Définition, histoire et fonctionnement du Cloud Act
Le Cloud Act, Clarifyng Lawful Overseas Use of Data Act, est “une loi américaine qui permet aux autorités judiciaires d’accéder aux données électroniques stockées à l’étranger par les entreprises américaines, dans le cadre de procédures pénales”¹.
Cette loi a été promulguée le 23 mars 2018 par le Président Donald Trump et votée par le Congrès à Washington DC.
Le Cloud Act modifie le Stored Communication Act de 1986, dont les mandats se limitaient alors aux données détenues sur des serveurs hébergés aux Etats-Unis.
Le texte trouve son origine dans un litige opposant l’un des géants du net, Microsoft aux autorités administratives des Etats-Unis. En effet, en 2013, l’administration américaine a demandé à l’entreprise Microsoft de lui communiquer des données relatives à une affaire de trafic de drogue. L’entreprise a refusé de divulguer ces informations, au motif qu’elles étaient stockées dans un serveur installé à l’étranger, en Irlande. Le ministère de la Justice américain a jugé que les entreprises américaines doivent répondre favorablement à la demande de l’administration, quel que soit le lieu où se trouvent les données. L’affaire a été portée devant la Cour suprême, qui a préféré attendre l’adoption d’une nouvelle loi pour statuer.
Ainsi, le Cloud Act repose sur deux grands axes. Le premier consiste en la communication des données. Les prestataires de service doivent communiquer les “contenus de communications électroniques et tout enregistrement ou autre information relatifs à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des Etats-Unis”. Ces autorités américaines peuvent obtenir des données, notamment personnelles ou de contenu, sans que la personne ciblée ou que le pays où sont stockées ces données n’en soient informés.
Le Cloud Act prévoit une obligation, qui pèse sur les opérateurs de télécommunication et de communications électroniques, de transmettre aux autorités gouvernementales le contenu d’une communication, que ces données “soient situées dans le territoire des Etats-Unis ou dans le territoire d’un autre pays”. Il s’agit donc d’une application extraterritoriale de la loi américaine ⁵.
Ainsi, les opérateurs ne pourront s’opposer aux demandes de divulgation, qu’à la condition de rapporter la preuve de deux conditions³:
- Le client ou l’abonné n’est pas un citoyen américain, un résident permanent des Etats-Unis en situation légale, une association composée majoritairement de citoyens américains ou de résidents permanents ou une corporation américaine.
- La divulgation des informations créerait un risque matériel de violation de la législation d’un gouvernement étranger ayant conclu un “accord exécutif” avec le gouvernement américain.
Le second axe consiste à permettre à l’exécutif américain de signer, avec des gouvernements étrangers, des accords bilatéraux, si le Congrès ne s’y oppose pas. Les accords permettront aux autorités respectives des pays signataires d’obtenir des informations de la part des fournisseurs de services, sans recourir à de longues procédures juridiques.
Cependant, seuls les pays respectant un certain nombre de critères détaillés dans le Cloud Act pourront signer un accord bilatéral.
Les critiques et les enjeux du Cloud Act
Les organismes de défense des droits fondamentaux s’insurgent, et les critiques pleuvent, notamment sur l’ingérence numérique et juridique de la loi, l’hégémonie américaine, l’atteinte à la vie privée…
Les entreprises aussi sont inquiètes, notamment celles ayant recours à des prestataires de droit américain pour héberger leurs données. En effet, elles s’alarment sur leur potentielle perte de contrôle sur les données de leurs clients, mais aussi de la confidentialité de leurs secrets d’affaires et de la divulgation de leurs actifs incorporels².
Cette législation pose aussi des questions vis-à-vis du RGPD (loi du 20 juin 2018 relative à la protection des données personnelles), et vis-à-vis de la protection du secret des affaires (transposée par une loi du 30 juillet 2018 relative à la protection du secret des affaires).
Néanmoins, les partisans du Cloud Act soutiennent que le texte n’admet pas un droit d’accès absolu aux données et qu’il prévoit un contrôle systématique par un juge des demandes de transmission des données.
Nous ignorons encore quand et avec qui un accord international sera conclu avec les Etats-Unis.
Le Cloud Act et le RGPD
Le Cloud Act a été adopté seulement deux mois avant l’adoption du RGPD en Europe.
Le Cloud Act semble entrer en contradiction avec le RGPD, notamment avec l’article 48 qui dispose que “Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international”.
Le Cloud Act renforce les pouvoirs de surveillance des agences américaines, en facilitant leur accès aux données stockées dans des datacenters appartenant à des sociétés d’origine américaine, peu importe que ce soit en France, en Europe ou aux Etats-Unis.
À cette occasion, de nombreux contentieux ont vu le jour. Nous retenons l’affaire Snowden de 2013 qui a permis de prendre conscience de l’ampleur du système de surveillance de masse aux Etats-Unis : écoutes téléphoniques, interceptions d’emails, espionnage d’entreprises et de gouvernements alliés. Depuis cette affaire, les géants de la Silicon Valley ont corrigé leur copie sur la vie privée : rapports de surveillance, lobbying contre les lois de renseignement, mise en place de systèmes de chiffrement…
Il serait donc plus prudent pour les entreprises françaises de faire héberger leurs données personnelles par des prestataires de droit français, qui obéissent à la loi française ou européenne, et qui stockent les données uniquement sur le territoire de l’Union européenne⁴.
Cette nouvelle législation américaine démontre ainsi l’existence de nombreuses complications, notamment concernant la conciliation des différents ordres juridiques et il faudra attendre de voir les accords trouvés et l’interprétation en cas de contentieux.
Manon HOTTIN-THEVENET
1 https://www.lemagit.fr/definition/CLOUD-Act
2 http://www.vigo-avocats.com/legal-news/dalloz-ip-it/
3 https://www.altajuris.com/lextra-territorialite-cloud-act-americain-menace-respect-reglementations-europeennes/
4 https://www.usine-digitale.fr/article/le-cloud-act-un-texte-securitaire-americain-qui-inquiete.N800995
5https://www-dalloz-fr.proxy.scd.u-psud.fr/documentation/Document?id=DIPIT/CHRON/2018/0572&ctxt=0_YSR0MT1DbG91ZCBBY3TCp3gkc2Y9c2ltcGxlLXNlYXJjaA==&ctxtl=0_cyRwYWdlTnVtPTHCp3MkdHJpZGF0ZT1GYWxzZcKncyRzb3J0PcKncyRzbE5iUGFnPTIwwqdzJGlzYWJvPVRydWXCp3MkcGFnaW5nPVRydWXCp3Mkb25nbGV0PcKncyRmcmVlc2NvcGU9RmFsc2XCp3Mkd29JUz1GYWxzZcKncyRicT0=&nrf=0_UmVjaGVyY2hlfExpc3Rl
6 Revue Dalloz IP/IT (numéro 12 – Décembre 2018) “Cloud Act : des inquiétudes légitimes”