Vendredi 23 mars 2018, le Congrès américain a voté le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, littéralement « loi clarifiant l’usage légal des données hébergées à l’étranger »), une nouvelle loi élargissant les pouvoirs des autorités américaines en matière de surveillance et de saisie de données dans le cadre du vote de la loi de finance : le Consolidated Appropiations Act, 2018. C’est ainsi 32 feuillets qui se sont glissés parmi les 2232 pages de texte, dans ce que l’on appelle un cavalier législatif, et ceci sans qu’il n’y ait eu aucun débat parlementaire.
Le contenu du CLOUD Act
Le CLOUD Act vient amender le Stored Communication Act (SCA), une loi adoptée en 1986 qui fixe un principe de confidentialité et de protection des données de communication traitées ou stockées par les fournisseurs de services de communication, à l’exception de certains cas et notamment celui de requêtes adressées par les autorités américaines pour les besoins de procédures répressives. Dans le cadre du SCA, toute demande d’obtention de données ou documents en provenance d’un pays tiers aux États-Unis devait être encadré par un traité bilatéral. C’est notamment sur ce fondement que des transferts de données entre les différents pays membres de l’Union européenne (UE) et les États-Unis ont pu être réalisés.
Ces traités bilatéraux furent remplacés en 2003 par des traités d’assistance judiciaire mutuelle : Mutual Legal Assistance treaty (MLAT) conclus directement avec des pays tiers. Ces MLAT permettent d’encadrer les données et les transferts de données entre deux pays. Le CLOUD Act vient offrir un autre moyen plus rapide d’obtenir des données situées dans un pays tiers aux Etats-Unis, sans avoir à passer par les procédures très longues prévues par les MLAT.
Le CLOUD Act prévoit d’abord que toute société américaine au sens du droit américain doit communiquer aux autorités américaines les données qu’elle contrôle sans considération du lieu où ses données se trouvent stockées.
Ensuite, le CLOUD Act offre la possibilité pour le gouvernement américain de signer avec des gouvernements étrangers des accords bilatéraux sans passage par le Congrès (contrairement aux MLAT) destinés à offrir un cadre plus fluide et rapide aux demandes de communications que celui de l’entraide judiciaire internationale traditionnelle. Ces accords permettront aux gouvernements étrangers de demander du contenu intéressant leurs enquêtes directement auprès de tout fournisseur de services de communication, ou « Content Service Provider », basé aux Etats-Unis, sans devoir passer par les autorités gouvernementales ou judiciaires de l’état tiers.
Toutefois, un pays souhaitant entrer en négociation doit se conformer à une série de conditions, notamment concernant le cadre de la requête (criminelle, visant une personne spécifique et se basant sur des faits spécifiques), les données récoltées (qui ne doivent pas viser un citoyen américain) et respecter les « standards » minimums en matière de droits de l’homme.
Par ailleurs, le CLOUD Act prévoit explicitement que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer si cette communication implique la violation de la législation d’un pays étranger. Ainsi, en cas d’accord bilatéral, la demande d’opposition doit être formulée dans les 14 jours et la Cour doit exercer une balance des intérêts selon des critères fixés par le CLOUD Act comme l’intérêt des Etats-Unis, l’importance des moyens déployés dans les investigations, le lien de la personne visée avec les Etats-Unis… En l’absence d’accord bilatéral, les juges devront également opérer une balance des intérêts entre celui des Etats-Unis et des autres pays mais sans critères définis par la loi, sur le seul principe de la courtoisie internationale, ce qui est moins protecteur.
Les répercussions sur l’affaire Microsoft
Le CLOUD Act voté par le Congrès pourrait avoir des conséquences immédiates sur l’affaire United States v. Microsoft Corp., actuellement débattue devant la Cour Suprême américaine. Ce litige a débuté en 2013, lorsque le FBI avait enjoint par mandat judiciaire à Microsoft de lui communiquer l’intégralité des courriels appartenant à un client suspecté dans une affaire de trafic de stupéfiants.
Microsoft avait donc communiqué au FBI toutes les données du client concerné et qui étaient hébergées sur tous ses serveurs situés aux Etats-Unis. En revanche, Microsoft avait informé le FBI du fait qu’elle ne pouvait pas lui envoyer certaines autres données relatives à son client, car lesdites données étaient hébergées en Irlande, pays où Microsoft a implanté une de ses filiales.
Or, pour le FBI, à partir du moment où Microsoft est une société basée aux Etats-Unis, peu importe où est située la donnée : si elle y a accès, elle doit la communiquer en vertu du mandat des autorités américaines. Le FBI a donc requis que Microsoft lui communique bien l’ensemble des données relatives au client, que ces données soient hébergées sur des serveurs situés aux Etats-Unis ou à l’étranger.
Pour Microsoft en revanche, cette demande qui lui était faite s’opposait à la souveraineté des Etats, aux traités internationaux ainsi qu’au 4ème amendement de la Constitution des Etats-Unis. Ce dernier vise en effet à protéger les citoyens américains contre les perquisitions et saisies non motivées en requérant un mandat et une justification sérieuse pour toute perquisition : « The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized ». En outre, Microsoft soutenait, d’une part, qu’il aurait été impossible pour les autorités américaines de venir forcer elle-mêmes les portes d’une armoire physique située en Irlande et d’autre part, qu’une telle hypothèse risquait de la placer dans une situation de conflits de loi en cas d’obstacle à la communication des données par la loi irlandaise.
L’arrivée du CLOUD Act change donc la donne. Microsoft va devoir s’exécuter puisque les données réclamées sont bien sous son contrôle.
La confrontation entre le CLOUD Act et le RGPD
En vertu des articles 44 et suivants du RGPD (Règlement (UE) 2016/679 sur la Protection des Données), des transferts vers des pays tiers ne sont possibles que s’ils sont fondés sur une décision d’adéquation ou lorsque ces transferts s’accompagnent de garanties appropriées et que les personnes dont les données sont en cause disposent de droits opposables et de voies de droit effectives pour faire respecter leurs droits, ou encore lorsque l’autorité de contrôle compétente a approuvé des règles d’entreprise contraignantes.
Ainsi, dans de nombreux cas qui seront susceptibles de se présenter, aucun de ces critères ne seront réunis et le transfert de données à caractère personnel aux autorités américaines qui sera opéré par un fournisseur de service en application d’une demande fondée sur le seul CLOUD Act, et non sur un accord international de type MLAT, ne sera pas conforme au RGPD.
Une telle violation des règles prévues par le RGPD peut faire l’objet d’une amende administrative pouvant s’élever à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent ou 20 millions d’euros, ce qui pourrait être pris en compte lors de l’examen des demandes d’opposition formées par les fournisseurs de services de communication.
Il sera donc opportun d’ajouter au sein des contrats avec les prestataires situés aux États-Unis, et autant que possible dans le cadre de négociations souvent très déséquilibrées, une clause indiquant expressément que le RGPD constitue un cas permettant au prestataire d’opposer l’exception de violation de la législation d’un pays étranger prévue au CLOUD Act et au nouvel article U.S. Code §2713, (h), (2).
Une atteinte aux libertés civiles dénoncée par les associations de défense des droits
Tandis que les GAFAM se félicitent de cette « clarification », les ONG s’inquiètent des conséquences du CLOUD Act et estiment que la loi va trop loin puisqu’elle court-circuite le rôle du pouvoir judiciaire et du pouvoir législatif. Ainsi, si un journaliste se sert de Gmail et qu’un accord existe entre son pays et les Etats-Unis, les données pourront être réclamées directement à Google et pourraient mener le journaliste directement en prison. En effet, dans les régimes répressifs, l’accusation de terrorisme est souvent utilisée pour écarter les opposants politiques trop gênants. D’autres associations dénoncent un texte ne posant que de maigres conditions d’accès aux accords bilatéraux, la suppression du Sénat de l’équation et l’absence de garantie des citoyens d’être prévenus en cas d’enquête, une garantie pourtant prévue par le Quatrième amendement de la Constitution américaine.
Dans le contexte de l’entrée en application du RGPD, mais également du projet de règlement e-Evidence, il est difficile pour l’instant de prévoir les prochaines réactions de l’Union Européenne. En effet, les autorités européennes sont en réalité partagées entre le souci de protéger les données des citoyens européens au travers notamment du RGPD et l’intérêt de récupérer les données de communication directement auprès des Content Service Providers pour les autorités répressives, alors que le terrorisme frappe en Europe. Seulement, le risque existe qu’un accord bilatéral entre les Etats-Unis et l’Union Européenne ne se conclue pas dans une parfaite réciprocité et qu’il ne soit pas adossé à des procédures de recours garantissant la protection des intérêts économiques et des droits fondamentaux des ressortissants de chacun des acteurs. Toujours est-il qu’à ce stade, la situation est incertaine pour les sociétés qui se retrouvent entre le marteau américain et l’enclume européenne.