Il a fallu mobiliser pratiquement tout ce que le Canada possède de ressources diplomatiques afin de convaincre le gouvernement américain de l’évidence qu’il existe une grande interdépendance entre les deux pays.

Si une telle crise a pu se produire à l’égard d’objets comme des masques à usage médical, comment être certain que d’autres ressources ne seront pas un jour visées par des décisions intempestives des autorités américaines ? Bien sûr, il y a une dépendance difficile à éviter. Certains produits agricoles peuvent difficilement être cultivés sous nos cieux. Mais d’autres ressources sont produites ici et nous faisons le choix de les confier aux Américains.

Par exemple, les ressources informationnelles sont importantes dans le monde connecté. Lorsque les directives de confinement se sont multipliées, des organismes publics et des entreprises se sont rués sur des applications proposées par des firmes américaines comme ZOOM pour soutenir le travail à distance. Les informations laissant craindre que de telles ressources grand public, conçues à des fins commerciales, puissent présenter des problèmes de sécurité n’ont pas pesé très lourd. En urgence, les écoles, collèges et universités ont mis en place des cours en ligne en ayant recours aux moyens rendus disponibles très souvent par des entreprises américaines. Même les services de santé, habituellement obsédés par les impératifs de confidentialité, ont eu recours à ces applications grand public. Il n’est pas question ici de blâmer ceux qui, dans l’urgence, ont été contraints de voir au plus pressé avec les moyens disponibles. Mais tout cela révèle notre extrême dépendance à l’égard des entreprises d’Internet, la plupart sujettes à la juridiction du gouvernement américain.

Les grands du Web dominent les marchés de l’infonuagique, des outils de recherche en ligne, des réseaux sociaux. Plusieurs dispositifs servant au télétravail, au divertissement et à différents besoins de consommation sont désormais des ressources essentielles. Des données parmi les plus délicates sont déposées sur des serveurs de grandes entreprises américaines. La plupart de ces entreprises collectent, traitent et surtout créent de la valeur avec les données. Ces données produites par les faits et gestes de tout un chacun constituent pourtant une ressource stratégique. Il faut s’interroger sur l’opportunité de laisser autant d’actifs informationnels aux mains d’entreprises américaines. Car l’hypothèse de décisions autoritaires unilatérales des autorités américaines qui nous priveraient de l’accès ou de la confidentialité de nos données est loin d’être farfelue.

La possibilité que ces entreprises aient un jour à obtempérer aux ordres des dirigeants américains est réelle. Par exemple, en 2018, le Congrès américain a adopté le CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Cette loi autorise les forces de l’ordre et les agences de renseignement du pays à accéder à des données stockées par des opérateurs américains en cas de suspicion de crime ou de menace terroriste. La loi vise toutes les données confiées à des entreprises sujettes à la juridiction américaine, et ce, quelle que soit la localisation de ces données. Le CLOUD Act permet au gouvernement américain de demander à un fournisseur de services de communication ou d’informatique à distance de préserver, de sauvegarder ou de divulguer le contenu d’une communication électronique. Il permet également aux autorités américaines d’accéder à tout document ou autre information concernant un client ou un abonné en sa possession, sous sa garde ou son contrôle, que le fournisseur soit situé aux États-Unis ou à l’étranger. La loi permet au gouvernement des États-Unis d’amorcer un processus d’accès aux données hébergées sur un serveur américain, même si ce serveur est situé dans un autre pays.

Certes, le CLOUD Act laisse au fournisseur de services la possibilité de demander à un juge d’annuler ou de modifier de tels processus de divulgation lorsque le client ou l’abonné n’est pas un citoyen ou un résident américain. Mais de tels recours judiciaires requièrent de démontrer que la divulgation créerait un risque important de violation des lois du territoire étranger par le fournisseur. Surtout, c’est à rebours que de tels recours peuvent intervenir, une fois que les données ont été compromises.

Souveraineté informationnelle

Voilà qui devrait faire réfléchir sur l’urgence de prendre au sérieux les questions de souveraineté sur nos actifs informationnels. Il y a quelques mois, le Sénat français a publié un rapport, intitulé Le devoir de souveraineté numérique, expliquant comment la souveraineté étatique doit dorénavant s’exercer dans l’univers numérique. On y rappelle que les données, y compris les données personnelles, sont la matière première de la société de l’information. Elles représentent un enjeu économique stratégique et forment désormais le « terreau » de l’activité de tous les grands acteurs de l’économie numérique.

Éblouis par les offres des grandes entreprises américaines, les organismes publics et plusieurs entreprises d’ici décident de confier la garde des données aux Amazon, Google et Microsoft. Même le gouvernement du Québec, qui en ces temps de pandémie semble avoir retrouvé les vertus de l’autosuffisance en ressources stratégiques, projette de confier les données des Québécois aux entreprises américaines proposant des solutions infonuagiques. Or, sans garanties effectives contre les sautes d’humeur des autorités américaines, il est irresponsable de confier nos actifs informationnels à des entreprises aussi exposées aux décisions irrationnelles de dirigeants imprévisibles.

À voir en vidéo