CLOUD ActLe Clarifying Lawful Overseas Use of Data Act ou CLOUD Act (H.R. 4943) est une loi fédérale des États-Unis adoptée en 2018 sur l'accès aux données de communication (données personnelles), notamment opérées dans le Cloud. Elle modifie principalement le Stored Communications Act (en) (SCA) de 1986 en permettant aux instances de justice (fédérales ou locales, y compris municipales [1]) de contraindre les fournisseurs de services établis sur le territoire des États-Unis, par mandat ou assignation, à fournir les données relatives aux communications électroniques des « US Persons » c'est-à-dire des citoyens US ou des résidents US, stockées sur des serveurs, qu'ils soient situés aux États-Unis ou dans des pays étrangers. Critiquée par certaines associations de défense de la vie privée, cette loi permet notamment aux instances de justice américaines de solliciter auprès des fournisseurs de services opérant aux États-Unis, les communications personnelles d'un individu, citoyen ou résident US, sans que celui-ci en soit informé, ni que son pays de résidence ne le soit, ni que le pays où sont stockées ces données ne le soit [1]. HistoireLe CLOUD Act a été adopté en mars 2018, cette loi extraterritoriale américaine permet aux administrations des États-Unis, disposant d’un mandat et de l'autorisation d’un juge, d'accéder aux données hébergées dans les serveurs informatiques situés dans d’autres pays, au nom de la protection de la sécurité publique aux États-Unis et de la lutte contre les infractions les plus graves dont les crimes et le terrorisme[2] Il a été établi pour obtenir, sans demande internationale, les informations recherchées, plus facilement que ne le permettait le Stored Communications Act (en) de 1986. Celui ci exige, en effet, une demande d'entraide judiciaire internationale, fondée sur des traités bilatéraux (MLAT) pour obtenir des documents détenus à l'étranger par une entreprise américaine. C'est la convention de Budapest de 2001, sur la cybercriminalité, qui avait suggéré d'utiliser ces traités bilatéraux pour l'échange de données personnelles dans un cadre judiciaire ou de sécurité nationale. À la fin des années 2010, le Federal Bureau of Investigations (FBI) s'est plaint de difficultés pour obtenir des données à distance par l'intermédiaire de fournisseurs de services; ces derniers avaient réussi à faire valoir devant les tribunaux que la portée légale des mandats délivrés en vertu de la SCA ne s'appliquait qu'aux données détenues sur des serveurs hébergés aux États-Unis, même s'ils avaient le plein contrôle des données elles-mêmes à distance. Au moment où le projet de loi CLOUD Act a été présenté par l'administration Trump, une bataille juridique opposant depuis 2013 Microsoft dans son refus de fournir des informations d'un compte Outlook lié à un trafic de drogue[3] et stockées en Irlande est en instance devant la Cour suprême, le gouvernement américain soutenant que de telles restrictions entravent ses enquêtes[4],[5]. Le deuxième point important de la loi concerne la possibilité de conclure des accords bilatéraux entre États, offrant un accès analogue à des autorités étrangères sur des données stockées aux États-Unis, et en dehors des règles concernant le droit américain des données personnelles[6]. Suivant ces accords qui seraient mis en œuvre, en plus des États-Unis des gouvernements étrangers pourraient également avoir accès aux données stockées par les entreprises américaines hors des USA[Quoi ?]. Le CLOUD Act est le résultat de plusieurs tentatives du Congrès de modifier le SCA pour permettre aux autorités d'obliger les fournisseurs de services à transmettre des données stockées sur des serveurs étrangers sous leur contrôle : les projets de « Loi sur l'accès aux données stockées à l'étranger » (LEADS Act) de 2015 et de loi sur la protection des communications internationales (ICPA) en 2017, toutes deux fortement soutenues par le sénateur républicain Orrin Hatch, visaient tous deux à modifier la SCA, mais n'ont pas été adoptés[7]. Le CLOUD Act a reçu l'appui du département de la Justice des États-Unis et de grandes entreprises technologiques comme Microsoft, Apple et Google, qui y voient là une source de sécurité juridique. Brad Smith (en) (Microsoft) a notamment déclaré : « Aujourd'hui est un jour important pour le droit à la vie privée dans le monde entier[...] Le CLOUD Act crée un cadre juridique moderne permettant aux agences d'exécution de la loi d'accéder aux données au-delà des frontières »[6],[8]. La loi a été jointe au projet de loi sur le budget fédéral (le Consolidated Appropriations Act, 2018 (en)). C'est un cavalier législatif, glissé dans le texte du budget par l'Administration et elle a été adoptée, sans examen spécifique (c'est-à-dire qu'elle a été votée ipso facto par le vote sur la loi de finances), par les deux chambres, avant d'être promulguée le . Peu après son adoption, le ministère de la Justice a demandé à la Cour suprême de renvoyer l'affaire Microsoft Corp. contre United States (en) aux tribunaux inférieurs: en raison du CLOUD Act, celle-ci perd en effet beaucoup de son importance juridique (puisqu'elle ne concerne plus le droit actuel - voir mootness (en)). CritiquesLe projet de loi (et la loi elle-même) a été critiqué par plusieurs groupes de défense des droits civiques, dont l'Electronic Frontier Foundation, l'American Civil Liberties Union, Amnesty International et Human Rights Watch[9]. Ces groupes soutiennent que la loi enfreint le quatrième amendement contre les perquisitions et saisies déraisonnables, puisque le gouvernement peut obtenir des données stockées à l'étranger sans passer par les tribunaux (américains ou étrangers), et sans en informer les utilisateurs touchés [10]. Certains de ces groupes défendant les droits civiques craignent que le gouvernement américain n’examine pas de façon suffisamment détaillée les demandes des pays étrangers concernant les données de leurs citoyens, stockées sur des serveurs aux États-Unis. Cela pourrait permettre que ces données soient utilisées dans ces pays pour des usages illégaux vis-à-vis des lois américaines[11]. David Ruiz, de l’organisation Electronic Frontier Foundation indique à ce sujet que « Les polices américaine et étrangères auront accès à de nouveaux moyens pour saisir des données dans le monde entier »[12],[13]. Le CLOUD Act entre en conflit avec un règlement de la législation Européenne — le règlement général sur la protection des données (RGPD) — entré en vigueur le 25 mai 2018[14]. Le RGPD traite de la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Son territoire d'application recouvre les États membres de l'Union européenne (UE) pour toutes les entreprises européennes ou non européennes qui ciblent les résidents de l'UE par le profilage ou proposent des biens et services à des résidents européens. Selon Nathalie Devillier, professeure en droit du numérique à l'école du management de Grenoble « Le CLOUD Act offre un cadre légal à la saisie de documents, de mails, en bref de toutes les communications captées à l’étranger par les serveurs des sociétés américaines »[15]. Selon Emmanuelle Mignon, actuelle avocate associée chez August Debouzy spécialisée en droit public, « ce n’est pas le Cloud Act qui est dangereux pour les entreprises européennes. C’est la manière dont l’Union européenne va réagir et les risques induits par les lenteurs de son processus de décision, quand ce n’est pas sa paralysie. »[16] Le CLOUD Act pourrait permettre l’espionnage industriel, voire le vol de la propriété intellectuelle. Cette législation américaine s'impose aux GAFAM comme aux entreprises étrangères (ex. : Orange, Altice) ayant une activité aux États-Unis[2]. Cela crée un risque de souveraineté sur des données sensibles. A titre exemple, les données de santé françaises sont hébergées par Microsoft et le gouvernement français envisage de les rapatrier vers un opérateur de services français ou européen[17]. En 2020, un nouveau problème se pose en France avec l’hébergement, sur les serveurs d’Amazon, des attestations des prêts garantis par l'État (PGE) aux entreprises pendant la pandémie Covid-19, questionnant ainsi la notion de souveraineté numérique de la France et suscitant l'inquiétude quant à l'accès de ces informations[18]. Selon Nathalie Goulet, sénatrice de l'Orne, ce marché a été attribué à Amazon sans appel d'offres par Bpifrance[18]. Une affirmation réfutée par Bpifrance, qui a assuré à la presse que de nombreux appels d'offres avaient été menés pour déterminer l'hébergeur[19]. Les autorités françaises travaillent à mettre au point un dispositif qui permettrait aux entreprises françaises d'être prévenues si la justice américaine cherche à accéder à certaines de leurs données stratégiques stockées dans les serveurs d'opérateurs américains[20]. Selon l'autrichien Maximillian Schrems qui est parvenu à faire annuler, en juillet 2020, l’accord « Privacy Shield » relatif aux règles de transfert des données personnelles hors d’Europe, « jusqu’à présent, les entreprises américaines ont ignoré le droit européen chaque fois qu’il y a eu un conflit entre le droit de l’Union européenne et les lois des Etats-Unis [...]. Il peut être nécessaire de construire des alternatives européennes »[21]. Notes et références
Voir aussiArticles connexesLiens externesSite de la Chambre des États-Unis
|