CLOUD Act : le gouvernement américain se donne les moyens d’accéder aux données du monde entier

Le Congrès des Etats-Unis a adopté, le vendredi 23 mars 2018, le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, « loi clarifiant l’usage légal des données hébergées à l’étranger »), pour élargir les pouvoirs des autorités et agences en matière de surveillance. Il s’agit d’un cavalier législatif introduit dans la loi de finance : le Consolidated Appropiations Act, 2018. Il n’y a eu aucun débat parlementaire.

Qu’est-ce que c’est

Le texte amende un autre texte, le Stored Communication Act, adopté en 1986 et qui instaurait des règles de confidentialité et de protection des données de communications traitées par les fournisseurs du secteur des communications.

Le texte comportait quelques exceptions (notamment pour les procédures répressives). Ainsi toute demande d’obtention de données (ou documents) en provenance d’un autre pays que les Etats-Unis devait obligatoirement être encadré par un traité bilatéral.

Si de nombreux transferts de données ont pu avoir lieur entre l’UE et les Etats-Unis, c’est notamment grâce à ce fondement.

En 2003, des traités d’assistance mutuelle remplacèrent ces traités bilatéraux, comme le MLAT  (Mutual Legal Assistance) qui vient encadrer les données et les transferts de données bilatéraux entre pays tiers. 

C’est ici qu’intervient le CLOUD Act , en permettant d’obtenir des données en dehors des Etats-Unis sans être obligé de passer par les procédures interminables imposées par les MLAT.

Ainsi, le CLOUD Act prévoit :

que toute société américaine doit communiquer aux autorités des US les données qu’elle traite, peu importe du lieu où elles sont traitées.

que le gouvernement américain puisse conclure avec des des accords sans passer par le Congrès (contrairement aux MLAT), en ce qui concerne les procédures plus simples que l’entraide judiciaire internationale.

Grâce à ces accords, les gouvernements étrangers pourront demander d’accéder à des données pour leurs enquêtes directement auprès des fournisseurs de services de communication (« Content Service Provider ») américains,  sans avoir besoin de demander l’autorisation aux autorités gouvernementales ou judiciaires de l’état tiers.

Toutefois, un pays souhaitant conclure un tel accord doit se conformer à l’ensemble des règles imposées par le gouvernement américain notamment en ce qui concerne le sujet de la requête (criminelle, visant une personne précise et se fondant sur des faits en particulier), les données récoltées (qui ne doivent pas impliquer un citoyen américain) et respecter les droits fondamentaux minimum.

Par ailleurs, le CLOUD Act permet au services auquel les données sont demandées de s’y opposer si ce transfert de données vient violer la législation d’un pays tiers.

En cas d’opposition, une requête doit être adressée dans les 14 jours. La Cour doit alors juger des intérêts en jeu selon les standards imposés par le Cloud Act (l’intérêt des Etats Unis, l’importance des moyens déployés pour les enquêtes, les liens de la personne concernées par les données avec les Etats-Unis …).

Si un accord n’aboutis pas, les juges devront également évaluer la possibilité d’un traitement en fonction des intérêts des Etats-Unis et des autres pays, sur le seul principe de la courtoisie internationale, ce qui représente un risque pour les parties prenantes.

Microsoft : les conséquences du Cloud Act

Le CLOUD Act voté par le Congrès pourrait avoir des conséquences immédiates sur l’affaire United States v. Microsoft Corp., pendante devant la Cour Suprême américaine.

Ce litige a débuté en 2013, lorsque le FBI avait enjoint par mandat judiciaire à Microsoft de lui communiquer des courriels appartenant à un client dans une affaire de trafic de stupéfiants.

Microsoft s’est exécuté, et à immédiatement transmis les données qui étaient stockées aux Etats Unis. Cependant, certaines de ces données étaient hébergées en Irlande (pays dans lequel Microsoft a implanté une de ses filiales), ce qui à poussé Microsoft à ne pas transférer l’intégralité des données, la firme estimant le traitement non valide car au delà de la juridiction du FBI.

Or, pour le FBI, à partir du moment où Microsoft est une société basée aux Etats-Unis, peu importe la localisation des données : si elle y a accès, elle doit la communiquer.

A l’inverse, pour Microsoft, cette requête ne pouvait être executée, car elles s’opposait à des principes fondamentaux des Etats-Unis (la souveraineté des Etats, les traités internationaux ainsi qu’au 4ème amendement de la Constitution des Etats-Unis).

Cet amendement en particulier à pour objectif de protéger les citoyens américains des perquisitions abusives en requérant des documents officiels l’autorisant, ainsi qu’une justification sérieuse :

« The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized ».

Au delà de la juridiction américaine, Microsoft affirmait, qu’il aurait été impossible pour les autorités américaines de venir forcer en personne les portes d’un serveur situé et que, même si cela avait été le cas, une telle action risquait de provoquer un conflit de loi  en cas d’obstruction à la communication des données par la législation d’Irlandais.

L’arrivée du CLOUD Act change donc la donne. Microsoft va devoir s’exécuter puisque les données réclamées sont bien sous soncontrôle.

Les rapports entre le CLOUD Act et le RGPD

En vertu des articles 44 et suivants du RGPD (Règlement (UE) 2016/679 sur la Protection des Données), les transferts vers des pays hors UE ne sont licites que s’ils sont fondés sur une des bases légales disponibles : une décision d’adéquation ou des garanties appropriées, et que les personnes dont les données sont en cause disposent de droits opposables et de voies de droit effectives, ou encore lorsque l’autorité de contrôle compétente a approuvé des règles d’entreprise contraignantes.

Ainsi, dans de nombreux cas qui seront susceptibles de se présenter, aucun de ces critères ne seront réunis et le transfert de données à caractère personnel aux autorités américaines qui sera opéré par un fournisseur de service en application d’une demande fondée sur le seul CLOUD Act, et non sur un accord international de type MLAT, ne sera pas conforme au RGPD.

Une telle violation des règles prévues par le RGPD peut faire l’objet d’une amende administrative pouvant s’élever à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent ou 20 millions d’euros.

Il sera donc opportun d’ajouter au sein des contrats avec les prestataires situés aux États-Unis une clause indiquant expressément que le RGPD permet au prestataire d’opposer l’exception de violation de la législation d’un pays étranger prévue au CLOUD Act et au nouvel article U.S. Code §2713, (h), (2).

Une atteinte aux libertés civiles par les associations de défense des droits

Tandis que les GAFAM se félicitent de cette « clarification », les ONG s’inquiètent, estimant que la loi va trop loin et court-circuite le rôle du juge et de la loi. Ainsi, si un journaliste se sert de Gmail et qu’un accord existe entre son pays et les Etats-Unis, les données pourront être réclamées directement à Google et pourraient mener le journaliste derrière les barreaux.

En effet, dans les régimes répressifs, l’accusation de terrorisme est souvent utilisée pour écarter les opposants politiques. D’autres associations dénoncent un texte ne posant que de maigres conditions d’accès aux, la suppression du Sénat de l’équation et l’absence de garantie des citoyens d’être prévenus en cas d’enquête, pourtant prévue par le Quatrième amendement de la Constitution américaine.

*              *              *

Dans le contexte de l’entrée en application du RGPD, mais également du projet de règlement e-Evidence, il est difficile d’anticiper les réactions de l’UE au CLOUD act. L’UE est partagée la protection des données des citoyens européens au travers notamment du RGPD et l’intérêt de récupérer les données de communication directement auprès des Content Service Providers pour les autorités répressives, alors que le terrorisme frappe en Europe.

Seulement, le risque existe qu’un accord bilatéral entre les USA et l’UE ne se conclue pas de façon équilibrée et qu’il ne soit pas adossé à des procédures de recours garantissant la protection des intérêts économiques et des droits fondamentaux des ressortissants des deux pays.

Au final, la situation demeure floue pour les sociétés qui se retrouvent pressées par les législations américaines d’une part, et européennes de l’autre.