Commentaire William Méauzoone, Leviia : Google informe ses utilisateurs de ses obligations légales de partage de données au titre de FISA, Cloud Act, Patriot Act 15:02

août 2024 par William Méauzoone, Directeur Général, fondateur de Leviia

Google envoie actuellement des emails à ses utilisateurs français pour les informer de son obligation légale de divulguer des informations confidentielles sur ses utilisateurs aux agences gouvernementales si celles-ci en font la demande. Acteur très engagé sur le sujet de la confidentialité des données et la souveraineté numérique, William Méauzoone, directeur général et co-fondateur de Leviia commente :

Nous le répétons depuis longtemps mais beaucoup d’entreprises et d’utilisateurs français n’en ont encore certainement pas conscience :

Les entreprises américaines sont soumises à plusieurs lois – Cloud Act, le Patriot et la loi FISA en tête – qui s’appliquent de manière extraterritoriale et qui de fait les obligent à transmettre les données de leurs clients européens aux autorités américaines si demande leur en est fait. L’article 702 de la loi FISA autorise par exemple la collecte d’information auprès de non-américains situés en dehors des États-Unis sans nécessiter de décision de justice, dès lors qu’une question de sécurité nationale est en jeu… Pour être plus clair, les entreprises américaines ne peuvent pas garantir la confidentialité des données d’utilisateurs français et européens qu’elles stockent.

Google communique peut-être aujourd’hui au titre de la transparence, mais c’est un fait acquis de longue date.

À un utilisateur s’interrogeant sur l’email en question, sur le réseau social Reddit, Google a fourni la réponse suivante :

« Malheureusement, Google n’est pas en mesure de fournir des détails sur les autorités gouvernementales américaines spécifiques avec lesquelles ces informations sont partagées. De plus, Google n’est pas en mesure de fournir une copie des informations partagées. Aucune action n’est requise en réponse à cet avis. ».

C’est bien le problème, la loi impose, les sociétés américaines disposent, et l’utilisateur ne saura jamais quelles données personnelles ont été partagées, avec qui et pour quel motif ?

Et à plus large échelle, rien ne nous indique que les données d’utilisateurs ne sont pas utilisées pour de l’espionnage massif organisé par les nombreuses agences gouvernementales américaines. Cela va donc jusqu’à poser de réelles questions sur notre souveraineté en tant qu’État.

La confidentialité des données en ligne est un droit fondamental et tout doit être mis en œuvre pour la garantir. Enfin, sans remettre en question la qualité des offres américaines et l’éthique des géants américains qui rappelons-le sont légalement obligées par leurs lois nationales, nous sommes tout de même en droit de nous interroger sur le fait que la France continue de confier des données sensibles – le Health Data Hub, la base de données EMC2, les données de citoyens pour les collectivités, etc. – à des acteurs US sans même envisager d’alternatives souveraines, pourtant existantes…