Prism: vos données plus sûres à Roubaix ou dans la Silicon Valley?

Des photos sur Flickr. Des vidéos sur Youtube. Des échanges privés sur Gmail, Skype et Facebook. Rien de ce qui est privé ne semble pouvoir échapper aux indiscrétions de la NSA? Paranoïa ou besoin de discrétion, la question se pose de savoir si les données sont plus sûres de l’un ou l’autre côté de l’Atlantique.

Dans un épisode de la série “Person of Interest”, le personnage Finch déclare que le gouvernement américain a créé Facebook pour que les utilisateurs alimentent eux-mêmes de gigantesques bases de données sur leur vie privée. La réalité a peut-être dépassé la fiction.

Edward Snowden, par qui le scandale est arrivé, a travaillé durant quatre ans pour la NSA, l’Agence de Sécurité Nationale américaine. On sait, grâce à lui, que deux collectes de données ont été opérées par Washington. L’une concerne l’opérateur Verizon et des données sur les appels de ses abonnés. L’autre associe le gratin des géants Internet. Ces entreprises – dont la plupart sont établies dans la Silicon Valley -, ont communiqué des photos, vidéos et courriels appartenant à des non-résidents, notamment en Europe.

Résumé de la situation par Olivier Ertzscheid, sur le blog Affordance.info: “La NSA surveille Google, Facebook et les autres. Google, Facebook et les autres nous surveillent. Nous savons vaguement que nous sommes potentiellement surveillés. Mais nous ne surveillons pas pour autant l’ensemble de nos interactions & conversations en ligne.”

Tim Berners-Lee, considéré comme l’inventeur du Web, estime que le programme PRISM représente une surveillance injustifiée et « une intrusion dans la vie privée des citoyens qui menace les fondements de la démocratie

A Radio Canada, Martin Lessard nous rappelle qu’à chaque check inlike, envoi de photo via les réseaux sociaux, nous façonnons de plus en plus précisément notre “ombre virtuelle”. Martin nous rappelle que nous sommes tous devenus de “petits points sur un écran dans le sous-sol d’une agence de sécurité quelque part aux États-Unis.”

Time to move?

Jusqu’à Prism, vous n’auriez peut-être jamais pensé retirer vos données personnelles de serveurs situés aux Etats-Unis: vos courriels sur Gmail, vos photos sur Skydrive, vos statuts Facebook, vos tweets et même vos appels via Skype. L’air de rien, les révélations d’Edward Snowden ont alerté les utilisateurs sur les risques d’héberger leurs données sur des serveurs localisés aux Etats-Unis. Tout bénéfice pour les éditeurs européens, bien décidés à profiter de leur insoumission à l’agence de sécurité américaine, la NSA.

Mobilisation dans l’Hexagone autour des champions locaux. Les données françaises doivent rester en France, semble indiquer la Ministre Fleur Pellerin (voir notre interview).  «L’affaire Prism, si elle est avérée, rend pertinent de localiser les data centers et des serveurs sur le territoire national afin de mieux garantir la sécurité des données. Nous prenons, peut-être un peu tard, conscience de la nécessité  d’être moins dépendants des infrastructures, des plateformes ou des points d’accès à Internet autres qu’européens.»

Pas un hasard si OBM est l’une des principales solutions groupware de l’Administration française. La suite, éditée par le groupe LINAGORA, est utilisée par de grands groupes publics et privés en France, mais également par les milieux universitaires.  Son PDG, Alexandre Zapolsky, rappelle volontiers qu’«OBM a une empreinte unique sur le marché français. C’est la seule solution réellement Open Source capable d’offrir une alternative industrielle aux solutions de communication propriétaires.»

Et c’est loin d’être le seul exemple: Hubic, lancé par la société OVH Telecom, s’avance comme un nuage à la Dropbox entièrement géré à Roubaix, dans le Nord. L’air de rien, il est aujourd’hui le troisième hébergeur mondial, avec plus de 145.000 serveurs et 700.000 clients.

A Bruxelles aussi, certains se frottent les mains et rassurent les abonnés payants d’un service en ligne. «La plupart de demandes viennent de professionnels qui veulent s’informer sur la localisation de nos serveurs», souligne Patrick De Schutter, co-fondateur de la suite bureautique ContactOffice (un groupware d’origine belge concurrent d’Outlook, Zimbra et Google Apps). «D’autres demandes ont trait aux procédures en cas de demande d’information de la part d’instances officielles, ainsi qu’à nos politiques de sauvegarde et de sécurité. A toutes ces questions, nous leur répondons que les données de nos clients sont hébergées dans un centre de données en Belgique. Nous contrôlons entièrement nos serveurs : aucun sous-traitant n’a accès à nos infrastructures. Les autorités n’y ont pas davantage accès : elles doivent nous solliciter pour obtenir des données de nos clients. Nous ne les transmettons que si nous recevons un ordre signé du juge compétent.»

Reaction time

Une solution? Oui, selon Tim Wu, professeur de Droit à l’Université de Columbia. Il s’est exprimé à Londres il y a quelques jours et n’y va pas par quatre chemins. Pour lui, nous portons la responsabilité de ce péché par omission : nous utilisons des services Internet qui communiquent des informations à la NSA. En quittant Facebook, en choisissant un autre moteur de recherche que Google, en évitant AOL, Yahoo, les canaux de surveillance s’éloignent de vous.

Face à ce scénario catastrophe, les géants de l’Internet US réagissent. Le risque est énorme que les utilisateurs se détournent de leurs nuages. Aucun acteur majeur du web ne semble échapper à la liste des entreprises soumises à l’indiscrétion: Apple, Google, Facebook, Yahoo!, Microsoft (Skype notamment), Amazon. Le 11 juin dernier, David Drummond, Chief Legal Officer de Google,  rédigeait une missive à l’Attorney General et au FBI. Objectif: se défendre d’avoir communiqué des informations et jouer la transparence totale.

Patrick de Schutter (ContactOffice) insiste: «Notre métier consiste à héberger et protéger les données de nos clients et non à les analyser pour en tirer des profils marketing et afficher de la publicité.» Allusion à peine voilée à l’affaire Prism, mais également à la publicité contextuelle permettant à Outlook.com, Yahoo! Mail et bien entendu Gmail de rentabiliser leur gratuité.

Et la Commission européenne?

Dans une lettre évoquée par l’agence Reuters, la Commissaire Viviane Reding s’inquiète d’un «éventuel accès de grande ampleur aux données concernant les citoyens européens.» Elle réclame (encore timidement) des «explications et des éclaircissements sur le programme Prism, sur d’autres programmes américains relatifs à la collecte et à la recherche (de données) et sur la législation en vertu de laquelle de tels programmes peuvent être autorisés.»

Quels droits pour les Européens sur le sol américain? Depuis deux ans, l’UE tente (en vain) de négocier un accord transatlantique de protection des données qui limiterait l’accès des Etats-Unis aux données européennes.

D’autres opinions?

Vous êtes désormais inscrit à la newsletter de Silicon-Valley.fr !