Beaucoup moins connu que le "Patriot Act", le Cloud Act est une loi fédérale américaine promulguée en mars 2018 qui étend la portée géographique des demandes du gouvernement américain à pouvoir accéder aux données sur les serveurs, quelle que soit leur localisation.
Par le Cloud Act (« Clarifying Lawful Overseas Use of Data Act »), il devient donc possible pour le gouvernement US d’accéder aux serveurs en Europe et donc en France à partir du moment où la société est américaine ou si la société fait du business avec les Etats-Unis.
Le Cloud Act permet également au gouvernement Américain de signer des accords bilatéraux avec d’autres Etats qui permettent de faciliter les demandes d’accès aux données (à savoir sans procédure judiciaire). Cette nouvelle loi, adoptée “discrètement” sous l’ère Trump, semble donc retirer aux fournisseurs de services un avantage protectionniste majeur qui est de plus en plus demandé au sein des bonnes pratiques de gestion de l’information numérique, et intégrés pour de nombreux acteurs européens, notamment au regard de leur gestion des données RGPD.
Le périmètre du Cloud Act est très large : il porte autant des enquêtes criminelles mais également permet d’accéder aux datas qui pourraient « menacer l’ordre public ». Une notion floue et large et sans réelle définition juridique.
Quels sont les véritables impacts du cloud Act ? Cette loi s’oppose-t-elle à la règlementation européenne “RGPD” ?
L'article 48 du RGPD précise qu'un accord international est obligatoire pour qu'une juridiction ou une autorité issue d’une administration "transfère ou divulgue des données à caractère personnel".
Alors le Cloud Act permet-il de s’en abroger ? En réalité les forces de l’ordre des États-Unis ne peuvent rechercher le contenu de fournisseurs de services que dans deux circonstances :
- avec le consentement du client
- en l’absence d’accord bilatéral, avec un mandat délivré par un tribunal américain conformément aux procédures pénales en vigueur aux États-Unis. Et pour qu'un mandat soit émis, un tribunal américain doit être convaincu qu'il existe des motifs probables de croire qu'un crime a été commis et que les preuves demandées sont directement liées à ce crime et contrôlées par le fournisseur.
Y-a-t-il conflit d’intérêt juridique avec la réglementation de l’Union Européenne ?
Les fournisseurs de services qui souhaitent divulguer des données personnelles en dehors de l’UE sont donc tenus de demander l’autorisation à leurs clients (article 44 à 49 du règlement RGPD).
Autre cas possible : une demande d’accès aux données personnelles sur des employés d’une société dans un pays de l’UE commercialisant avec les Etats-Unis sans un accord-cadre entre les pays ? Que se passe-t-il en cas de refus lors d’une demande d’accès par les autorités américaines ?
A ce jour et en l’absence de jurisprudence, il semble préférable de recommander en termes de choix des fournisseurs de service “européens” aussi bien au niveau de cloud, de signature électronique, d’hébergement,...., et d’être vigilants sur l’impact possible du Cloud Act. Vos services juridiques sont donc à associer pour vous aider à en mesurer les risques.
Quelques pistes également à prendre en compte :
- Le chiffrement de bout en bout serait une mesure technique efficace pour contrer le risque d’ingérence car le texte américain souligne son droit d’accès mais ne précise pas l’obligation de déchiffrement des données qui ne peuvent être lu que par le(s) destinataire(s) concerné(s) ; ainsi, si les fournisseurs se plient à une demande, ils ne seraient pas en mesure de fournir des données lisibles.
- Il est évident que cette nouvelle loi renforce les pouvoirs des autorités de surveillance américaines. Même si la Commission Européenne va probablement se pencher sur une nouvelle réglementation européenne ou renforcer sa réglementation RGPD pour contrer cette nouvelle doctrine US, la dépendance aux GAFA semble être un éternel problème qui amènera des conflits d’intérêt entre la souveraineté européenne et son économie. La Commission européenne a proposé une ébauche de règlement de « E-Evidence » en 2018 qui pourrait être une première piste vers un accord bilatéral.
A ce jour, des pourparlers en vue de futurs accords sur ce texte sont en discussion entre Bruxelles et Washington, accords déjà existants depuis 2019 entre les Etats-Unis et Le Royaume Uni.