L’Oncle Sam contrôle les ‘laptops’ de ses visiteurs

La semaine dernière, une grande firme pharmaceutique a mis en garde ses cadres supérieurs qui voyagent régulièrement aux Etats-Unis. Le risque existe en effet que les données de leurs ordinateurs portables soient passées au crible par les autorités américaines.

La semaine dernière, une grande firme pharmaceutique a mis en garde ses cadres supérieurs qui voyagent régulièrement aux Etats-Unis. Le risque existe en effet que les données de leurs ordinateurs portables soient passées au crible par les autorités américaines.

Fin janvier déjà, l’Association of Corporate Travel Executives (ACTE) indiquait que 60% des responsables de voyages d’affaires ignorent le fait que les ordinateurs portables et tout autre support de données peuvent être examinés en profondeur, voire confisqués à l’arrivée sur le sol américain. L’ACTE évoque aussi des problèmes possibles à propos d’informations sensibles des entreprises.

Cette mesure n’est manifestement pas neuve, mais a défrayé la chronique le mois dernier, lorsque deux organisations de défense des droits des citoyens de San Francisco ont intenté un procès au gouvernement américain. Dans le cadre du ‘Freedom of Information Act’, elles exigent la clarté à propos des directives sur base desquelles ce genre d’examen et éventuellement une confiscation peuvent être décidés. Cause directe de ce procès: quelques douzaines de cas, où les personnes ciblées étaient apparemment des musulmans et/ou provenaient du Moyen-Orient ou du Sud Asiatique. Selon ces organisations, il est donc question de ‘profiling’ sur base des convictions religieuses ou de l’origine. Le service américain ‘Customs and Border Protection’ a bien entendu contesté formellement cette accusation.

Ce qui est étonnant, c’est que la mesure prise par les autorités américaines n’est en soi pas remise en question, mais bien les critères sur base desquels l’inspection est décidée. Reste à savoir comment l’information peut être sécurisée contre sa diffusion indésirable et quelles en sont les conséquences pour les voyageurs et leur entreprise. La police frontalière peut en effet inspecter non seulement les ordinateurs portables, mais aussi le contenu des GSM, PDA, lecteurs MP3, appareils photo et tout autre support de données. Et ce même si l’information est cryptée.

Lors de ces contrôles, tant les informations privées du visiteur même que des renseignements concernant son entreprise peuvent être consultés et éventuellement copiés. Et même si ces documents sont cryptés, on ne manquera pas de vous demander de les ouvrir.

Pour ce qui est de la consultation des données privées, vous, le visiteur, pouvez bien entendu décider de protester ou non. Il faut en tout cas bien considérer que parmi ces informations personnelles, il peut assurément y avoir aussi des mots de passe pour vos transactions bancaires en ligne, etc. Et quoi si on vous demandait de prouver que tous vos fichiers musicaux et/ou vidéo sont bien légaux?

Au niveau des données de votre entreprise, votre position est quelque peu plus délicate… En effet, en votre qualité d’employé, vous ne pouvez autoriser des tiers à accéder à cette information, tout en sachant qu’il faut collaborer pleinement avec le CBP (US Customers & Borders Protection). Cela signifie qu’en agissant ainsi, des informations sensibles et stratégiques, de la propriété intellectuelle, des données confidentielles sont libérées et tombent aux mains de tiers, en l’occurrence le CBP, ce qui peut constituer en soi déjà une infraction. Qu’en est-il en effet si ce faisant, les résultats ou projets d’une entreprise cotée en Bourse s’ébruitent? Cela constituerait par exemple une infraction à l’obligation d’une entreprise de veiller aux intérêts de ses actionnaires. Et qu’en serait-il s’il s’agissait de données médicales transmises à des tiers? Ou d’informations sur des personnes impliquées dans une affaire juridique?

L’ACTE même avait, l’an dernier déjà, adressé une requête de ‘liberté de l’information’ aux autorités américaines pour savoir comment empêcher une diffusion des informations copiées ou confisquées. La réponse concise indiquait que les agents du CBP étaient formés pour empêcher ce genre de choses.

Aujourd’hui, nombre d’entreprises ont décidé d’adapter leur stratégie en matière de transport de leurs données, dans l’optique d’une perte minimale et d’un respect garanti des autres exigences sectorielles et gouvernementales. L’ACTE y ajoute encore quelques recommandations qui peuvent également convenir aux particuliers qui s’envolent vers les Etats-Unis:

– Stockez le minimum d’informations professionnelles ou personnelles possibles (aucune, c’est encore mieux!) sur des appareils qui doivent passer la frontière.

– En voyage, limitez les informations personnelles enregistrées sur un ordinateur ou tout appareil électronique doté d’une capacité de stockage: Évitez les informations bancaires. Evitez les photos que vous ne souhaitez pas rendre publiques (photos de famille, etc.). Evitez les données de vos correspondants (comme les courriels, ‘instant messaging’, etc.) que vous ne souhaitez pas rendre publiques. Evitez les informations relatives à votre santé. Evitez les informations relatives aux mots de passe, etc.

– Expédiez à l’avance vos courriels et fichiers de données, afin de ne pas les perdre si votre ordinateur portable ou appareil de stockage est confisqué.

– Demandez un reçu à la personne qui confisque votre(vos) appareil(s) et notez le numéro de son badge.

– Collaborez toujours pleinement avec le personnel de la douane et de contrôle à la frontière!

Durant vos voyages d’affaires, pour disposer quand même des données nécessaires, nous vous conseillons aussi de n’installer sur l’ordinateur portable que les logiciels nécessaires, afin de prendre contact de manière sécurisée avec les systèmes centraux de l’entreprise, comme une application ‘thin-client’, un accès VPN, etc. Outre les données requises, stockez-y aussi un bureau ou poste de travail virtuel, afin d’avoir aussitôt accès aux applications, données, etc. Cette façon de faire est de toute façon conseillée, parce qu’ainsi, les données sont toujours conservées en sécurité sur les systèmes centraux de l’entreprise.

Sachez par ailleurs que si cet article a été écrit à propos des mesures en vigueur à la frontière américaine, le même genre de contrôle existe dans de nombreux autres pays, en particulier dans l’optique de la lutte contre la pornographie et la pédophilie. Tant les utilisateurs que les employeurs se doivent donc d’en tenir compte!