Peut-on encore éviter le piège du Cloud Act ?

Juil 21, 2020 | Cloud, Latest | 0 commentaires

A travers le Cloud Act, des fleurons européens pourraient tomber dans le giron de leurs concurrents américains. Un piège aux allures de loi.

«Avec le Patriot Act, puis le Cloud Act, nous sommes en train de perdre une partie de notre souveraineté juridique», estime Frédéric Pierucci, Fondateur & CEO, IKARIAN. En cause, les lois extraterritoriales américaines. Celles-ci contraignent les entreprises étrangères à se soumettre au droit américain grâce à des liens parfois ténus -comme le paiement en dollars par exemple- avec les États-Unis.

«Aujourd’hui, les États-Unis se servent du droit comme d’une arme de contrôle de concurrents dans la guerre économique qu’ils mènent contre le reste du monde. Soit une guerre sans envoyer un seul GI risquer sa vie. En somme, ‘une guerre sans morts, mais une guerre à mort’ pour reprendre la célèbre citation de François Mitterrand…»

Cet unilatéralisme en matière de sanctions économiques et financières n’est pas nouveau, rappelait le patron du cabinet de conseil en compliance stratégique et opérationnelle lors des Rencontres Stratégiques du Manager 2020 du 13 juillet dernier organisées à Liège par BSPK. Il a d’ailleurs crû indépendamment de la couleur politique de l’administration américaine. Ainsi, plusieurs dizaines de milliards de dollars d’amendes ont été réclamées par la justice américaine à des entreprises européennes, asiatiques et sud-américaines. Motif ? Leurs pratiques commerciales, leurs clients ou certains de leurs paiements ne respectaient pas le droit américain.

Soft power juridique

L’utilisation du droit comme instrument économique n’est pas nouvelle. De même, elle n’est pas l’apanage des États-Unis. «Mais c’est bien ce pays qui l’a le plus structurée, développant depuis le début des années 2000 un véritable ‘soft power juridique’», assure Frédéric Pierucci. A la base, une extension de l’applicabilité territoriale d’un des textes les plus puissants, le FCPA (Foreign Corrupt Practices Act). Votée en 1977, cette loi vise à sanctionner les faits de corruption d’agents publics à l’étranger. En 1998, les États-Unis adoptent une interprétation extensive de la notion de rattachement à leur pays. Celle-ci leur permet tout simplement de poursuivre les entreprises étrangères.

«Le Cloud Act légalise l’espionnage industriel et commercial, révélé déjà par Edouard Snowden», assure Frédéric Pierucci

L’instauration du Cloud Act en mars 2018 est venue renforcer le système. Il permet aux États-Unis de passer à la vitesse supérieure en élargissant les prérogatives prévues par le Patriot Act. En effet, le Cloud Act permet aux autorités américaines de demander l’accès à toute donnée numérique placée sous le contrôle du fournisseur de service américain susceptible de les intéresser dans le cadre d’une enquête. Et peu importe le lieu où sont stockées les données concernées. «Cette loi donne donc toute légitimité aux procureurs américains, sous couvert de lutte contre, par exemple, la corruption, de demander directement aux GAFAM le transfert des données de leurs clients, sans que leur propriétaire, n’en soit informé. Les Etats-Unis bypassent ainsi les mécanismes d’entraide judiciaire internationale entre Etats et les lois de blocage de certains états européens censées protéger leurs entreprises.»

De la reprise d’Alstom par GE au Cloud Act

Le Cloud Act n’est pas compatible avec le GDPR -tout comme c’était le cas des textes antérieurs au Cloud Act. En effet, à titre d’exemple, le FISA (Foreign Intelligence Service Act), qui est largement utilisé, permet de mettre en place une surveillance sur les données d’étrangers, même hébergées hors-USA. Il n’est pas exigé que cela soit justifié par une enquête en cours. Le but de la surveillance peut être purement politique ou commercial.

Frédéric Pierucci parle en connaissance de cause. Ancien président d’Alstom Power, il a été arrêté le 14 avril 2013 à New-York par le FBI dans le cadre d’une enquête contre Alstom de corruption en Indonésie. Un an plus tard, il apprend -en prison- la vente de son entreprise à l’américain GE. Dans son livre, «Le Piège Américain» (JC Lattès), il établit un subtil parallèle entre les deux dossiers. A savoir une coordination des démarches juridiques afin d’arriver aux résultats de la cession d’Alstom.

Des suspicions de corruption ont été utilisées pour mettre sous pression les dirigeants et l’entreprise. Après quatre ans d’enquêtes, le FBI disposait à priori d’éléments suffisants pour engager un procès. Devant les risques inhérents, le groupe français a préféré négocier un règlement à l’amiable. Et il a été contraint de vendre les deux tiers de ses activités à son grand concurrent américain…

Le piège, alors, se referme…

Ce cas est-il transposable avec le Cloud Act ? Pour Frédéric Pierucci, la réponse est oui. Les États-Unis, rappelle-t-il, ont un lourd passif d’utilisation de leur arsenal juridique à des fins de guerre économique. «Le Cloud Act s’inscrit dans le prolongement de la loi anticorruption FCPA et des lois sur le contrôle des exportations et de respects des embargos décrétés unilatéralement par les Etats-Unis qui ont déjà prouvé leur rentabilité. 14 milliards USD d’amendes ont ainsi été payés ces dix dernières années rien que par les entreprises françaises pour enfreinte aux différentes lois extraterritoriales américaines. Le Cloud Act est l’outil venu renforcer l’arsenal juridique en couvrant le nouvel or que sont les données !»

Dans un déroulé similaire à l’histoire de la cession d’Alstom, on pourrait imaginer le scénario d’une entreprise européenne des sciences de la vie. Comme tant d’autres, elle stocke ses données dans le cloud public et exploite des applicatifs en mode SaaS souscrits auprès ou ayant recours à des prestataires américains. L’entreprise se développe dans un environnement concurrentiel et internationalisé. Par malchance, un concurrent aux États-Unis saisit un procureur pour dénoncer des problèmes de qualité, de fiabilité ou d’effets secondaires des produits commercialisés aux États-Unis ou dans d’autres pays. Par diverses sources, le concurrent apprend que les données de l’entreprise sont gérées par des acteurs américains. Il sollicite alors le procureur pour que soient obtenues les données de l’entreprise auprès des hébergeurs ou prestataires SaaS américains ou de leur filiale.

Le GDPR ? Pas assez puissant dans la guerre économique 

Le piège, alors, se referme. L’exploitation approfondie des données permet d’identifier des manquements suffisants pour envisager un procès. L’entreprise préfère éviter la mauvaise presse d’un procès qui ferait irrémédiablement baisser ses ventes et sa réputation. Et entre en négociation d’une amende. L’annonce de son attribution affaiblit sa position sur le marché. L’entreprise se voit contrainte d’envisager de nouveaux partenariats ou de vendre certaines de ses activités…

«Le Cloud Act légalise l’espionnage industriel et commercial, révélé déjà par Edouard Snowden», assure Frédéric Pierucci. Le Cloud Act peut alimenter le moteur décisionnel des Etats-Unis, les aider à tracer leurs axes stratégiques économiques…»

Si, avec le GDPR, l’Europe a créé -sans le vouloir- un instrument à portée extraterritoriale qui défend nos valeurs, il ne peut, en revanche, suffire dans la guerre économique que nous vivons. «Ne nous leurrons pas : l’Europe a pris trop de retard dans le cloud. Jamais, non plus, elle n’a investi stratégiquement comme les autorités américaines dans certaines de ses entreprises les plus avancées…»

De la nécessité d’un cloud souverain européen 

Pour le CEO d’IKARIAN, l’Europe se retrouve aujourd’hui face à une situation où ses entreprises se doivent d’être conformes au GDPR sans pouvoir se passer des services fournis par les GAFAM tout en évitant la mainmise de leurs données par la justice américaine. Soit un véritable casse-tête ! 

Certes, il existe des initiatives de cloud souverain, comme GAIA-X. Mais aujourd’hui, souligne Frédéric Pierucci, ce projet ne rassemble que des entreprises françaises et allemandes. L’Europe est désunie. Et Uncle Sam en profite.

Propos recueillis par Alain de Fooz

 

Le Piège Américain, un regard cru de la guerre économique qui se joue…

Arrêté et menotté à sa descente d’avion le 14 avril 2013 à New-York par le FBI pour une affaire de corruption en Indonésie. «Le Piège Américain» (JC Lattès, Prix Littéraire Nouveaux Droits de l’Homme  2019) n’est pas un roman, même s’il le lit comme un polar. L’ancien dirigeant d’Alstom Power, Frédéric Pierucci, y raconte sa descente aux enfers et sa découverte brutale du système judiciaire et pénitentiaire américain.

Que lui reproche-t-on ? A la suite d’un contrat gagné par Alstom en Indonésie en 2004, l’ancien dirigeant est poursuivi par la justice américaine dans le cadre de du PCPA (Foreign Corrupt Practices Act. L’ancien cadre n’a pas touché un centime, mais il était au courant des «pratiques» du groupe. Cela suffit pour la justice américaine.

Otage économique

Lâché par Alstom, Frédéric Pierucci va passer plus de deux ans en prison. Dans son livre, il dénonce l’absence de sanctions du ministère américain de la Justice en près de quarante ans vis-à-vis des géants américains du pétrole ou de la défense et le fait que sur 26 amendes de plus de 100 millions USD infligées entre 1977 et 2014, 21 l’ont été à des sociétés non américaines. Pour l’ex-cadre d’Alstom, les Etats-Unis utilisent clairement le FCPA à des fins de domination économique. C’est ce levier qui a poussé l’ancien patron d’Alstom, Patrick Kron, à vendre le groupe à GE pour 12 milliards USD, affirme l’ouvrage.

«Le Piège Américain» (JC Lattès, Prix Littéraire Nouveaux Droits de l’Homme 2019) n’est pas un roman, même s’il le lit comme un polar.

Puis, il y a l’affaire judiciaire. «Otage économique», Frédéric Pierucci a clairement payé pour Alstom, qui faisait l’objet d’une enquête de la justice américaine depuis 2009. La plupart des poursuites engagées par le DOJ, notamment dans le cadre du FCPA, sont réglées via des procédures transactionnelles et non par la voie judiciaire, plus longue et plus coûteuse. Mais pour cela, l’entreprise poursuivie doit accepter de coopérer. Et même s’auto-incriminer, ce qu’Alstom s’est refusée à faire en premier lieu. Emprisonner un cadre de la société était, dès lors, un moyen de faire pression sur l’entreprise.

Acquisitions dans des conditions similaires

Enfin, le livre propose une lecture plus politique, centrée sur la guerre économique entre les États-Unis et l’Europe. Selon Frédéric Pierucci, GE a profité des poursuites judiciaires américaines d’Alstom pour mettre la main sur Alstom Power. Voire a collaboré avec la justice américaine pour obtenir le deal. Finalement, le deal sera accepté par le PDG Patrick Kron, qui risquait gros dans la procédure.

La thèse d’une collusion entre la justice américaine et GE, et la supposée pression des Américains pour acquérir Alstom Power ne sont pas avérées, même à l’issue d’une commission d’enquête parlementaire lancée en novembre 2017 et même si GE a curieusement acquis déjà 5 entreprises dans des conditions similaires où elles étaient poursuivies par le Department of Justice pour enfreinte au FCPA… L’auteur tente pourtant dans son livre d’en apporter les preuves. La lecture n’en est que plus passionnante.

Cloud: Les tendances, analyses, customer cases.

Les modalités du cloud : Private cloud, public cloud, hybrid cloud, multi cloud, etc…

Summary
Peut-on encore éviter le piège du Cloud Act ?
Article Name
Peut-on encore éviter le piège du Cloud Act ?
Description
A travers le Cloud Act, des fleurons européens pourraient tomber dans le giron de leurs concurrents américains. Un piège aux allures de loi.
Author
Publisher Name
Solutions Magazine
Publisher Logo