En février 2025, Apple a préféré retirer la fonctionnalité de chiffrement de bout en bout « Advanced Data Protection » pour les utilisateurs de son service de stockage iCloud au Royaume-Uni, plutôt que de créer une porte dérobée dans ce système. Cette demande de backdoor était exigée par le ministère de l’Intérieur britannique via un « avis de capacité technique », en vertu de la loi sur les pouvoirs d’enquête, l’Investigatory Powers Act (Act).
Le chiffrement est l’une des mesures techniques indispensables pour assurer la sécurité des données et respecter le principe de « Privacy-by-Design ». Il empêche l’accès aux données, même en cas de demande d’accès des autorités étrangères.
La loi IPA ayant une portée extraterritoriale, elle permet au gouvernement britannique d’imposer des exigences à des entreprises dans d’autres pays, et pour des utilisateurs situés dans le monde entier, tout en ayant la possibilité d’interdire aux fournisseurs d’informer leurs utilisateurs.
Cette affaire « Apple / loi IPA » pourrait bien constituer une rupture, le début d’une remise en cause du chiffrement de bout en bout. Elle n’a d’ailleurs pas de précédent connu à ce jour dans d’autres démocraties. Céder sur le chiffrement revient à ouvrir la porte à une surveillance systémique, considérée comme incompatible avec les valeurs démocratiques. Explications.
L’Investigatory Powers Act (IPA), une attaque contre le chiffrement
L’Investigatory Powers Act (IPA) est une loi britannique de 2016 établissant un nouveau cadre pour régir l’utilisation et la supervision des pouvoirs d’enquête par les forces de l’ordre et les agences de sécurité et de renseignement.
Cette loi a rassemblé de nombreux pouvoirs d’enquête existants du Royaume-Uni en une seule législation. Ses opposants voient en elle une extension des pouvoirs des agences de renseignement britanniques. Edward Snowden a qualifié l’IPA comme étant l’une des pires législations en matière de renseignement du monde occidental.
La technologie et les types de menaces auxquelles le Royaume-Uni fait face ayant rapidement progressé et évolué, l’Investigatory Powers Act a été révisé en 2023 et 2024, avec pour objectif de permettre aux agences de sécurité et de renseignement de faire face à une gamme de menaces en pleine évolution.
L’une des critiques les plus fortes envers le texte porte sur les pouvoirs étendus accordés au Home Office. Le ministère de l’Intérieur britannique bénéficie, avec l’IPA, de la possibilité de transmettre des ordres aux entreprises technologiques et d’exiger un accès pour les services de renseignement britanniques.
Les entreprises recevant des demandes de coopération se voient imposer un régime de secret, puisqu’elles sont dans l’interdiction légale de divulguer l’existence de ces demandes sans autorisation explicite du ministre de l’Intérieur. Or cette exigence de secret et l’absence de notification aux utilisateurs empêche les citoyens de comprendre l’état de sécurité des outils de communication qu’ils utilisent.
SecNumCloud : label de confiance
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Enfin, l’IPA permet de forcer l’ajout de backdoors, même en cas de chiffrement de bout en bout. La loi IPA donne ainsi la capacité au gouvernement d’obliger les entreprises à créer des portes dérobées dans leurs systèmes pour permettre aux services de renseignement de contourner le chiffrement. C’est ce qui s’est passé avec Apple au début de l’année 2025, l’entreprise ayant reçu un « avis de capacité technique » s’appuyant sur l’article 253 de l’Investigatory Powers Act et lui demandant d’introduire une porte dérobée dans sa fonctionnalité optionnelle « Advanced Data Protection », destinée à sécuriser les données sauvegardées via iCloud.
Chiffrement et backdoors : un faux dilemme
Le principe même de la création d’une porte dérobée à destination des autorités britanniques pose un problème fondamental. Une fois qu’une faiblesse existe dans un système de chiffrement, elle peut potentiellement être découverte et utilisée par n’importe qui, en particulier à des fins malveillantes, pour accéder aux données des utilisateurs. Il s’agit d’une atteinte grave à la protection de la vie privée et des libertés civiles.
Les experts en cybersécurité ont fait part de leur désapprobation quant à l’obligation d’ajouter des portes dérobées. Ils déplorent également la possibilité accordée au ministère de l’Intérieur de retarder ou de bloquer des propositions de changements en matière de sécurité faites par les fournisseurs de services. L’ONG TechUK craint de son côté que l’IPA serve de modèle à des gouvernements moins démocratiques désireux de renforcer leurs contrôles sur les citoyens.
Le patron d’Apple, Tim Cook, a affiché publiquement ses craintes quant au fait de créer « un dangereux précédent ». L’entreprise a toujours refusé de créer dans ses produits ou services des portes dérobées destinées à contourner le chiffrement. De leur côté, les dirigeants de WhatsApp et de Signal ont déclaré qu’ils préféreraient quitter le Royaume-Uni plutôt que d’affaiblir leur chiffrement de bout en bout en y introduisant des portes dérobées.
Dans le cadre de l’affaire Apple, les organisations de défense des libertés – l’Electronic Frontier Foundation, l’American Civil Liberties Union, Amnesty International, le Projet TOR, Mozilla – ont fait part de leur soutien à la marque à la pomme.
L’IPA, une illustration concrète des risques de l’extraterritorialité
De portée extraterritoriale, l’Investigatory Powers Act ne se contente pas d’opérer sur le territoire britannique. Le gouvernement britannique serait donc en mesure d’imposer des exigences secrètes aux fournisseurs situés dans d’autres pays, et qui s’appliqueraient à leurs utilisateurs situés dans le monde entier.
L’IPA n’est pas la seule loi qui dépasse les frontières du pays qui l’a vu naître. De l’autre côté de l’Atlantique, le Cloud Act permet aux autorités américaines d’accéder aux données relatives aux communications électroniques stockées sur des serveurs situés aux États-Unis ou dans d’autres pays. Toujours aux États-Unis, la loi FISA (Foreign Intelligence Surveillance Act), prolongée jusqu’en 2026, constitue l’un des outils de surveillance les plus étendus du gouvernement américain. Elle permet aux services de renseignement du pays d’accéder aux communications de non-Américains à l’étranger, sans avoir à passer par un juge.
IPA, Cloud Act, loi FISA, ces trois législations revendiquent toutes la capacité d’accéder aux données au-delà de leurs frontières nationales. Elles imposent des obligations de coopération aux entreprises technologiques, et opèrent dans le secret, empêchant souvent ces entreprises d’informer leurs utilisateurs.
En vertu de ces lois à portée extraterritoriale, les entreprises européennes utilisant des solutions non souveraines se retrouvent exposées à des juridictions étrangères et perdent la maîtrise de leurs données et de leur souveraineté.
Cette situation expose également les entreprises européennes à des conflits de juridictions, par exemple entre le Cloud Act et le RGPD, le règlement européen s’opposant aux transferts de données personnelles en dehors de l’Union européenne sans niveau de protection adéquat.
La localisation des données (via l’emplacement des datacenters) n’est plus un critère suffisant pour assurer la souveraineté des données. Il faut désormais également prendre en compte la juridiction à laquelle sont soumises les données.
Les solutions de stockage de données fournies par AWS, Microsoft ou Google ne sont pas considérées comme souveraines (même si elles hébergent les données de leurs clients français sur le sol français, par exemple), puisqu’elles sont soumises à la législation des États-Unis. À l’inverse, dans le cas d’un cloud souverain, les données sont stockées sur des serveurs situés en France, mais elles sont surtout gérées par un acteur français et placées sous juridiction française.
L’approche Oodrive : sécurité, conformité et souveraineté
Dans ce contexte, Oodrive adopte une démarche articulée autour de la sécurité, de la conformité réglementaire et de la souveraineté numérique.
Ses solutions sont conformes aux réglementations les plus strictes en matière de sécurité, dès leur conception, dans le cadre d’une architecture « Security-by-Design ». Les mécanismes de sécurité – chiffrement de bout en bout, authentification forte, etc. – sont intégrés nativement et de manière transparente pour les utilisateurs, ce qui leur garantit une expérience fluide. Les données sont protégées, sans impacter la productivité. Les clés de chiffrement sont gérées exclusivement par les clients, stockées dans un boîtier HSM dédié.
Oodrive est 100 % détenu et exploité en France. L’entreprise héberge ses solutions collaboratives sur le territoire national (hébergement souverain). Les données de ses clients ne sont pas soumises aux lois extra-européennes de type Cloud Act ou FISA. Elles sont exclusivement sous juridiction française, et donc à l’abri de l’espionnage et des ingérences extérieures, en conformité totale avec le RGPD.
Oodrive est le premier éditeur de logiciel à avoir obtenu dès 2019 la qualification SecNumCloud, délivrée par l’ANSSI, pour ses offres SaaS hébergées en cloud privé. Oodrive est le seul éditeur qualifié SecNumCloud version 3.2 de bout en bout, de l’infrastructure au logiciel.
Aux enjeux de sécurité, de conformité et de souveraineté s’ajoute également, pour Oodrive, une exigence de transparence vis-à-vis de ses clients. Fidèle à son engagement en faveur de la confiance numérique, Oodrive n’introduira jamais de backdoor ou autre accès caché dans ses solutions.
La sécurité ne peut pas être conditionnelle. Céder sur le chiffrement reviendrait à fragiliser tout l’écosystème numérique. Plus de 2,5 millions de professionnels ont choisi de collaborer sur leurs projets sensibles au sein de la bulle de confiance Oodrive, témoignant de la pertinence de cette approche transparente et responsable.
Ne rien céder en matière de sécurité, une responsabilité collective
L’affaire « Apple / loi IPA » au Royaume-Uni constitue bien plus qu’un simple différend technique sur le chiffrement entre une entreprise et un gouvernement. Elle soulève une question critique : sommes-nous prêts à sacrifier les fondements de la protection des données dans le cadre de la surveillance imposée par les États ?
Face à cette offensive contre le chiffrement de bout en bout, les entreprises européennes ont un rôle à jouer, qui consiste à ne pas céder aux solutions non souveraines, à ne pas sacrifier la sécurité pour la commodité. Elles risquent sinon de perdre le contrôle sur leurs données les plus sensibles et s’exposent à des demandes d’accès à leurs données par les autorités étrangères.
Au-delà de la localisation géographique des serveurs, c’est la juridiction à laquelle sont soumises les données qui détermine leur niveau de protection réel. Une donnée hébergée en France mais gérée par un acteur américain reste exposée aux lois extraterritoriales américaines. Les entreprises européennes doivent intégrer cette réalité dans leurs choix technologiques et privilégier des solutions véritablement souveraines.
Face à cette remise en cause du chiffrement, l’Europe doit affirmer sa vision d’un numérique respectueux des droits fondamentaux et soutenir un écosystème cloud européen, éthique et souverain. Par leurs choix technologiques, les entreprises peuvent faire émerger un modèle numérique européen respectueux des valeurs démocratiques, en privilégiant les acteurs transparents.
