Le Cloud Act, loi sécuritaire américaine, inquiète les autorités, les entreprises et les citoyens de l’Union européenne. Qu’est-ce que ce texte et pourquoi est-il à craindre ?
Le Cloud Act (acronyme de ” Clarifying Lawful Overseas Use of Data Act “) est une loi fédérale américaine promulguée le 23 mars 2018. Elle modifie principalement le chapitre 121 du titre 18 du Code des États-Unis, connu sous le nom de Stored Communications Act, en permettant aux services de police ou de renseignement américains d’obtenir des opérateurs télécoms et des fournisseurs de services cloud des informations stockées sur leurs serveurs…. Que ces données soient situées aux États-Unis ou à l’étranger.
UN PASSE-DROIT SUR LES DONNÉES POUR LES AUTORITÉS AMÉRICAINES
Les fournisseurs de services doivent divulguer “le contenu des communications électroniques et tout dossier ou autre information concernant un client ou un abonné qui sont en leur possession ou sous leur garde ou leur contrôle, que ces communications, dossiers ou autres informations soient situés à l’intérieur ou à l’extérieur des États-Unis.” Ces autorités américaines peuvent obtenir des données personnelles, des contenus et d’autres données à l’insu de la personne “ciblée” ou du pays où les données sont stockées.
Le Cloud Act a mis fin à une bataille juridique entre Microsoft et le gouvernement américain, le premier refusant de divulguer des informations sur un individu parce qu’elles étaient stockées en Irlande, c’est-à-dire en dehors des États-Unis. Le Congrès américain a adopté le Cloud Act sans débat et en catimini pour “clarifier” le cadre juridique lors de l’examen du budget fédéral.
DES ACCORDS BILATÉRAUX PLUS COMPLIQUÉS QU’IL N’Y PARAÎT
La deuxième partie du Cloud Act permet à l’exécutif américain de signer des accords bilatéraux avec des gouvernements étrangers, sauf si le Congrès s’y oppose. Ceux-ci permettront aux autorités respectives des pays signataires d’obtenir des informations auprès des fournisseurs de services, sans recourir à de longues procédures juridiques telles que des traités d’assistance juridique mutuelle ou des commissions rogatoires internationales.
Seuls les pays qui répondent à un certain nombre de critères détaillés dans le Cloud Act pourront signer un accord bilatéral. Les grandes entreprises technologiques américaines ont salué la promulgation du Cloud Act, convaincues qu’elles bénéficieraient de la sécurité juridique offerte par cette loi. Cependant, de nombreuses critiques peuvent être formulées à l’encontre de cette loi.
Tout d’abord, le champ d’application des demandes des agences gouvernementales américaines est très large. Premièrement, elles concernent les enquêtes criminelles, y compris (mais pas seulement) celles liées au terrorisme. Cependant, dans la section 2 du projet de loi qui a été adopté, le Sénat américain précise que l’accès aux données détenues par les fournisseurs de services est un élément essentiel pour également “protéger l’ordre public”, une notion beaucoup plus large…
Deuxièmement, le fournisseur de services qui reçoit une demande d’une autorité américaine est une société de droit américain, c’est-à-dire une société constituée aux États-Unis mais aussi des sociétés contrôlées par ce pays. Troisièmement, les prestataires de services doivent divulguer les informations stockées aux États-Unis ou à l’étranger, tant que ces informations sont en leur possession, sous leur garde ou sous leur contrôle.
LE CLOUD ACT ET LE RGPD SONT-ILS INCOMPATIBLES ?
Par ailleurs, le Cloud Act semble contredire l’article 48 du Règlement européen sur la protection des données (RGPD), entré en vigueur le 25 mai dernier. En effet, cette dernière stipule que “Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou donner effet de quelque manière que ce soit que si elle est fondée sur un accord international […]”.
Il est vrai que le Cloud Act permet à un fournisseur de services recevant une assignation à comparaître de saisir l’autorité judiciaire américaine si son client ciblé n’est pas un citoyen, un résident permanent légal ou une société basée aux États-Unis, et s’il estime que la divulgation d’informations violerait les lois d’un État étranger. Il est toutefois impossible de prévoir quelle sera la décision judiciaire dans un pays où de nombreux programmes de surveillance généralisée ont été mis en place, soi-disant au nom de la lutte contre le terrorisme.
Le Cloud Act renforce les pouvoirs des agences de surveillance américaines, en facilitant leur accès aux données stockées dans des centres de données appartenant à des entreprises américaines, que ce soit en France, en Europe ou aux Etats-Unis. Il est donc plus prudent pour les entreprises françaises de faire héberger leurs données d’entreprise ou personnelles par des prestataires de droit français, qui n’obéissent qu’au droit français et européen et stockent les données exclusivement sur le territoire de l’Union européenne.