logo-dld-320x160-c-default
logo-dld-320x160-c-default
  • Solutions
    • Solutions
    • DLD RGPD
      • Pilotez
        Registre des traitements Cartographie des traitements Diagnostic de la conformité RGPD
      • Réagissez
        Gestion de l’accountability Demandes des personnes concernées PIA – Analyse d’impact Pilotage de la gouvernance
      • Automatisez
        Violations des données personnelles Pilotage projet Privacy by Design Workflow de pilotage RGPD
      • Informez
        Actualité juridique Modèles de clauses et de contrats Formation collaborateurs Service client unique
    • DLD Sapin II
    • DLD par secteur
      • Banques / Assurances
      • Droit
      • Santé
      • Education
      • Immobilier
      • Secteur Public et Collectivités
      • Recrutement
      • Tourisme / Loisirs
      • PME / TPE
    • Pilotez
      Registre des traitements Cartographie des traitements Diagnostic de la conformité RGPD
    • Réagissez
      Gestion de l’accountability Demandes des personnes concernées PIA – Analyse d’impact Pilotage de la gouvernance
    • Automatisez
      Violations des données personnelles Pilotage projet Privacy by Design Workflow de pilotage RGPD
    • Informez
      Actualité juridique Modèles de clauses et de contrats Formation collaborateurs Service client unique
    • Banques / Assurances
    • Droit
    • Santé
    • Education
    • Immobilier
    • Secteur Public et Collectivités
    • Recrutement
    • Tourisme / Loisirs
    • PME / TPE
  • Clients
  • Partenaires
    • Partenaires
    • Trouver un partenaire
    • Devenir partenaire
  • Ressources
    • Ressources
    • Agenda
    • Infographies
    • Livres blancs
    • Espace presse
    • Dossiers
      • Qu’est-ce que le RGPD ?
      • Définition et missions du DPO
    • Outils
      • Carte des sanctions RGPD
      • Diagnostic RGPDGratuit
      • Baromètre RGPD 5ème éditionNouveau
      • FAQ
    • Qu’est-ce que le RGPD ?
    • Définition et missions du DPO
    • Carte des sanctions RGPD
    • Diagnostic RGPDGratuit
    • Baromètre RGPD 5ème éditionNouveau
    • FAQ
  • Blog
  • L'entreprise
    • L'entreprise
    • A propos
    • Notre équipe
    • Rejoignez-nous !
    • Nos engagements
      • Charte RSE
      • Index égalité femmes/hommes
      • Pro Bono
    • Charte RSE
    • Index égalité femmes/hommes
    • Pro Bono
  • Fr
Demande de démo
    • Connectez-vous à votre espace
    • Avant de vous connecter, partagez votre avis en cliquant ici ! ⭐
  • Fr
Demande de démo

CLOUD Act : le gouvernement américain se donne les moyens d’accéder aux données du monde entier

29 avril 2019

Accueil //Non classifié(e) //CLOUD Act : le gouvernement américain se donne les moyens d’accéder aux données du monde entier

CLOUD Act : le gouvernement américain se donne les moyens d’accéder aux données du monde entier

Le Congrès des Etats-Unis a adopté, le vendredi 23 mars 2018, le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, « loi clarifiant l’usage légal des données hébergées à l’étranger »), pour élargir les pouvoirs des autorités et agences en matière de surveillance. Il s’agit d’un cavalier législatif introduit dans la loi de finance : le Consolidated Appropiations Act, 2018. Il n’y a eu aucun débat parlementaire.

Qu’est-ce que c’est

Le texte amende un autre texte, le Stored Communication Act, adopté en 1986 et qui instaurait des règles de confidentialité et de protection des données de communications traitées par les fournisseurs du secteur des communications.

Le texte comportait quelques exceptions (notamment pour les procédures répressives). Ainsi toute demande d’obtention de données (ou documents) en provenance d’un autre pays que les Etats-Unis devait obligatoirement être encadré par un traité bilatéral.

Si de nombreux transferts de données ont pu avoir lieur entre l’UE et les Etats-Unis, c’est notamment grâce à ce fondement.

En 2003, des traités d’assistance mutuelle remplacèrent ces traités bilatéraux, comme le MLAT (Mutual Legal Assistance) qui vient encadrer les données et les transferts de données bilatéraux entre pays tiers.

C’est ici qu’intervient le CLOUD Act , en permettant d’obtenir des données en dehors des Etats-Unis sans être obligé de passer par les procédures interminables imposées par les MLAT.

Ainsi, le CLOUD Act prévoit :

que toute société américaine doit communiquer aux autorités des US les données qu’elle traite, peu importe du lieu où elles sont traitées.

que le gouvernement américain puisse conclure avec des des accords sans passer par le Congrès (contrairement aux MLAT), en ce qui concerne les procédures plus simples que l’entraide judiciaire internationale.

Grâce à ces accords, les gouvernements étrangers pourront demander d’accéder à des données pour leurs enquêtes directement auprès des fournisseurs de services de communication (« Content Service Provider ») américains, sans avoir besoin de demander l’autorisation aux autorités gouvernementales ou judiciaires de l’état tiers.

Toutefois, un pays souhaitant conclure un tel accord doit se conformer à l’ensemble des règles imposées par le gouvernement américain notamment en ce qui concerne le sujet de la requête (criminelle, visant une personne précise et se fondant sur des faits en particulier), les données récoltées (qui ne doivent pas impliquer un citoyen américain) et respecter les droits fondamentaux minimum.

Par ailleurs, le CLOUD Act permet au services auquel les données sont demandées de s’y opposer si ce transfert de données vient violer la législation d’un pays tiers.

En cas d’opposition, une requête doit être adressée dans les 14 jours. La Cour doit alors juger des intérêts en jeu selon les standards imposés par le Cloud Act (l’intérêt des Etats Unis, l’importance des moyens déployés pour les enquêtes, les liens de la personne concernées par les données avec les Etats-Unis …).

Si un accord n’aboutis pas, les juges devront également évaluer la possibilité d’un traitement en fonction des intérêts des Etats-Unis et des autres pays, sur le seul principe de la courtoisie internationale, ce qui représente un risque pour les parties prenantes.

Microsoft : les conséquences du Cloud Act

Le CLOUD Act voté par le Congrès pourrait avoir des conséquences immédiates sur l’affaire United States v. Microsoft Corp., pendante devant la Cour Suprême américaine.

Ce litige a débuté en 2013, lorsque le FBI avait enjoint par mandat judiciaire à Microsoft de lui communiquer des courriels appartenant à un client dans une affaire de trafic de stupéfiants.

Microsoft s’est exécuté, et à immédiatement transmis les données qui étaient stockées aux Etats Unis. Cependant, certaines de ces données étaient hébergées en Irlande (pays dans lequel Microsoft a implanté une de ses filiales), ce qui à poussé Microsoft à ne pas transférer l’intégralité des données, la firme estimant le traitement non valide car au delà de la juridiction du FBI.

Or, pour le FBI, à partir du moment où Microsoft est une société basée aux Etats-Unis, peu importe la localisation des données : si elle y a accès, elle doit la communiquer.

A l’inverse, pour Microsoft, cette requête ne pouvait être executée, car elles s’opposait à des principes fondamentaux des Etats-Unis (la souveraineté des Etats, les traités internationaux ainsi qu’au 4ème amendement de la Constitution des Etats-Unis).

Cet amendement en particulier à pour objectif de protéger les citoyens américains des perquisitions abusives en requérant des documents officiels l’autorisant, ainsi qu’une justification sérieuse :

« The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized ».

Au delà de la juridiction américaine, Microsoft affirmait, qu’il aurait été impossible pour les autorités américaines de venir forcer en personne les portes d’un serveur situé et que, même si cela avait été le cas, une telle action risquait de provoquer un conflit de loi en cas d’obstruction à la communication des données par la législation d’Irlandais.

L’arrivée du CLOUD Act change donc la donne. Microsoft va devoir s’exécuter puisque les données réclamées sont bien sous soncontrôle.

Les rapports entre le CLOUD Act et le RGPD

En vertu des articles 44 et suivants du RGPD (Règlement (UE) 2016/679 sur la Protection des Données), les transferts vers des pays hors UE ne sont licites que s’ils sont fondés sur une des bases légales disponibles : une décision d’adéquation ou des garanties appropriées, et que les personnes dont les données sont en cause disposent de droits opposables et de voies de droit effectives, ou encore lorsque l’autorité de contrôle compétente a approuvé des règles d’entreprise contraignantes.

Ainsi, dans de nombreux cas qui seront susceptibles de se présenter, aucun de ces critères ne seront réunis et le transfert de données à caractère personnel aux autorités américaines qui sera opéré par un fournisseur de service en application d’une demande fondée sur le seul CLOUD Act, et non sur un accord international de type MLAT, ne sera pas conforme au RGPD.

Une telle violation des règles prévues par le RGPD peut faire l’objet d’une amende administrative pouvant s’élever à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent ou 20 millions d’euros.

Il sera donc opportun d’ajouter au sein des contrats avec les prestataires situés aux États-Unis une clause indiquant expressément que le RGPD permet au prestataire d’opposer l’exception de violation de la législation d’un pays étranger prévue au CLOUD Act et au nouvel article U.S. Code §2713, (h), (2).

Une atteinte aux libertés civiles par les associations de défense des droits

Tandis que les GAFAM se félicitent de cette « clarification », les ONG s’inquiètent, estimant que la loi va trop loin et court-circuite le rôle du juge et de la loi. Ainsi, si un journaliste se sert de Gmail et qu’un accord existe entre son pays et les Etats-Unis, les données pourront être réclamées directement à Google et pourraient mener le journaliste derrière les barreaux.

En effet, dans les régimes répressifs, l’accusation de terrorisme est souvent utilisée pour écarter les opposants politiques. D’autres associations dénoncent un texte ne posant que de maigres conditions d’accès aux, la suppression du Sénat de l’équation et l’absence de garantie des citoyens d’être prévenus en cas d’enquête, pourtant prévue par le Quatrième amendement de la Constitution américaine.

* * *

Dans le contexte de l’entrée en application du RGPD, mais également du projet de règlement e-Evidence, il est difficile d’anticiper les réactions de l’UE au CLOUD act. L’UE est partagée la protection des données des citoyens européens au travers notamment du RGPD et l’intérêt de récupérer les données de communication directement auprès des Content Service Providers pour les autorités répressives, alors que le terrorisme frappe en Europe.

Seulement, le risque existe qu’un accord bilatéral entre les USA et l’UE ne se conclue pas de façon équilibrée et qu’il ne soit pas adossé à des procédures de recours garantissant la protection des intérêts économiques et des droits fondamentaux des ressortissants des deux pays.

Au final, la situation demeure floue pour les sociétés qui se retrouvent pressées par les législations américaines d’une part, et européennes de l’autre.

À lire aussi

DLDDay-2022

DLDDay 2022 : la journée dédiée aux DPO et Directeurs Juridiques !

14 septembre 2022
En savoir plus
dld-learning-2

Webinar DLD Learning

17 août 2022
En savoir plus
RGPD - Témoins de Jehovah

Témoin de Jehovah : Quand un responsable de traitement frappe à votre porte

14 septembre 2018
En savoir plus
DLDDay-2022

DLDDay 2022 : la journée dédiée aux…

14 septembre 2022
En savoir plus
dld-learning-2

Webinar DLD Learning

17 août 2022
En savoir plus
RGPD - Témoins de Jehovah

Témoin de Jehovah : Quand un responsable…

14 septembre 2018
En savoir plus

Des partenaires exceptionnels

partenaire-institutionnel-dld-afje
partenaire-institutionnel-dld-dalloz
partenaire-institutionnel-dld-afje
partenaire-institutionnel-dld-irc
partenaire-institutionnel-dld-afje
partenaire-institutionnel-dld-numeum
ds-avocats-logo-slide
partenaire-institutionnel-dld-ldpm

Nos trophées & distinctions

trophee-eurocloud
meilleure-legaltech-logo-slide
macaron-trophée-conformité-rgpd-2022
sommet-du-droit-2021-logo-slide
palmarès-du-droit-2022-logo-slide
trophée-du-droi-2022-logo-slide
tech500-logo-slide
sommet-du-droit-2022-mention-spéciale-logo-slide
  • Notre expérience
  • Plus de 3 000 clients
  • 50 pays utilisateurs
  • À propos
  • Qui sommes-nous ?
  • Espace Presse
  • Pro Bono
  • On recrute !
  • Notre offre
  • Logiciel RGPD
  • Logiciel Sapin II
  • DLD Learning
  • Nos tarifs
  • Partenaires
  • Formation RGPD
  • Nos ressources
  • Le RGPD
  • Le DPO
  • Données personnelles
  • Blog
  • Carte des sanctions RGPD
  • FAQ
Un outil adapté à votre structure
Demander une démo
Des experts en RGPD
Faire le diagnostic

Abonnez-vous à notre newsletter

  • Data Legal Drive collecte et traite vos données personnelles aux fins de (i) répondre à vos demandes de démonstration de nos services, de mise en contact et/ou de (ii) vous faire parvenir des informations sur nos services, notre actualité et la protection des données personnelles. Veuillez prendre connaissance de notre Politique de confidentialité pour plus d'informations sur les traitements de données que nous réalisons et les droits dont vous disposez sur vos données personnelles.

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
  • Conditions Générales de Service
  • Conditions Générales d’Utilisation
  • Politique de cookies
  • Politique de confidentialité
  • Mentions légales
  • Demande d'exercice de droit