Nous explorons au fil de cet article les conséquences du CLOUD Act sur le RGPD. En le parcourant, vous découvrirez les spécificités du CLOUD Act et son impact possible sur les flux de données personnelles transatlantiques.
A propos du CLOUD Act
Promulgué en mars 2018, le CLOUD Act, ou Clarifying Lawful Overseas Use of Data Act, a révisé le cadre législatif fédéral américain (en particulier, le Stored Communications Act de 1986, ou « SCA ») relatif aux demandes d’informations faites par les autorités américaines auprès des fournisseurs américains de services d’accès à internet et autres moyens de communication électroniques. Cela peut concerner un fournisseur de messagerie électronique ou un hébergeur (collectivement des « communications service providers » ou « CSP »), dans le cadre d’enquêtes pénales, que ces données soient stockées sur des serveurs basés sur le territoire américain ou à l’étranger.
Le CLOUD Act répond aussi à une demande croissante des partenaires étrangers des États-Unis de bénéficier d’un accès facilité aux données stockées sous format électronique détenues par des sociétés basées aux US, également dans le cadre d’enquêtes pénales portant sur des infractions graves (telles que des actes de terrorisme, des crimes violents, des faits d’exploitation sexuelle des enfants, ou des actes de cybercrime).
Ainsi, la nouvelle loi permet aux pays partenaires des États-Unis ayant des législations renforcées en termes de protection de la vie privée et des droits civiques de conclure avec le gouvernement américain des « executive agreement » afin de se voir communiquer des informations détenues aux États-Unis pour les aider dans leur lutte contre les infractions pénales les plus graves. Ces infractions (« serious crimes » dans la loi) sont définis dans le premier « executive agreement » signé par les États-Unis avec le Royaume-Uni comme une infraction punissable d’une peine d’emprisonnement de un à trois ans.
Les « executive agreements » sont des accords internationaux qui ont pour particularité d’entrer en vigueur sans ratification par le Sénat. Ce terme couvre en réalité trois types d’accords : ceux conclus en vertu des pouvoirs constitutionnels du Président des États-Unis (« sole executive agreements »), ceux conclus conformément à une loi promulguée par le Congrès (« congressional executive agreements »), et ceux conclus selon les termes d’un traité dûment ratifié.
En outre, ces « agreements » sont réservés aux pays dont les règles de fond et de procédure se rapportant à la collecte de données sont suffisamment protectrices des droits civiques et de la vie privée (par exemple, le fait d’être partie à la Convention sur la cybercriminalité de 2001 (Convention de Budapest) suffit à démontrer des protections adéquates).
Après avoir expliqué le contexte ayant mené à la ratification du CLOUD Act (I), nous en expliquerons le contenu (II), avant de mettre en lumière les sécurités et garde-fous (III) qu’il comporte.
I. Un contexte juridique favorable à l’adoption d’une nouvelle loi sur la protection des données
Le CLOUD Act, salué par les sociétés technologiques américaines, est venu clarifier la situation post-arrêt Microsoft de 2016, dans laquelle l’entreprise avait contesté la demande d’accès du gouvernement américain à des données clients stockées en dehors des US (en Irlande, pour être précis).
A contrario, le gouvernement américain faisait valoir qu’il pouvait, en vertu du SCA, demander à se voir communiquer des données d’un fournisseur basé aux US même si celles-ci sont stockées ailleurs qu’aux États-Unis. Le SCA, partie intégrante du Electronic Communications Privacy Act, ou « ECPA », également daté de 1986 et ancêtre du CLOUD Act, énonçait en effet, à un moment où Internet en était encore à ses prémices, un principe de confidentialité des communications s’étendant aux données de communication (à savoir le contenu et les informations sur l’utilisateur et ses communications) traitées ou stockées par des fournisseurs de services de communication, de traitement et de stockage électronique de données.
Ce texte prévoit des exceptions, notamment la possibilité pour les autorités américaines de requérir des fournisseurs de services la communication de données clients dans le cadre d’enquêtes pénales en vertu du Quatrième Amendement de la Constitution des États-Unis.
L’administration fédérale américaine avait ainsi, en 2013, à l’aide d’un mandat délivré en vertu de la section 2703 du SCA et arguant une « probable cause » que la boîte mail en question soit liée à des activités frauduleuses, demandé à Microsoft de lui fournir les données dans un délai de deux semaines. La « probable cause » est la norme permettant aux autorités de police américaines d’obtenir un mandat dans le cadre d’une enquête pénale.
Cette notion découle du Quatrième Amendement de la Constitution des États-Unis, lequel prévoit le droit des citoyens d’être protégés dans leur personne, leur domicile, leurs papiers et leurs effets contre les perquisitions et saisies non motivées sauf « probable cause » qu’un crime a été commis, confirmée par serment ou déclaration solennelle, et d’un mandat émis par un juge et décrivant précisément le lieu à perquisitionner, ainsi que les personnes visées ou les choses à saisir.
Après avoir divulgué les emails stockés aux US, Microsoft a refusé de fournir ceux stockés sur ses serveurs basés en Irlande, profitant du vide juridique laissé par le SCA concernant les données stockées par des fournisseurs de service américains en-dehors des US. De fait, cette loi couvrait uniquement les demandes des autorités américaines relatives à des informations stockées par des fournisseurs de services américains sur le territoire américain.
La Cour d’appel de New York a donné raison à Microsoft le 14 juillet 2016, en faisant valoir le respect des souverainetés étrangères et la protection des données personnelles. Selon elle, les forces de l’ordre devaient plutôt suivre le processus de coopération légale internationale prévu dans un « Mutual Legal Assistance Treaty », ou de commission rogatoire internationale.
Or, ces processus étant relativement longs (plusieurs mois) et contraignants, ils ne sont pas adaptés à la lutte contre des crimes désormais facilités par les technologies modernes de communication.
Il reste que, malgré la décision Microsoft, certains tribunaux aux États-Unis ont continué de reconnaître la validité de mandats délivrés en vertu du SCA relatifs à des données stockées hors US. Il s’en est alors suivi une grande insécurité juridique, les GAFA se basant sur le précédent Microsoft pour refuser de donner suite à de telles demandes.
C’est ce manque juridique que le CLOUD Act est venu combler. Il clarifie le SCA, et exclut la localisation du centre de stockage de données comme fondement d’une opposition par un fournisseur de services électroniques basé aux US, à une demande de données issue d’une administration US, dans le cadre d’une enquête pénale.
Malgré l’appui des GAFA dont a bénéficié Microsoft dans son opposition au gouvernement américain, ceux-ci ont tous accueilli favorablement le CLOUD Act, Microsoft inclus, puisque celui-ci a permis de mettre fin à l’insécurité juridique, véritable ennemi des acteurs économiques.
L’affaire Microsoft a par ailleurs été classée sans suite et la décision annulée, suite à l’accord des parties sur le fait que le nouveau mandat adressé par le gouvernement à l’entreprise en vertu du CLOUD Act remplaçait l’original (délivré conformément au SCA).
II. Structure et contenu du CLOUD Act
Le CLOUD Act se divise en deux parties.
Dans une première partie, il met en évidence le principe acquis depuis longtemps aux US selon lequel un fournisseur de services électroniques soumis à la juridiction américaine peut se voir obligé, à tout moment, de fournir des données en sa détention et sous son contrôle, nonobstant leur localisation.
Ce principe reflète simplement la loi en vigueur jusqu’à l’arrêt Microsoft de 2016, tout en veillant au respect par les US de leurs obligations en vertu de la Convention de Budapest sur le cybercrime. Les États membres parties à cette Convention doivent en effet être en mesure d’obliger les fournisseurs de services sur leur territoire à divulguer les données électroniques sous leur contrôle, indépendamment de leur localisation.
Cette faculté du gouvernement américain à requérir des données en vertu du CLOUD Act a été très décriée en Europe, notamment du fait de sa portée extraterritoriale. Cependant, elle n’entre pas forcément en conflit avec l’article 48 du Règlement Général sur la Protection des Données (RGPD), lequel interdit toute demande d’une autorité étrangère exigeant d’un responsable de traitement ou sous-traitant qu’il réponde favorablement à une demande de transfert ou de divulgation des données personnelles, en l’absence d’accord international.
La Commission Européenne a ainsi affirmé, dans un mémoire déposé auprès de la Cour Suprême américaine en 2017, que cet article 48 ne s’opposait pas à tout transfert dans le cadre d’enquêtes, notamment ceux qui trouveraient justification en vertu de l’article 49 du RGPD (dérogations pour des situations particulières).
Inversement, le CLOUD Act permet à des fournisseurs de services de communications électroniques de s’opposer à une requête d’accès à des données stockées en-dehors des US par le gouvernement américain dès lors que cette requête entre en conflit avec la loi du pays étranger.
Ainsi, contrairement à ce qu’on a pu lire en France depuis son adoption en 2018, le CLOUD Act ne permet pas aux autorités américaines d’obtenir des données de manière discrétionnaire, puisqu’il les oblige à motiver chaque demande, tout en permettant au fournisseur de services de demander davantage d’informations sur la requête, et, si nécessaire, de s’opposer à celle-ci.
Un fournisseur de services peut en effet contester la demande de communication dans un délai de 14 jours si le pays tiers est signataire d’un « executive agreement » avec les US, et s’il croit raisonnablement que deux circonstances sont réunies, à savoir :
- Le client ou abonné aux services du fournisseur de services dont les données sont visées n’est ni un citoyen américain, ni un résident des États-Unis, ni une société constituée aux États-Unis.
- La divulgation des données créerait un risque que le fournisseur de services porte atteinte à la législation étrangère.
Pour justifier sa décision, le juge cherchera à l’aide d’une « comity analysis » si l’opposition ainsi formée sert les « intérêts de la justice », définis par le CLOUD Act via une multiplicité de facteurs (les intérêts du gouvernement américain et étranger, la probabilité que le fournisseur de services soit pénalisé d’avoir répondu favorablement à l’injonction, l’importance des informations demandées pour l’enquête…).
Dans le cas où les données demandées sont localisées dans un pays non signataire d’un « executive agreement » avec les Etats-Unis, le CLOUD Act permet aussi au fournisseur de service de s’opposer à la demande, via une « comity analysis », reposant notamment sur la prise en compte par les juges des intérêts du pays tiers.
La comparaison de ces deux « comity analysis » amène à penser qu’il s’agit finalement d’une seule et même procédure pour les deux cas (avec ou sans « executive agreement » entre le pays tiers dont la loi pourrait être violée et les US). Cependant, les États-Unis ont pris soin de détailler clairement le processus d’objection (« comity analysis ») en présence d’un « executive agreement », et non dans le cas inverse, dans le but apparent d’encourager les pays à contracter un tel accord avec eux.
La seconde partie de la nouvelle loi donne aux gouvernements étrangers la possibilité de conclure avec les États-Unis des accords internationaux autorisant des demandes de communication de données résidant sur le sol du pays étranger, et de faire ces demandes directement auprès du fournisseur de services à l’étranger.
Par ces accords bilatéraux, chaque pays s’engage à diminuer les contraintes légales empêchant les fournisseurs de services de communication de se conformer à des ordres légitimes visant à la mise à disposition de données électroniques issues de l’autre pays. Ce faisant, chaque pays peut mettre en œuvre une procédure judiciaire visant directement le fournisseur de service de l’autre pays, augmentant ainsi considérablement la vitesse et l’efficacité du processus par rapport aux méthodes traditionnelles de transfert de preuves électroniques.
De même, cette loi profite aux enquêtes pénales en permettant à chaque partie de demander des informations à l’autre sans avoir à passer par un accord de reconnaissance mutuelle, dont l’aspect politique retarde amplement le procès.
Le CLOUD Act ne permettant pas de conclure des « executive agreements » avec des organisations internationales comme l’Union Européenne, il faudrait qu’un tel accord soit conclu avec chaque État Membre indépendamment, comme c’est attendu pour la France.
III. Une procédure sécurisée et claire qui n’a rien de particulièrement novateur pour le droit américain
La procédure de demande de communication de données en vertu du CLOUD Act est sécurisée, puisque chaque injonction de communication de données soumise à un « executive agreement » est sujette à examen et approbation par une autorité indépendante (tribunal, juge, magistrat…).
En somme, les requêtes du gouvernement américain comme celles émanant des gouvernements étrangers sont soumises à des limitations.
S’agissant des autorités américaines, l’accès aux données est conditionné à l’obtention d’une injonction de produire – un mandat, délivré par une juridiction compétente uniquement si la demande est ciblée, et s’appuie sur un faisceau d’indice concordants indiquant que la personne a probablement commis ou va commettre une infraction pénale, et que les informations visées sont nécessaires à l’enquête, et localisées à un endroit précis.
S’agissant des gouvernements étrangers, les limitations comportent :
- L’interdiction de viser intentionnellement une personne basée aux US ;
- L’interdiction de viser indirectement des personnes basées aux US, et l’interdiction pour le gouvernement étranger de partager en retour la donnée avec les autorités américaines ;
- Les requêtes doivent viser une personne spécifique ;
- Les requêtes doivent être basées sur des faits précis et crédibles – disposition correspondant à la « probable cause » américaine. En droit américain, la « probable cause » est le motif raisonnable, basé sur des faits précis, permettant de suspecter qu’une personne a commis ou est sur le point de commettre un crime, ou que les preuves du crime sont localisées à un endroit précis. La « probable cause » est la condition d’obtention d’un mandat d’arrêt ou de perquisition ;
- Les requêtes doivent être sujettes à examen par une autorité indépendante (cour, juge, magistrat…) ;
- L’interdiction d’utiliser les données pour porter atteinte à des droits de l’Homme, telle la liberté d’expression.
De même, les ordres directs d’interception doivent remplir des critères additionnels de durée : ils doivent être d’une durée fixée et limitée, et ne doivent pas durer plus longtemps que ce qui est raisonnablement nécessaire pour accomplir les objectifs prévus.
La loi ajoute que cette solution doit être adoptée uniquement si la même information ne pouvait raisonnablement pas être obtenue en utilisant une méthode moins intrusive.
Cette loi est d’autant plus sécurisée qu’elle est « encryption-neutral », c’est-à-dire qu’elle n’oblige pas les fournisseurs de services de communication à fournir la clef de chiffrement des communications, données ou documents chiffrés ; peu importe que ce soit dans le cadre d’un accord exécutif ou d’une injonction de produire.
Ainsi, contrairement aux inquiétudes exprimées par les européens, le CLOUD Act est un accord de réciprocité permettant de faciliter les échanges de données, notamment dans le cadre d’enquêtes pénales internationales. Ce processus permet d’accélérer les investigations dans un monde où le crime est facilité par l’usage des technologies. En plus de fournir un cadre juridique clair aux requêtes de données par des autorités, il donne l’opportunité aux fournisseurs de services de s’opposer à ces demandes dans certains cas.
De plus, dans un objectif de transparence et de rassurer tant leurs partenaires commerciaux que leurs clients, certaines entreprises américaines ont pris la décision de publier régulièrement des « transparency reports » exposant des statistiques sur les demandes de renseignements reçues du gouvernement américain et des gouvernements étrangers. C’est notamment le cas de Google Cloud, dont le rapport de transparence pour 2020 est disponible à cette adresse : https://cloud.google.com/blog/products/identity-security/google-clouds-semi-annual-transparency-report-now-available ; et produit des statistiques sur les injonctions du gouvernement en fonction du public visé (entreprises, consommateurs du secteur public, clients de Google Workspace).
IBM a, de son côté, publié un rapport (https://www.ibm.com/downloads/cas/DAGAKDJG) détaillant le nombre de demandes reçues, ainsi que le nombre de réponses et leur contenu.
De ce qui précède il ne nous semble pas établi que le CLOUD Act entre en conflit avec le RGPD, lequel permet au prestataire destinataire d’une demande de communication de données à caractère personnel, en ses articles 44 et suivants, d’opposer l’exception de violation de la législation d’un pays étranger, laquelle exception est également prévue dans le CLOUD Act.
Enfin, on notera que les recommandations du CEPD imposent spécifiquement aux parties à un transfert de données d’évaluer les législations étrangères s’agissant des risques d’ingérence par les agences de renseignement des US, comme expliqué dans mon article « How to Turn the Invalidation of the Privacy Shield Into an Opportunity ». Nous espérons qu’une analyse plus informée du CLOUD Act et des garde-fous qu’il contient devrait, suite au présent article, contribuer à rétablir un lien de confiance dans la protection des données européennes aux US.
—
Cet article a été écrit avec la collaboration d’Auriane Wilhelm
Related articles :
Privacy at the Crossroads: A Comparative Analysis of Regulation in the U.S., the EU and Canada