conseillère Filhet-Allard

Notre ENGAGEMENT

vous conseiller
avant de vous assurer

Notre ENGAGEMENT

Optimiser vos contrats
pour protéger vos vulnérabilités

Notre ENGAGEMENT

Assurer la parfaite
couverture de vos risques

rejoignez-nous consulter nos offres

Chiffres clés

208
millions d’euros
de chiffre d’affaires en 2018

accès client
« Retour au sommaire du Zoom

CLOUD ACT CONTRE RGPD

ILLUSTRATION DE L’EXTRATERRITORIALITE DES LOIS US

Le règlement général sur la protection des données personnelles (RGPD) a été mis en place au niveau européen en mai 2018 pour protéger plus efficacement les données personnelles se trouvant sur internet. Dans le même temps, les États-Unis votaient le Cloud Act, qui octroie au gouvernement américain l’accès a l’ensemble des données personnelles de n’importe quel citoyen, a partir du moment ou ces données sont stockées chez des hébergeurs américains, quel que soit le lieu géographique du Data Center qui possède ces données. Les États-Unis sont-ils les futurs maîtres du jeu de la protection des données personnelles ?

CLOUD ACT – EXPLICATIONS

Connaissez-vous le Cloud Act ? Le Clarifying Lawful Overseas Use of Data Act (ou Cloud Act) est une loi fédérale des États-Unis sur la surveillance des données personnelles se trouvant, notamment, dans le Cloud. Elle modifie principalement le Stored Communications Act (ou SCA) de 1986 en permettant aux forces de l’ordre (fédérales ou locales) de contraindre les fournisseurs de services américains, par mandat, à fournir les données demandées qui sont stockées sur des serveurs situés aux États-Unis ou à l’étranger.
Les prestataires de services doivent communiquer les contenus des communications électroniques et tous les enregistrements ou autres informations relatifs à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle ; que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des États-Unis. Ces autorités américaines peuvent obtenir des données, notamment personnelles ou de contenu, sans que la personne « ciblée » ou que le pays où sont stockées ces données n’en soient informés.
Le Cloud Act a mis fin à une bataille judiciaire opposant la société Microsoft à l’administration américaine, la première refusant de communiquer des informations relatives à un individu car elles étaient stockées en Irlande, autrement dit en-dehors des États-Unis. C’est lors de l’examen du projet de budget fédéral que le Congrès américain a adopté le Cloud Act, sans débat.
Le deuxième axe du Cloud Act prévoit la possibilité, pour les autorités étrangères, de se faire communiquer directement les données stockées sur le territoire des Etats-Unis en évitant l’application des procédures prévues par les traités de coopération judiciaire. Les pays éligibles à la conclusion de ces traités, appelés Executive Agreements doivent remplir des conditions strictes expressément prévues par le texte, notamment des garanties substantielles et procédurales en termes de protection des données personnelles et de droits fondamentaux.
Le Cloud Act prévoit que les demandes de communication émanant des autorités de pays étrangers ne peuvent viser un citoyen ou résident américain, et ne peuvent porter que sur des investigations relatives à des infractions d’une certaine gravité (serious crimes). Elles doivent, en outre, concerner une personne ou un compte spécialement identifié, être formées dans le respect du droit du pays dont elles émanent, être justifiées par des faits précis et crédibles, et pouvoir faire l’objet d’un contrôle par un juge indépendant.

LES CRITIQUES CONTRE LE CLOUD ACT

Beaucoup de critiques ont été formulées contre le Cloud Act, aux États-Unis comme en Europe. Ces critiques tiennent tant aux conditions dans lesquelles le texte a été adopté qu’à son contenu.
Le texte du Cloud Act, déposé au Congrès par deux élus républicains – le sénateur de l’Utah Orrin Hatch et un Représentant de Georgie, Doug Collins – a été ajouté à la fin d’une loi budgétaire fourre-tout particulièrement longue (plus de 2000 pages). Cette loi n’a pas suivi la procédure habituellement employée pour faire adopter un texte par le Congrès : pas de commission ad hoc, pas d’audition, pas de revue approfondie du texte par les membres du Congrès. Cette méthode inhabituelle a suscité la suspicion, d’autant que le Cloud Act présente des différences notables d’avec les projets qui l’ont précédé. Aux États-Unis, le Cloud Act a été soutenu par les géants de la technologie, comme Microsoft, Apple et Google, qui y ont vu une clarification bienvenue. Le fait que les législations applicables en matière de protection des données personnelles divergent largement d’un pays ou d’une région à l’autre crée, en effet, beaucoup d’insécurité juridique pour les fournisseurs de services.

Les critiques aux États-Unis
C’est principalement le volet du texte qui permet aux autorités étrangères de se procurer des données grâce à la conclusion d’un Executive Agreement qui suscite une opposition, en particulier la possibilité reconnue au pouvoir exécutif américain de conclure des accords internationaux sans contrôle du Congrès.
Il semble peu probable que ces accords prévoient un jour que les entreprises américaines soient tenues de divulguer leurs données sur simple demande à des autorités étrangères sans contrôle d’un juge. Tout dépendra, bien évidemment, du contenu des Executive Agreements conclus avec les pays tiers mais les garde-fous prévus par le Cloud Act lui-même permettent de nuancer ces craintes.

Les critiques des européens
Du côté de l’Union Européenne, les critiques visent principalement le premier volet du texte en ce qu’il permet aux autorités américaines d’exiger des entreprises établies aux États-Unis qu’elles divulguent l’ensemble des données en leur possession, y compris celles stockées à l’extérieur du territoire américain.
Compte-tenu de l’omniprésence des fournisseurs de services américains, cela implique en effet que la quasi-totalité des services proposés sur Internet (Facebook, Whatsapp, Gmail, Instagram, Messenger, etc…) sont concernés. Mais cela pourrait en outre concerner des multinationales européennes ou asiatiques, à qui il serait réclamé les données relatives à leurs utilisateurs au motif qu’elles ont un établissement ou une filiale aux États-Unis.

LE CLOUD ACT ET LE RGPD SONT-ILS INCOMPATIBLES ?

Le Cloud Act prévoit qu’il est possible au fournisseur de services de contester le Search Warrant dans un délai de 14 jours s’il croit raisonnablement que deux circonstances sont cumulativement réunies :

• Le client ou souscripteur dont les données sont requises n’est ni citoyen, ni résident permanent aux États-Unis, ni une société immatriculée (incorporated) aux États-Unis et ne réside pas aux États-Unis.
ET
• La divulgation des données créerait un risque que le fournisseur de services viole une législation étrangère, mais à la condition qu’il s’agisse des lois d’un pays ayant signé avec les Etats-Unis l’Executive Agreement prévu par le texte et que lesdites lois nationales prévoient des garanties substantielles et procédurales équivalentes à celles prévues par le SCA américain (18 U.S.C. § 2703(h)(2)).

Si ces conditions ne sont pas remplies, et notamment si aucun Executive Agreement n’a été signé, le Warrant ne peut être contesté. Aucun Executive Agreement n’ayant pour l’heure été conclu, aucune contestation n’est possible à ce jour, même si les données concernent, par exemple, des ressortissants européens.

S’agissant d’un ressortissant de l’Union Européenne, l’invocation du Règlement européen du 27 avril 2016 (le RGPD), en vigueur depuis mai dernier, et dont plusieurs dispositions protègent les ressortissants européens d’une divulgation de leurs données à des pays tiers (articles 45 à 49), serait possible.
L’article 48 du RGPD précise :
« Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international […] ».

Cependant, la possibilité d’invoquer le principe de courtoisie internationale est très discuté, et il n’existe pas de précédent jurisprudentiel permettant de conclure en ce sens. La conclusion d’un « Executive Agreement » avec les Etats-Unis est-elle la solution ?
Le Cloud Act a manifestement été rédigé dans l’objectif d’inciter les États tiers à conclure des Executive Agreements avec les États-Unis, on ne peut nier qu’il s’agit là, pour les États-Unis, d’une manière d’imposer les règles du jeu.
Un accord serait en cours de négociation avec le Royaume-Uni. Il faut certainement souhaiter que d’autres États embrayent le pas dans la conclusion de tels accords et s’assurent que leur législation nationale leur permet effectivement de protéger leurs ressortissants. La conclusion d’un Executive Agreement par l’Union Européenne elle-même pourrait également être envisagée, même si les termes du Cloud Act ne semblent pas aller en ce sens.
Pour autant, la conclusion de tels accords ne pourra sans doute pas pallier les incertitudes persistantes entourant la mise en œuvre du Stored Communications Act américain. Il conviendrait, notamment, de préciser quelles sont les entreprises visées par le texte et si la simple filiale américaine d’un groupe étranger pourrait se trouver tenue de communiquer les données détenues par le groupe dans le reste du monde.
En outre, la conclusion d’Executive Agreements ne permettra pas de pallier entièrement les déséquilibres instaurés par le texte même du Cloud Act. Alors que les autorités américaines peuvent exiger la divulgation de données en invoquant la probable commission de n’importe quelle infraction, les autorités étrangères ne pourront demander communication de données que dans l’hypothèse de la commission d’infractions graves (serious crimes). Alors que les données relatives aux citoyens américains ou entreprises américaines ne pourront en aucun cas être divulguées aux autorités étrangères, les autorités américaines ont la possibilité de réclamer les données relatives aux ressortissants non américains sauf contestation invoquant une loi nationale empêchant une telle divulgation et à la condition que cette législation nationale présente des garanties substantielles et procédurales équivalentes à celles prévues par la loi américaine.
Il faut donc conclure qu’en l’état, les données des internautes français détenues par les fournisseurs de services américains (Apple, Google, Facebook, Microsoft, etc…) et stockées sur des serveurs français ou européens peuvent faire l’objet d’une demande de communication de la part des autorités américaines dans les conditions évoquées, et sans qu’il soit possible de s’opposer de manière certaine et efficace à la demande de ces autorités.

Article publié le 23 mai 2019