Communiqués de presse

Accès des gouvernements aux données : exposons les faits

Jun 21, 2021

Par Martin Jetter, Président d’IBM pour l'Europe, le Moyen-Orient et l'Afrique, le 21 juin 2021 : IBM est engagée depuis plus de 100 ans en Europe, avec de nombreux datacenters Cloud, des laboratoires de recherche, des espaces d'innovation et des centres d'excellence répartis dans toute l'Europe. Nous avons non seulement l'une des plus longues histoires de toutes les entreprises technologiques accompagnant des clients majeurs dans tous les secteurs en Europe, mais nous avons également, par conséquent, des relations étroites et constantes avec les clients européens. Agnieszka Bruyère, Vice-Présidente d'IBM Cloud pour la région EMEA, a aussi publié un article sur la souveraineté numérique et notre offre de services EU-only.

Les institutions de l'UE, les gouvernements européens et nos clients européens sont légitimement préoccupés par la confidentialité des données dans les flux de données transfrontaliers. Pas plus tard que le 28 mai dernier, la Commission européenne a commencé à recueillir des informations sur la manière d'atténuer les risques résultant de l'accès par les gouvernements aux données non personnelles des entreprises établies dans l'UE, détenues par les fournisseurs de services de Cloud computing. Il est donc très important que nous exposions les faits concernant IBM en Europe et la manière dont nous répondons à ces questions importantes.

Les entités IBM basées en Europe sont des sociétés individuelles constituées dans le ou les États membres concernés. Ces entités sont distinctes de leurs sociétés mère et sœurs, sont soumises au droit national et rejetteront les demandes d'accès aux données qui leur sont confiées par des entreprises ou des clients du secteur public émanant d'autorités qui n'ont pas compétence pour exiger ces données (qu'il s'agisse du gouvernement américain ou de TOUT AUTRE gouvernement étranger). Alors qu'IBM, en tant qu'entreprise mondiale, a publiquement fait état de ses engagements stricts pour protéger les données des clients en cas de demandes gouvernementales, et ceci bien avant l'entrée en vigueur du RGPD, je souhaite réitérer et souligner ce que ces engagements signifient pour les sociétés IBM en Europe.

Les sociétés européennes d'IBM ne sont pas différentes des autres sociétés européennes

Les sociétés européennes d'IBM sont soumises au droit de l'Union européenne et au droit du pays où elles opèrent, ce qui comprend toutes les protections, y compris la protection de la vie privée, imposées par ce droit.

Cette situation n'est pas différente de celle des autres entreprises européennes. Notre respect de la législation locale n'est pas affecté par les relations entre les sociétés du groupe IBM.

Le gouvernement américain n'a pas compétence pour exiger des sociétés européennes d'IBM les données qui nous sont confiées par nos client des secteurs privé et public sur la base du fait que ces sociétés ont une société mère basée aux États-Unis. Ni le US CLOUD Act ni aucune autre loi analogue ne change cela.

Les sociétés européennes d'IBM contesteront toute demande qui excéderait la compétence de l’autorité qui émet cette demande.

IBM et le US CLOUD Act : quels sont les faits ?

Depuis l’entrée en vigueur de l’US CLOUD Act en mars 2018, ni IBM Corporation ni aucune des sociétés du groupe IBM n'ont fourni de contenu client en vertu de cette loi. En fait, si l'on considère l'ensemble des sociétés mondiales affiliées à IBM, IBM a reçu au total 1 demande en vertu du CLOUD Act impliquant du contenu client situé en Europe. En ce qui concerne cette requête, IBM a établi que la demande était incompatible avec les principes qu'IBM fait valoir depuis longtemps concernant l'accès aux données par les gouvernements, et IBM US a refusé de fournir des données situées en dehors des États-Unis.

Au lieu de cela, IBM a insisté pour que le gouvernement américain contacte directement le client, ou passe par le processus du Traité d'Assistance Judiciaire Mutuelle (MLAT) reconnu au niveau international. Face à la position d'IBM, le gouvernement américain a suivi la procédure de MLAT. Selon nous, le résultat aurait été le même avant l'adoption du CLOUD Act.

IBM a également réaffirmé sa position selon laquelle le gouvernement américain n’a pas compétence pour obliger les filiales d'IBM - qui sont toutes des entités juridiques distinctes - à divulguer les données de leurs clients simplement sur la base de leur appartenance au groupe IBM.

De plus, l'US CLOUD Act est utilisé uniquement pour requérir des données électroniques d'entreprises et de plateformes de services numériques afin de lutter contre les crimes graves, y compris le terrorisme, et quand ces données électroniques peuvent contenir la preuve d'un crime grave. IBM n'est pas une plateforme numérique contrôlant de vastes quantités de données d'utilisateurs - IBM est un fournisseur de services Cloud pour les entreprises et les gouvernements.

IBM est très différente des autres sociétés de Cloud

Tout d'abord, nous sommes différents des plateformes numériques destinées aux consommateurs. La nature de nos principales activités et de nos clients nous distingue des autres grandes plateformes du secteur, notamment de celles dont le modèle économique consiste principalement en une interaction directe avec les consommateurs, et qui collectent et contrôlent de grandes quantités de données sur ces derniers.

En outre, les activités d'IBM ne consistent pas à fournir au grand public des services de communication téléphonique ou Internet traditionnels. IBM traite principalement des données d’entreprise qui seraient peu utiles à des fins de renseignement ou de sécurité nationale, et ne sont généralement pas la cible des demandes des autorités de pays tiers.

Grâce à ce business model différent, les sociétés européennes d'IBM ont reçu à ce jour très peu de demandes de données clients de la part des autorités de pays tiers.

Deuxièmement, IBM se distingue des autres fournisseurs de Cloud d'entreprise.

Par exemple, notre expérience du CLOUD Act place IBM, ayant reçu si peu de demandes dans le cadre du CLOUD Act, dans une position unique sur le marché du Cloud d'entreprise. En outre, IBM occupe une position à part en tant que seul fournisseur leader de Cloud d'entreprise sans une activité visant les consommateurs qui peut générer chaque année des milliers de demandes gouvernementales supplémentaires pour les données des clients. De plus, nos principes et pratiques selon lesquels les données de nos clients appartiennent aux clients et non à IBM, nous distinguent également, y compris des autres fournisseurs de Cloud d'entreprise.

Mais basons-nous sur les chiffres.

Tout ceci est confirmé par notre dernier rapport de transparence : en 2020, à une exception près, aucune société IBM n'a fourni (ni n'a même été requise de fournir) des données associées à un client autres que des informations permettant aux autorités de contacter directement le client. De plus, cette seule exception n'impliquait ni le CLOUD Act ni une quelconque autorité aux États-Unis. Cette demande, comme toutes les autres demandes auxquelles IBM a été confrontée, a été résolue en totale conformité avec la législation locale.

Poursuivre la construction d'un « Cloud de confiance » en Europe

Alors que d'autres commencent maintenant à chercher comment améliorer leurs propres moyens de protection, IBM n'a cessé d’instaurer la confiance dans la manière dont les données sont traitées dans l'écosystème du Cloud européen, et a déjà mis en œuvre des innovations et des mesures de protection.

Grâce à notre offre EU-only pour le stockage et le traitement des données en Europe, combinée à nos nouvelles avancées technologiques telles que la technologie de chiffrement « Keep Your Own Key » et le confidential computing (l’informatique confidentielle), ainsi qu’à notre engagement dans les politiques publiques de l'UE et les initiatives de l'industrie, telles que l’EU Cloud Code of Conduct et GAIA-X, IBM continue d'être le leader dans le soutien à l'Europe, en créant un environnement de confiance dans le Cloud.

Lisez le blog d'Agnieszka Bruyère, Vice-Présidente d'IBM Cloud pour la région EMEA, pour savoir comment nous nous y prenons.

Contacts presse :

IBM
Gaëlle Dussutour
Tél. : + 33 (0) 6 74 98 26 92
dusga@fr.ibm.com

Weber Shandwick pour IBM

Robin Legros / David Boutet

Tél. : + 33 (0)6 68 04 57 83 / +33 (0)6 6 63 45 03 79

ibmfrance@webershandwick.com

 

 

Thématiques du communiqué