Le « Clarifying Lawful Overseas Use of Data Act », ou Cloud Act, a été adopté par le Congrès américain le 23 mars 2018. Ce texte a été intégré au Consolidated Appropriations Act de 2018, une loi de finances couvrant un grand nombre de sujets et nécessaire pour éviter un blocage du gouvernement. Le nom de Clarifying Lawful Overseas Use of Data Act (Cloud Act) peut être traduit par la « loi clarifiant l’usage légal des données hébergées à l’étranger ».
Un changement significatif dans l’encadrement légal de l’accès aux données induit par le Cloud Act
Principalement, cette loi permet au gouvernement américain d’accéder à des données à caractère personnel stockées à l’étranger (paragraphe 2713 du Cloud Act). Son application marque un tournant dans l’affaire opposant la société Microsoft aux autorités américaines depuis 2014 (Affaire 14-2985).
Rappelons que cette affaire est née d’une difficulté d’application du « Stored Communications Act ». Ce texte régit la conservation des télécommunications, des communications et des transactions électroniques, et confie au gouvernement fédéral le pouvoir d’enjoindre à un fournisseur de services de communication de lui divulguer le contenu d’une communication téléphonique ou électronique.
Une demande de divulgation du contenu d’un compte de messagerie d’un utilisateur adressée à Microsoft
Dans l’affaire opposant la société Microsoft et le gouvernement américain, les autorités ont demandées à la société Microsoft de leur divulguer le contenu du compte de messagerie électronique d’un utilisateur, dans le cadre d’une enquête portant sur un trafic de drogue. La société Microsoft s’est opposéeà cette demande en arguant que les données concernées étaient stockées dans l’un de ses serveurs situés en Irlande. Or, l’entreprise estimait que le Stored Communication Act ne pouvait s’appliquer en dehors du territoire américain. L’affaire est en discussion devant la Cour Suprême des Etats-Unis depuis février 2018.
Il s’agit d’une réponse directe à l’objection soulevée par la société Microsoft puisque le Cloud Act conduit expressément à l’application extraterritoriale de la loi américaine. Le gouvernement américain pourrait accéder à des informations et données stockées en dehors des Etats-Unis. L’apport majeur du Cloud Act consiste donc à étendre le périmètre d’application de cette exception. En effet, les opérateurs de télécommunication et de communications électroniques pourront être amenés à divulguer des informations que celles-ci « soient situées dans le territoire des Etats-Unis ou dans le territoire d’un autre pays ».
Une faculté d’opposition aux demandes de divulgation
Les opérateurs de télécommunications ou de communications électroniques pourront s’opposer aux demandes de divulgation en réunissant la preuve que les deux conditions cumulatives suivantes sont remplies :
- le client ou l’abonné n’est pas un citoyen américain, un résident permanent des Etats-Unis en situation régulière, une association composée majoritairement de citoyens américains ou de résidents permanents ou une corporation américaine ;
- la divulgation des informations créerait un risque matériel de violation de la législation d’un gouvernement étranger ayant conclu un « accord exécutif» avec le gouvernement américain.
Des interrogations quant à la compatibilité de la réforme américaine avec des législations européennes
Il convient de s’interroger sur les conséquences de cette réforme sur la protection des données à caractère personnel des citoyens et résidents européens. Le Règlement général sur la protection des données, ou RGPD, entré en application le 25 mai dernier. Il vise à définir un niveau élevé de protection des données à caractère personnel des personnes au sein de l’Union européenne, notamment en garantissant leur sécurité et leur confidentialité. Le RGPD encadre également de manière stricte les transferts de telles données en dehors de l’Espace économique européen. En effet, ces transferts ne peuvent sauf exception avoir lieu s’ils ont pour conséquence de diminuer le niveau de protection dont dispose la personne concernée initialement.
Les entreprises pourraient également avoir à s’inquiéter de cette réforme au regard de la protection des secrets d’affaires, laquelle a fait l’objet d’une directive du 8 juin 2016 en cours de transposition en France. Certaines des demandes de divulgation formulées par les autorités américaines pourraient avoir un impact sur des secrets d’affaires d’entités européennes.
Il convient de noter que la Commission européenne a proposé le 17 avril de nouvelles règles visant à permettre aux autorités policières et judiciaires d’accéder plus facilement et rapidement aux preuves électroniques, notamment stockées en ligne. Néanmoins, de nombreuses questions restent en suspens. Est-il possible de conclure un accord exécutif sans faire de concessions sur la protection des données à caractère personnel ? L’Union européenne pourrait-elle s’opposer totalement au Cloud Act ?
Mathias Avocats vous informera des futurs développements sur ce sujet.