Intervention de Diane Dufoix-Garnier

Cette question me permettra de préciser la position qui est celle d'IBM France, mais aussi d'IBM US ou Corp. Nous considérons que « Compagnie IBM » (nom officiel de notre société française) est une société française indépendante, opérant en France. Cela signifie qu'IBM France n'est pas soumise à la juridiction d'autorités gouvernementales étrangères qui lui demanderaient de communiquer des données, que ce soit au titre du Cloud Act ou de toute autre législation équivalente. Le simple fait qu'IBM France soit la filiale d'un groupe américain amène souvent à penser qu'elle est soumise au droit américain, mais ce fait ne suffit pas à la soumettre au Cloud Act, et seul le droit français s'applique en réalité à IBM France, en France, du fait de sa structure juridique. IBM France et IBM Corp dans son ensemble s'engagent donc très fortement à contester toute demande qui lui serait adressée et qui ne relèverait pas de la compétence des juridictions françaises ou ne serait pas conforme au droit français. IBM France n'est pas une entreprise américaine, et à ce titre n'est pas soumise au droit américain ni aux injonctions de l'administration américaine.

S'agissant de la réalité de cette menace et du nombre de demandes que nous recevons, il faut d'abord rappeler qu'IBM est une entreprise du BtoB. Les données de nos clients ne constituent donc pas une priorité pour les demandes gouvernementales, et le cloud ne fait pas exception à cet égard. Nous ne recevons donc pas beaucoup de demandes. À ce jour, IBM a reçu extrêmement peu de requêtes dans le cadre du Cloud Act. Nous y avons répondu en appliquant scrupuleusement les positions que je vous ai exposées, et plus généralement nos principes en matière de remise des données aux acteurs gouvernementaux, aux agences ou aux juges, et ces positions ont été entendues par le gouvernement américain, puisqu'IBM n'a jamais eu à fournir de données au titre de requêtes Cloud Act. Dans les quelques cas où nous avons reçu une telle requête Cloud Act, le gouvernement américain a entendu notre approche, et a appelé à la voie de la coopération judiciaire liée au Mutual Legal Assistance Treaty (MLAT). Depuis trois ans, le Cloud Act n'a donc eu aucun impact sur l'accès aux données de clients français d'IBM, ou de tout autre client d'IBM situé hors des États-Unis.

Le cloud hybride constitue-t-il un rempart supplémentaire par rapport à cette première réponse très juridique, qui constitue une posture de gouvernance concernant notre structuration juridique ? Il fait en effet partie de notre « arsenal » de solutions de protection contre les enjeux de sécurité en général, y compris celui de l'extraterritorialité de certains droits. Nous disposons de solutions technologiques telles que le chiffrement, avec la mise à disposition des clés de chiffrement au client et à lui seul. Selon la sensibilité de ses données, nous pouvons également l'orienter s'il le souhaite, pour le protéger contre le risque d'extraterritorialité des droits, mais aussi contre le risque de cybersécurité en général, vers des solutions comme, par exemple, le cloud hybride. Notre premier rempart, et le plus important pour nous, reste cependant notre posture juridique et de gouvernance.