Les prestataires de Cloud établis aux Etats-Unis pourront désormais être contraints par les autorités américaines à leur fournir les données d’utilisateurs, stockées en dehors des Etats Unis en vertu du Clarifying Lawful Overseas Use of Data Act (Cloud Act), signé le 23 mars 2018 par Donal Trump. Instaurant une tension entre protection des données personnelles et lutte contre le terrorisme, le Cloud Act est envisagé avec méfiance par les associations de défense des libertés individuelles.
Le Clarifying Lawful Overseas Use of Data Act (Cloud Act), signé le 23 mars 2018 par Donal Trump, permet aux autorités américaines d’accéder aux données de Cloud détenues par les prestataires de Cloud établis aux Etats-Unis même lorsque ces données sont hébergées en dehors des Etat Unis.
La mise en œuvre de ce principe nécessite l’existence d’accords bilatéraux signés par les Etats tiers et le Président américain. En présence de tels accords, les prestataires de Cloud américains seront donc contraints à fournir les données de Cloud de leurs utilisateurs où qu’elles soient stockées.
Le Cloud Act vient donc résoudre la question du caractère extraterritorial de la loi antérieure en matière de communication de preuves électroniques – le Stored Comunication Act de 1986.
Cette interrogation s’était manifestée en 2013, dans le cadre d’une affaire de trafic de drogue, lorsque l’administration américaine avait demandé à Microsoft de lui transmettre les données d’une personne potentiellement impliquée. La société avait alors refusé d’accéder à cette demande, en se fondant sur le fait que ces données étaient stockées en Irlande et non pas aux Etats Unis.
La Cour Suprême aurait dû se prononcer sur le bien-fondé de ce refus en juin 2018 et donc sur l’applicabilité du Stored Communication Act à des données stockées à l’étranger.
Elle a toutefois été devancée par le Congrès qui a adopté le Cloud Act le 22 mars 2018 dans le cadre de la loi de finance américaine.
La question ne se pose désormais donc plus : Microsoft – comme l’ensemble des prestataires de Cloud établis aux Etats Unis – se verra dans l’obligation de communiquer au FBI les données de ses utilisateurs stockées sur le Cloud, qu’elles soient ou non hébergées aux Etats Unis, pour autant que l’Etat tiers en question signe un accord bilatéral en ce sens.
La loi a été accueillie de façon positive par les géants du numérique. À leurs yeux, ces nouvelles dispositions représentent un gage de sécurité juridique et une simplification en matière de loi applicable. En effet, le Cloud Act leur permet de ne plus s’encombrer des obligations locales en matière de données personnelles et de vie privée.
Le silence des autorités européennes face à ce texte, qui pourtant parait potentiellement liberticide pour les citoyens européens, a été plus retentissant encore que l’approbation par l’industrie du numérique. Cette absence de réaction est d’autant plus surprenante qu’en 2013 la Commission Européenne s’était prononcée en faveur de l’application des principes de droit international public lorsqu’une autorité publique souhaite accéder aux données électroniques stockées sur un serveur situé dans une juridiction étrangère.
La raison de ce mutisme de l’Union Européenne se trouve dans la volonté de la Commission Européenne de mettre en place à son tour une loi sur l’accès transfrontalier aux preuves électroniques. Le projet de règlement « E-Evidence » présenté le 18 avril dernier sous couvert de lutte contre le terrorisme, semble quelque peu plus respectueux de la vie privée que le Cloud Act qui a été l’objet de très vives critiques.
Sur le plan formel, la critique majeure porte sur la manière dont a été adopté le Cloud Act : en l’insérant dans la loi de finance, le Congrès l’a soustrait à tout débat ainsi qu’à tout vote spécifique, alors même que les tentatives antérieures de modification du Stored Communication Act avaient été rejetées.
Le fait que le Parlement, représentant des intérêts des citoyens américains, ne soit pas non plus impliqué dans la signature des accords bilatéraux de mise en œuvre du Cloud Act, est également une grande source d’inquiétude.
Sur le fond, les garde-fous insérés dans la loi américaine sont loin d’avoir convaincu les associations de défense des libertés individuelles.
En effet, la mise en jeu du Cloud Act n’implique ni l’intervention du juge pourtant garant des libertés, ni la notification à la personne intéressée de la communication de ses données aux autorités. Il permet donc d’évacuer les lois étrangères protectrices de la vie privée et des données personnelles dès lors que l’opérateur de Cloud est basé aux Etats Unis, et alors même que la personne détentrice des données ni un citoyen américain, ni une personne résidant aux Etats-Unis.
Cette constatation est d’autant plus alarmante que la majeure partie des fournisseurs de Cloud se situe aux Etats Unis.
Le Cloud Act devient une alternative plus simple et plus rapide à la procédure de l’entraide judiciaire, qui était jusqu’alors applicable en matière de transfert de preuves électroniques entre Etats. Une distinction dont le fondement est plus qu’obscur, est ainsi introduite entre les documents papier et les informations électroniques.
Le droit de l’Union Européenne impose certaines garanties en termes de droits fondamentaux concernant les données personnelles, notamment via l’exigence d’un « niveau de protection adéquat » ou « équivalent ». De lourdes interrogations quant à la comptabilité entre le RGPD fraichement adopté et le Cloud Act risquent donc de se poser dans les prochains temps.
Ces inquiétudes quant à la protection des données personnelles des citoyens européens, sont renforcées au vu du règlement européen « E-Evidence » et du Privacy Shield souvent décrit comme impropre à assurer aux Etats-Unis un niveau de protection équivalent à celui garantit par l’Union Européenne.
Le dernier rempart à même de protéger efficacement la vie privée et les données personnelles des citoyens européens semble donc être la négociation d’accords bilatéraux conformes aux droits fondamentaux.