Le « Cloud Act » : l’intrusion numérique à l’américaine

Après le Patrioct Act et le Freedom Act, le Congrès américain a adopté le 23 mars 2018,  presque en “douce” le Cloud Act (Clarifying Lawful Overseas Use of Data Act), loi votée « à la va vite », qui donne désormais faculté au gouvernement américain d’accéder à des données à caractère personnel même stockées à l’étranger dès lors qu’elles sont gérées par une entreprise américaine.

Outre les dangers que peut représenter ce texte pour la protection de la vie privée des personnes du fait du contrôle absolu des GAFAM (toutes américaines) sur nos données personnelles, il suscite les plus grandes interrogations au regard de ses contradictions flagrantes  avec le RGDP entré en vigueur le 25 mai 2018 et la directive européenne sur le secret des affaires transposée en France le 30 juillet 2018.


Le contexte de l’adoption du Cloud act

Le Cloud Act trouve son origine dans un litige opposant depuis 2013 Microsoft aux autorités américaines, dans le cadre d’une affaire de trafic de drogue mêlant un de ses utilisateurs.

Le texte au cœur de cette bataille juridique était le « Stored Communications Act » (SCA), loi qui autorise le gouvernement fédéral à enjoindre un fournisseur de services de communication, de lui fournir le contenu d’une communication téléphonique ou électronique.

Microsoft, qui s’opposait à la transmission aux autorités américaines des informations contenues dans une boite mail outlook d’un des utilisateurs suspectés, arguait de la non application du SCA, dans la mesure où les données de l’utilisateur concerné, étaient stockées sur ses serveurs en Irlande, donc en dehors du sol américain.

L’affaire alors en instance devant la cour suprême a été court-circuitée par le Gouvernement Trump, qui a préféré ne pas attendre le verdict pour « dégainer »   le Cloud Act permettant désormais la saisine des données même non situées sur le territoire américain.


Que prévoit ce texte ?

Les dispositions du  Cloud Act, glissées dans les milliers de pages de la loi de finances (Consolidated Appropriations Act 2018), ont été votées discrètement, sans débat, le 23 mars 2018.

Ce texte étend clairement le périmètre d’action issu du SCA. En effet, il autorise désormais la divulgation aux autorités de police, des informations d’utilisateurs stockées chez des opérateurs de télécommunication et de communications électroniques américains, que celles-ci soient localisées dans le territoire américain ou le territoire d’un autre pays, dès lors qu’elle s’inscrit dans le cadre d’une enquête policière.

Les opérateurs pourront néanmoins s’opposer à cette divulgation lorsque :

  • L’utilisateur n’est pas un citoyen américain, un résident permanent des Etats-Unis en situation régulière, une association composée majoritairement de citoyens américains ou de résidents permanents ou une corporation américaine ;
  • La divulgation des informations créerait un risque matériel de violation de la législation d’un gouvernement étranger ayant conclu un accord exécutif avec le gouvernement américain.

Soulignons, par ailleurs, que les utilisateurs concernés ne pourront s’opposer à la divulgation en cause, dans la mesure où rien n’oblige les opérateurs à les en informer.


Les dangers pour la confidentialité des données à l’heure de « GAFAM »

Alors que Microsoft avait résisté pendant 5 ans dans le cadre de sa bataille juridique dans l’affaire précitée, les GAFAM (Google, Apple, Facebook, Amazon, Microsoft)  se sont félicités de l’adoption du Cloud Act.

Et pour cause, ces firmes détiennent aujourd’hui la plupart des données des individus dans le monde. En effet, rares sont les personnes qui peuvent se vanter de n’avoir aucune donnée stockée directement ou indirectement auprès d’un, voire plusieurs de ces géants du Web.

L’application du Cloud Act représente un danger potentiel pour la protection de la vie privée des individus qui pourront voir leurs données personnelles, divulguées sans résistance des opérateurs et sans qu’ils n’en soient même, jamais informés.


Comment concilier ce texte avec les dispositions européennes en la matière ?

Le Règlement européen sur la protection des données (RGPD)

Le RGPD applicable en France depuis le 25 mai 2018, a mis en place un niveau élevé de protection de la vie privée des individus en renforçant le contrôle et la maîtrise par les personnes de l’utilisation qui peut être faite de leur données personnelles.

A cet égard, les articles 44 et suivants du RGPD qui encadrent le transfert des données personnelles en dehors de l’UE semblent peu conciliables avec le Cloud Act.

En effet, il ressort de ces dispositions que les transferts hors UE ne peuvent (sauf cas particuliers), avoir lieu s’ils ont pour conséquence de diminuer le niveau de protection dont dispose la personne concernée dans leur pays d’origine.

Par ailleurs, on peut s’interroger sur l’application de l’article 48 qui dispose que « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international »

Les gouvernements européens signeront ils de tels accords avec les États Unis au vu du Cloud Act ? Les personnes concernées seront-elles informées des divulgations ?

Directive européenne (2016/943) sur Secret des affaires

On peut également s’interroger sur la compatibilité de ce texte avec la Directive européenne sur le secret des affaires du 8 juin 2016, transposée en France par loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires

Cette directive vise à instaurer une définition et un cadre juridique uniforme du secret des affaires dans l’UE. Elle tend à renforcer la protection des données stratégiques des entreprises afin de les préserver notamment contre le pillage d’innovations, la divulgation d’informations sensibles, stratégiques ou la concurrence déloyale.

Comment concilier les dispositions de cette Directive avec le Cloud Act, dans la mesure où les divulgations des informations des entreprises européennes dont les données seraient hébergées chez un opérateur américain, pourraient être rendues si aisées par ce texte ?

Le Cloud Act qui réduit à « peau de chagrin » les règles protectrices des données dont l’UE pouvait se flatter, milite plus que jamais pour une souveraineté numérique européenne.

En effet, si elle ne veut pas voir réduire les dispositions précitées en de simples « vœux pieux », l’Europe doit retrouver la maîtrise des données de ses citoyens pour en garantir une réelle protection.

Laisser un commentaire

Des questions ?

Une information, des questions, une consultation ?
N’hésitez pas à nous contacter.