Atlantico. Sans surprise, Apple a cédé aux exigences chinoises. En effet, depuis le 28 février, Pékin n’a plus à demander l’autorisation aux autorités américaines pour avoir accès aux données personnelles des comptes utilisateurs chinois, puisque leur stockage se fera désormais à l’intérieur des frontières du pays. Quelles peuvent être les conséquences directes pour les données des utilisateurs chinois, in fine, si l’on se base sur le cas de Yahoo en 2005 ?
Franck DeCloquement : Comme vous le rappelez en introduction, il y a une dizaine d’années en effet, Yahoo laissait le régime chinois accéder aux données de ses utilisateurs. De triste mémoire, l’entreprise américaine avait ainsi rendu possible l’arrestation puis l’emprisonnement consécutif de deux opposants politiques chinois. Ainsi, l’affaire avait aussi contribué à éveiller les consciences et permis de jeter un regard très cru sur les conséquences funestes que pouvait entrainer la délégation d’un système technologiques à un régime autoritaire, aux méthodes policières particulièrement expéditives.
Sous la pression d’une possible interdiction des ventes ou l’abandon de ses services de Cloud dans le pays, Apple se retrouve elle aussi aujourd’hui confrontée à ce dilemme. Bien qu’aux États-Unis, la firme à la pomme ait fait mine de s’en désoler par communiqués de presse interposés, la messe est dite. Et pour la première fois, l’entreprise californienne très exposée aux décisions du régime chinois tourne le dos à ses valeurs fondamentales. Elle stockera donc désormais en République populaire de Chine, les clés numériques de chiffrement qui permettent de débloquer les comptes utilisateurs chinois de son service iCloud. La presse internationale c’est en effet faite l’écho de cette euphémique « transition significative » anticipée par les spécialistes du secteur. C’est bien entendu dans une optique business qu’Apple se soumet expressément à la nouvelle législation chinoise promulguée en 2017, et qui impose que toutes les données collectées auprès des utilisateurs locaux restent hébergées sur le sol national. Le régime dispos donc, dès à présent, d’un accès privilégié – « premium » diront certains – à toutes les informations personnelles de ses ressortissants, sans s’astreindre aux contraintes du droit américain. Une annonce sans surprise au demeurant pour les observateurs avisés, puisque Apple avait déjà cédé par le passé aux directives pressantes de Pékin qui avait exigé des nombreuses entreprises étrangères basées en Chine, de n’utiliser que des logiciels dûment validés par les autorités du pays pour accéder à la toile mondiale. Mais pour Apple, la Chine représente le troisième marché le plus lucratif après les États-Unis et l’Europe. Au dernier trimestre 2017, la firme à la pomme enregistrait d’ailleurs 19 % de ses revenus en Chine. Faisant d’elle, l’un des rares géants américains implantés dans le pays, puisque Google, Facebook ou encore Amazon sont absents du marché Chinois.
Il s’agit évidemment d’un jour funeste pour les défenseurs des droits humain fondamentaux, très soucieux de garantir la confidentialité des données personnelles, et leur protection subséquente des visées régaliennes en verve chez les régimes autoritaires. En tête de cortège, l’organisation Amnesty internationale qui rappelait cruellement sur son blog mardi 27 février, l’une des promesses emblématiques affichées en toutes lettres sur le site officiel de la marque à la pomme : « chez Apple, nous croyons que la vie privée est un droit humain fondamental. » Reste à savoir si Apple peut mettre ses mots en action, poursuit en substance laconiquement l’ONG dans le rédactionnel de sa page web pour clôturer sa réprimande.
Un renoncement qui passe d’autant plus mal chez les militants, puisque que la firme américaine s’était forgé la réputation d’être une puissante défenseure de la confidentialité et de la sécurité des données. Ce faisant, le PDG d’Apple, Tim Cook, avait d’ailleurs rédigé lui-même une lettre retransmise personnellement à tous les utilisateurs de sa marque, afin de leur expliquer l’importance que pouvait revêtir pour lui la confidentialité des données pour son entreprise, suite à une décision d’un tribunal américain qui permettait désormais au Bureau Fédéral d’Investigation (FBI) de contourner la sécurité du Smartphone le plus populaire du monde, pour des raisons de sécurité nationale.
En conséquence, et à partir de la date du 28 février, l’ensemble des données personnelles qui auront été sauvegardées sur le service iCloud de la firme de Cupertino – incluant les photos, les messages privés, les documents, les contacts, et les correspondances des utilisateurs Chinois – seront hébergées sur les serveurs de la société chinoise, Guizhou-Cloud Big Data Industry Development Co., Ltd (« GCBD »), et non plus aux États-Unis comme cela était le cas précédemment. Ce partenariat local qu’a privilégié Apple, est au demeurant une société très clairement financée et soutenue par les autorités de Pékin. Mais comment aurait-il pu en être autrement ? Cependant, l’accord en cause ne concerne pas les données stockées en local sur un iPhone ou un iPad, mais uniquement celles sauvegardées sur iCloud par un utilisateur chinois de la marque à la pomme. Toutefois, la firme américaine n’est pas au bout de ses peines en matière d’arbitrages futurs, et risque fort de se confronter à un véritable « casse-tête Chinois » quand il s’agira d’évaluer si les demandes d’information du gouvernement pourraient violer les droits humains des utilisateurs. Et personne ne saura vraiment dire à l’avance comment Apple répondra à ce type de missive sur le plan moral et éthique, jusqu’à ce qu’elle ne soit mise à l’épreuve des faits. Ce qui n’est probablement qu’une simple question de temps, étant donné que de très nombreuses dispositions de la loi chinoise ne protègent pas – ou très mal – la vie privée, ou la liberté d’expression individuelle. Et vérifier si les demandes d’information du gouvernement sont conformes à la loi chinoise ne déterminera pas au demeurant pour la firme, si le respect de la demande peut contribuer aux violations des droits humains des personnes visées. L’affaire qui se profile n’est pas simple.
Atlantico. En matière de souveraineté numérique, est-ce que ce véritable coup de force imposé par les autorités Chinoises à l’un des plus emblématiques GAFAS, ne pourrait pas servir de modèle, être appliqué ou reproduit au niveau européen au bénéfice des pays de l’union ? Est-ce seulement envisageable ?
« Tordre ainsi le bras » à Apple n’est pas imaginable en l’état au niveau européen, puisque le rapport de forces est quelque peu inversé si l’on se place dans la perspective européenne que vous évoquez. Le contexte géopolitique Chinois, la nature même du régime considéré ainsi que les enjeux de pouvoir ne sont pas comparables, et ne peuvent donc être comparés et mis en relation avec la situation européenne. En régime démocratique, les pays sont soumis à des contraintes institutionnelles, des arbitrages internationaux, économiques, budgétaires et réglementaires très forts qui leur interdisent d’imposer puissamment leur volonté « d’une seule voix », comme le pratique la Chine vis–à–vis d’Apple.
La Chine assume totalement sa position de puissance, à l’égale des Etats-Unis d’Amérique. Ce qui n’est évidemment pas le cas de l’Europe et des institutions qui pilote sa destinée, ou le terme même de « puissance » est révéré. Et entre la protection des comptes de ses utilisateurs Chinois et de ses intérêts économiques manifeste en Chine – où rappelons–le, la firme à la pomme avait prévu d’investir 470 millions de Dollars US – Apple a eu tôt fait de céder aux injonctions de Pékin pour faire prospérer son business. Retirant illico de sa boutique d’applications téléchargeables pour ses Smartphone, les applications mobiles de VPN non–autorisées par les autorités du pays, puisqu’elles permettaient au demeurant de contourner les dispositifs de blocage informatique imposés par le régime, pour accéder sans entrave à la toile mondiale…
L’énorme pression politique des autorités de Pékin aura été la plus forte en l’occurrence, compte tenu des enjeux financiers. Obligeant sans ambages l’entreprise américaine à renier sa politique affichée dans le reste du monde, de protection de la confidentialité des données personnelles de ses utilisateurs. Dans les faits, cela signifie aussi que les autorités chinoises n’auront plus à solliciter les tribunaux américains avec les protections juridiques afférentes, pour obtenir des informations sur leurs ressortissants utilisant iCloud d’Apple. Elles pourront utiliser leur propre système judiciaire pour exiger d’Apple la remise des données personnelles d’utilisateurs Chinois. Exposant ces derniers aux investigations policières musclées aux normes locales, sans la garantie d’un contrôle judiciaire indépendant. A cet effet, lorsque les utilisateurs acceptent les conditions d’utilisation d’iCloud en Chine, ils acceptent aussi que leurs informations personnelles et leurs contenus soient transmis aux forces de l’ordre « si la loi l’exige ».
On le mesure ici à travers les différents rapports d’Amnesty : « le droit interne donne au gouvernement chinois un accès pratiquement illimité aux données des utilisateurs stockées en Chine, sans protection adéquate des droits des utilisateurs à la vie privée, la liberté d’expression ou d’autres droits humains fondamentaux. La police locale dispose d’un large pouvoir discrétionnaire et utilise des lois et une règlementation large et ambiguë pour réduire la dissidence à sa partie congrue, restreindre ou censurer l’information, harceler et poursuivre les défenseurs des droits humains au nom de la « sécurité nationale » et autres délits présumés ».
En conséquence, les internautes chinois peuvent très vite être confrontés à des arrestations et des emprisonnements discrétionnaires, pour avoir simplement accédé à des informations et des idées que les autorités réprouvent et interdisent. En outre, rappel Amnesty International dans son billet, la loi chinoise sur la cybersécurité exige des opérateurs de réseau qu’ils fournissent, « soutien et assistance technique » aux agents de la force publique, et à la sécurité de l’État Chinois : « Cela signifie que lorsque les autorités s’adressent à l’entreprise partenaire d’Apple Guizhou-Cloud Big Data Industry Development Co., Ltd (« GCBD ») pour obtenir des informations sur un utilisateur d’iCloud aux fins d’une enquête criminelle, cette société aura l’obligation légale de le fournir, et peu ou pas de moyens légaux viables pour contester ou refuser la demande ». Sombre perspective.
Atlantico : Comment dès lors se protéger pour les utilisateurs chinois, si le service iCloud d’Apple est désormais à la main d’un régime autoritaire, et dont les pratiques connues sont bien différentes de celles usitées dans les Etats européens vis-à-vis de leurs populations ?
Pour les utilisateurs des services iCloud Chinois, les meilleurs moyens de se protéger dans un tel contexte sont encore d’éviter de stocker ses données personnelles sur des serveurs hébergés en Chine. Les utilisateurs disposant d’une carte de paiement et d’une adresse de facturation en dehors de la Chine pourraient s’en servir pour enregistrer leurs comptes, et ainsi conserver leurs données iCloud hors de Chine. Mais la seule option « réaliste » disponible serait de supprimer tout bonnement leurs comptes iCloud, et de désactiver définitivement le service. Les risques encourus sont à ce titre assez sérieux, car même si Apple affirme de son côté disposer de bonnes protections pour garantir la sécurité et la confidentialité des données en place, et affirmer qu’aucune backdoor ne sera créée dans les systèmes, de quelle garantie la firme dispose-t-elle face à un piratage toujours possible ?
Au demeurant, vous soulevez également dans cette dernière partie une question fondamentale quant à la responsabilité des entreprises de TIC, qui pourraient être amenées à agir et à prospérer lorsqu’elles opèrent en Chine. Les entreprises occidentales comme le rappel Amnesty Internationale : « ont la responsabilité de respecter tous les droits de l’homme partout où elles opèrent dans le monde. Les utilisateurs de leurs produits et services doivent recevoir des informations claires et spécifiques sur les risques auxquels ils pourraient être confrontés en matière de vie privée et de liberté d’expression en Chine, et sur les mesures prises par l’entreprise pour y répondre ». En outre, elles devraient procéder comme aux Etats-Unis et en Europe, à des évaluations régulières et vérifiables sur l’impact de la mise à disposition de leur technologie de contrôle dans un tel contexte. Et démontrer par la même publiquement qu’elles ont mis en place des mesures nécessaires de diligence et de responsabilité pour garantir le respect des droits humains. Enfin, et c’est aussi peut-être là un volet assez utopique, une firme de réputation mondiale telle qu’Apple devrait pouvoir faire tout ce qu’elle peut pour « influencer » le gouvernement chinois à limiter l’usage de ces technologies de contrôle, afin d’atténuer les risques élevés de violations des droits de l’homme consécutifs. Mais ceci est une autre histoire dans un contexte concurrentiel particulièrement durci, ou les BATX chinois (Baidu, Alibaba, Tencent et Xiaomi) menacent désormais l’hégémonie des GAFAM américains (Google, Apple, Facebook, Amazon et Microsoft).
Source Atlantico 01 /04/2018
Franck DeCloquement est praticien et expert en intelligence économique et stratégique (IES). Membre fondateur du Cercle K2 et ancien de l’Ecole de Guerre Economique de Paris (EGE), il est en outre professeur à l’IRIS (Institut de Relations internationales et stratégiques) en « Géo-économie et intelligence stratégique ». Il enseigne également la « Géopolitique des médias » en Master 2 recherche « Médias et Mondialisation », à l’IFP (Institut français de presse) de l’université de Paris II Panthéon-Assas. Franck DeCloquement est aussi spécialiste sur les menaces Cyber-émergentes liées aux actions d’espionnage économique et les déstabilisations de nature informationnelle et humaine. Il est en outre intervenu pour la SCIA (Swiss Competitive Intelligence Association) à Genève, aux assises de la FNCDS (Fédération Nationale des Cadres Dirigeants et Supérieurs), à la FER (Fédération des Entreprises Romandes à Genève) à l’occasion de débats organisés par le CLUSIS – l’association d’experts helvétiques dédiée à la sécurité de l’information – autour des réalités des actions de contre-ingérence économique et des menaces dans la sphère digitale.