Le CLOUD Act, tout ce qu’il faut savoir !

À moins d’être totalement hermétique à l’actualité juridique du monde numérique, il est difficile d’être passé à côté du CLOUD Act, qui a fait couler beaucoup d’encre dans la presse internationale.

À quelques semaines de l’entrée en vigueur du Règlement général sur la protection des données, cette loi américaine est promulguée. De ce fait, il est probable que les effets du RGPD soient atténués, et que les ressortissants européens ne retrouvent pas la confiance espérée de l’usage qui est fait de leurs données personnelles.

Un peu d’histoire…

Tout commence en 2013, dans une banale affaire de trafic de drogue jugée par les juridictions pénales américaines. Pour pouvoir inculper le prévenu, le Procureur américain avait besoin de rassembler des preuves. Ce dernier a donc voulu accéder à la messagerie électronique du prévenu pour obtenir des preuves de sa culpabilité, et par la même occasion, trouver des éventuels complices dans la liste des destinataires.

Le prévenu disposait d’une adresse Outlook, dont le service est géré par Microsoft. De ce fait, le Procureur adresse une demande au géant américain pour obtenir l’accès aux emails de trafiquant. Et c’est à ce moment-là que les ennuis ont commencé…

En réponse à la demande du Procureur, Microsoft refuse la divulgation desdits emails au motif qu’ils sont hébergés sur des data centers situés en dehors du territoire américain, et plus précisément, en Irlande. Ceci échappe donc à la compétence des autorités américaines, étant donné qu’elles ne disposent pas d’une compétence extraterritoriale leur permettant de « piocher » des données contenues sur des serveurs étrangers.

La seule solution qui s’offre aux autorités, qui souhaitent obtenir les emails du prévenu, c’est le recours au Traité Judiciaire d’Assistance Mutuelle, conclu entre les États-Unis et la République d’Irlande en 2001. Pour résumer, ce traité permet aux autorités des deux États de collaborer dans le cadre d’une enquête pénale, afin que l’État requérant puisse obtenir la divulgation de données situées sur le territoire de l’État requis. Pour l’affaire du trafic de drogue, les autorités américaines ont adressé une réquisition pénale internationale aux autorités irlandaises pour obtenir les emails du prévenu, et permettre le bon déroulement de l’enquête.

Pour des raisons obscures, l’Irlande refuse la divulgation des emails, et ne fait pas droit à la demande émanant des États-Unis.

Ultime recours possible pour les autorités américaines : assigner Microsoft sur le fondement du SCA (Stored Communication Act). Il s’agit d’une vieille loi de 1986, laissant la faculté aux États-Unis d’obtenir des données informatiques dans le cadre d’une enquête pénale. Le problème de cette loi est qu’elle date de l’époque pré-internet, à laquelle les données étaient encore sauvegardées sur des disquettes. Au moment de la rédaction de cette loi, personne ne s’imaginait que le monde entier serait interconnecté et que les données pouvaient être sauvegardées sur des serveurs situés aux quatre coins du monde. De ce fait, aucune indication n’était donnée sur la portée extraterritoriale de cette loi.

Le but de l’assignation de Microsoft était de profiter du silence du SCA sur son ratione loci pour que les juridictions lui reconnaissent une portée extraterritoriale. Pour appuyer sa défense, le gouvernement américain fait valoir que Microsoft est une société américaine dont le siège social se situe dans l’État de Washington. Par conséquent, Microsoft est soumis au droit américain et se doit d’obtenir les données contenues sur ses propres serveurs, quelque soit l’emplacement de ceux-ci.

La juridiction de première instance fait droit aux arguments invoqués par le gouvernement américain en autorisant la divulgation des données stockées sur les serveurs de Dublin. Cependant, Microsoft refuse tout de même de s’exécuter car la société estime que le SCA n’a pas de portée extraterritoriale. Par conséquent, la société a décidé de faire appel de la décision rendue.

La Cour d’appel du second circuit de New York censure la décision rendue en première instance dans son intégralité, en estimant que le SCA n’a pas de portée extraterritoriale. Traduction : le gouvernement américain n’a pas le droit de demander la divulgation de données contenues en dehors de son territoire.

Le gouvernement américain choisit donc de former un pourvoi auprès de la Cour suprême, mais il ne pouvait pas prendre le risque de perdre cette affaire. Il a donc fallu ruser, en trouvant une solution pour que la portée extraterritoriale du SCA soit reconnue.

Et la feinte a été vraiment bien trouvée, à quelques mois du jugement de l’affaire devant la Cour suprême : le CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Cette loi permettrait au gouvernement américain d’accéder aux données personnelles contenues sur des serveurs étrangers, et ce, en s’affranchissant de toutes les limites extraterritoriales. En somme, c’était le jackpot pour les États-Unis.

Le problème est que les parlementaires n’adopteraient jamais une telle loi qui risquerait de créer des tensions dans les relations avec le reste du monde.

EN BREF : Le gouvernement américain souhaitait accéder à des données hébergées sur un serveur situé en Irlande. Microsoft est assigné pour obtenir la divulgation de ces données, mais la société refuse au motif que le SCA n’a pas de portée extraterritoriale. Par conséquent, le gouvernement souhaite faire voter le CLOUD Act, ayant vocation à abolir cette limite extraterritoriale.

L’adoption du CLOUD Act : un tour de passe-passe

Le gouvernement américain est face à un défi de taille : il faut que le CLOUD Act soit adopté avant que l’affaire soit examinée et jugée par la Cour suprême. En d’autres termes, il fallait que tout se déroule rapidement.

L’exécutif était conscient que cette loi donnerait lieu à de nombreux débats, des amendements sans fin, et une mauvaise image dans la presse.

Une idée ingénieuse a donc été trouvée. Le CLOUD Act a été inséré au sein de la loi de finances pour l’année 2018. Cette loi était un pavé de 2232 pages destiné à noyer le poisson. Le CLOUD Act se trouvait à la page 2201, alors qu’il n’avait strictement rien à voir avec le budget de l’État. La stratégie du gouvernement était donc de noyer le texte dans la masse pour qu’il passe inaperçu auprès des députés. Peu d’entre eux ont dû lire en détail les 2232 pages du texte de loi, et comme c’était la fin de l’année et que le budget devait être adopté rapidement, ils ne pouvaient pas se permettre de proposer des amendements à tout-va.

Par conséquent, comme la loi de finances a été adoptée en bloc en décembre 2017, le CLOUD Act était également voté.

Étant donné que l’affaire opposant Microsoft au gouvernement américain serait très bientôt examinée par la Cour suprême, il fallait que la loi entre rapidement en vigueur. De ce fait, Donald Trump l’a officiellement promulguée le 23 mars 2018.

Cette entrée en vigueur arrive juste à temps, à quelques semaines de l’arrêt rendu par la Cour suprême le 17 avril 2018.

Sans surprise, la haute juridiction a évidemment tranché l’affaire en faveur du gouvernement américain. Elle n’avait pas réellement le choix, puisqu’elle a dû motiver sa décision en se fondant sur la loi entrée en vigueur quelques jours plus tôt.

Désormais, les États-Unis peuvent librement accéder aux données contenues sur des serveurs étrangers.

EN BREF :Pour que les députés votent rapidement le CLOUD Act avant que l’affaire Microsoft soit jugée par la Cour suprême, le gouvernement américain l’a inséré à l’intérieur de la loi de finances pour l’année 2018. En votant le budget, les députés ont aussi voté le CLOUD Act. Par conséquent, la Cour suprême a dû appliquer le CLOUD Act lorsqu’elle a jugé l’affaire, puisqu’il est entré en vigueur quelques semaines plus tôt.

Mais que prévoit exactement le CLOUD Act ?

Le CLOUD Act est un texte assez envahisseur des États-Unis à l’échelle mondiale, puisqu’ils disposent d’un droit d’accès à des données personnelles qui sont hébergées dans des data centers situés aux quatre coins du monde.

Néanmoins, cette loi s’applique uniquement aux entreprises constituées aux États-Unis. Tous les géants du web y sont donc soumis, y compris leurs filiales européennes.

Pour obtenir cet accès aux données situées à l’étranger, les autorités américaines doivent obtenir un mandat, qui peut être délivré s’il existe une présomption sérieuse que la personne a commis, ou qu’elle s’apprête à commettre, une infraction pénale. Les autorités transmettront ce mandat au fournisseur de service américain concerné afin qu’il divulgue les données demandées. Si ce fournisseur estime que la demande n’est pas fondée, il peut demander l’annulation ou la modification du mandat (il s’agit d’une motion). Cependant, la marge de manœuvre qui leur est laissée est bien trop limitée : uniquement si l’individu concerné par le mandat n’est pas américain et qu’il ne réside pas sur le territoire américain, il sera possible d’obtenir l’annulation du mandat.

Autant dire que les recours offerts aux plateformes sont donc extrêmement maigres.

Par ailleurs, les autorités judiciaires ont également une marge de manœuvre restreinte sur les possibilités d’annulation ou de modification du mandat, puisqu’elles peuvent le faire uniquement selon une liste limitée de cas soumis par le CLOUD Act. De ce fait, leur pouvoir d’appréciation souveraine est mis à mal par cette loi.

EN BREF : Lors d’une enquête pénale, le CLOUD Act impose aux entreprises américaines de divulguer des données situées sur n’importe quel serveur dans le monde. Les possibilités de recours pour les fournisseurs de services sont très faibles.

Une loi contraire à l’esprit du RGPD

Lorsque le Règlement européen 2016/679 relatif à la protection des données personnelles a été adopté en 2016, les institutions européennes étaient fières de leur avancée dans la protection de leurs ressortissants.

L’idée première du RGPD était de redonner aux particuliers (et aux entreprises, dans une moindre mesure) le contrôle sur l’usage de leurs données personnelles par les tiers. Les ressortissants retrouveraient ainsi confiance pour investir ou consommer au sein du marché intérieur. L’Union européenne en ressortirait gagnante, et les utilisateurs seraient moins frileux à l’idée de consommer, maintenant qu’ils savent que leurs données sont « censées » être protégées.

Cependant, cette sécurité paraît illusoire, puisqu’elle est en contradiction directe avec le CLOUD Act. En effet, toutes les entreprises ayant des filiales au sein de l’Union européenne se retrouvent tiraillées entre l’application de la loi américaine qui a vocation à s’appliquer extraterritorialement, et le droit européen qui interdit le transfert des données personnelles en dehors de l’Union.

Au premier abord, ces transferts vers les États-Unis ne semblent pas particulièrement graves. En effet, l’article 45 du RGPD prévoit une possibilité de transfert sur un territoire tiers par le biais d’une décision d’adéquation conclue avec l’Union européenne. Les États-Unis avaient négocié cette décision d’adéquation il y a quelques années, intitulée Safe Harbor. Cependant, cet accord était particulièrement critiqué pour son manque de protection des données personnelles. Ces critiques se sont confirmées lorsque la Cour de Justice de l’Union européenne a invalidé tout le Safe Harbor en 2015, dans l’arrêt Schrems.

Dans la panique, la Commission européenne s’est réunie avec les États-Unis pour adopter un nouvel accord plus respectueux du traitement des données personnelles fait par les entreprises américaines. Le 12 juillet 2016, la Commission annonce fièrement l’adoption d’un accord avec les États-Unis : le Privacy Shield, entré en vigueur le 1^er août 2016.

Toutefois, ce nouvel accord ne semble pas plus différent du précédent, qui a été vivement critiqué puis annulé. Même le G29, l’ancien organe consultatif de l’Union européenne, a fait part de ses inquiétudes sur le Privacy Shield, qui n’offre toujours pas de garanties suffisantes sur l’usage des données personnelles transférées aux États-Unis.

Par conséquent, il est légitime de douter des conséquences du CLOUD Act au sein de l’Union européenne. Les autorités américaines peuvent obtenir à distance des données personnelles conservées au sein de l’Union européenne. Ceci fait vraiment une mauvaise publicité pour le RGPD, qui tente d’enrayer ce genre de pratique.

C’est donc à un conflit de lois que sont confrontées les filiales européennes des groupes américains. Si elles transfèrent les données aux États-Unis, elles risquent d’être sanctionnées sur le fondement de l’article 83 du RGPD (amende d’un montant de 20 millions d’euros ou de 4% du chiffre d’affaires mondial). A contrario, si elles n’effectuent pas ce transfert, la société pourra être condamnée par les juridictions américaines.

Il s’agit donc d’un véritable casse-tête qui s’impose aux entreprises américaines malgré elles. Tant que ces incertitudes juridiques et politiques ne seront pas résolues, il est déconseillé de choisir une solution issue d’un groupe américain.

EN BREF : Les filiales européennes d’entreprises américaines sont confrontées à un conflit de lois. Elles doivent respecter le droit européen, mais aussi le droit américain, alors qu’ils sont incompatibles.

Les solutions envisageables

Il n’existe pas de solution miracle pour garantir qu’une entreprise américaine ne transfèrera pas les données d’utilisateurs européens aux États-Unis. Les utilisateurs doivent être prudents lorsqu’ils décident de s’inscrire sur une plateforme en ligne, quel que soit son domaine.

Il faut choisir une entreprise qui n’a pas été constituée aux États-Unis, et normalement, le CLOUD Act ne leur sera pas opposable.

Cependant, il est réellement difficile de se débarrasser toute plateforme de service américaine de sa vie, à cause de leur monopole dans certains domaines. En effet, comment trouver des alternatives à Google, Amazon, Microsoft, Apple ou Netflix ? Ces derniers dévorent des parts de marché énormes dans leurs domaines respectifs, donc il est difficile de se passer de ces services.

Tant que les juridictions n’auront pas rendu de décision ce sujet, il est préférable d’attendre avant de s’orienter vers une plateforme américaine.

Des plateformes européennes sont tout aussi efficaces que les services américains. À titre d’exemple, les services proposés par HTTPCS by Ziwit permettent de protéger vos données personnelles sans qu’elles soient transférées sur le territoire américain.