Data War : l’Europe a-t-elle perdu d’avance ?

Le Cloud Act : trop c’est trop ?

Le 26 mars 2018, Donald Trump signe le Clarifying Overseas Use of Data (désigné par Cloud Act)voté par le Congrès américain, noyé au milieu de la loi sur les dépenses américaines (présentant plus de 2232 pages !). Désormais, les USA disposent d’un cadre légal pour que les agences gouvernementales américaines et certaines autorités fédérales de police aient accès aux données, messages électroniques, documents et communications électroniques, stockés dans des datacenters de sociétés américaines, même si ces derniers sont localisés à l'étranger dans le cadre d’une procédure judiciaire mais sans avoir à recourir à l’US Patriot Act pour des affaires de terrorisme ou d’espionnage international, à l'ECPA pour demander des perquisitions et des saisies de droit commun ou encore à l’accord d’entraide judiciaire conclu en 2003 entre l’Union européenne et les État Unis d’Amérique qui précise que les États membres ne peuvent refuser leur assistance pour des motifs tenant au respect du secret bancaire ou aux règles applicables en matière de protection des données personnelles (art. 9. 2 b). Soulignons tout de même que l’accès aux données s’effectue sans passer devant un juge.

Sont ainsi concernés les datacenters situés sur le territoire de l’Union européenne des sociétés comme Microsoft, Google, IBM, AWS, Salesforce, Oracle... qui ont pourtant fait d’énormes efforts financiers pour paraître plus vertueuses et plus soucieuses de la protection des données de leurs clients européens. Certaines d’entre elles comme Microsoft ont défendu leurs positions en faveur du non accès aux données situées en dehors du territoire américain devant les tribunaux et Cour américaines jusqu’à la signature du Cloud act.

Le patriotisme numérique américain 

Bien sûr, des gardes fous existent comme cette faculté offerte aux prestataires de Cloud US de contester la démarche diligentée par l’Administration américaine :

« COMITY ANALYSIS OF LEGAL PROCESS SEEKING CONTENTS OF WIRE OR ELECTRONIC COMMUNICA-TION.—Section 2703 of title 18, United States CodeSection 2703 of title 18 :

« A provider of electronic communication service to the public or remote computing service, that is being required to disclose pursuant to legal process issued under this section the contents of a wire or electronic communication of a subscriber or customer, may file a motion to modify or quash the legal process where the provider reasonably believes— ‘‘(i) that the customer or subscriber is not a United States person and does not reside in the United States; and (ii) that the required disclosure would create a material risk that the provider would violate the laws of a qualifying foreign government ».

La demande d’opposition d’un prestataire fondée sur ces points devra être portée devant un tribunal américain qui pourra alors casser ou non la demande de transfert de données. Cependant, on ne sait pas si le recours aura un caractère public ou pas. Pour éviter d’enfreindre les lois étrangères (par ex. le RGPD) les États-Unis pourront conclure des accords bilatéraux avec les Etats concernés et, en contrepartie négocier l’accès aux données sur le territoire américain.

Suite à la promulgation de cette loi, la Cour Suprême américaine a abandonné les poursuites dans l’affaire qui opposait depuis 2013 Microsoft à la justice US pour l’accès à des courriers électroniques stockés en Irlande. Microsoft s’est même félicité du vote de cette loi en permettant à l’Administration d’accéder aux données si longtemps défendues : « We welcome the Supreme Court’s ruling ending our case in light of the CLOUD Act being signed into to law. Our goal has always been a new law and international agreements with strong privacy protections that govern how law enforcement gathers digital evidence across borders. As the governments of the UK and Australia have recognized, the CLOUD Act encourages these types of agreements, and we urge the US government to move quickly to negotiate them ».

De manière plus large, que se passerait-il si les intérêts nationaux (lutte contre le terrorisme, perte de marché) étaient mis à mal par l’opposition d’un prestataire américain ? Le patriotisme numérique ne jouerait-il pas à plein ?

Besoin d’une position européenne commune  et cohérente

Bien sûr, les questions de protection des données à caractère personnel posées dans le cadre du RGPD militent en faveur d’une souveraineté numérique européenne, les membres du G29 doutant fortement de l’efficacité du Privacy Shield. Il n’est pas douteux que cette réglementation ait fait bouger les Etats Unis en faveur du vote du Cloud Act. 

D’ailleurs, les Etats membres de l’Union européenne n’ont rien trouvé à redire au Cloud Act. Bien au contraire. Ils réfléchissent à comment disposer des données concernant leurs ressortissants nationaux stockées sur le sol américain ou par des providers US. 

A ce titre, la proposition de Règlement relative au cadre applicable en matière de liberté des flux de données non personnelles dans l’Union Européenne tend à bannir toute « exigence de localisation des données » entendue comme « toute obligation, interdiction, condition, limite ou autre exigence prévue par les dispositions législatives, réglementaires ou administratives des États membres, qui impose la localisation du stockage ou du traitement des données sur le territoire d’un État membre donné ou qui entrave le stockage ou le traitement des données dans un autre État membre » sans préciser les règles qu’ils entendent appliquer à des prestataires étrangers situés sur le sol européen.

Là où les Etats Unis se sont dotés d’un moyen d’accéder aux données situées hors de leur territoire, l’Union européenne prêche pour une libre circulation des données non personnelles sans que le périmètre de ces données soit clairement identifié. Alors à quand une prise de conscience réelle et efficace ? En attendant, les entreprises européennes devraient éviter de confier leurs données à des prestataires américains peut être moins chers mais sans doute plus facilement enclins pour des raisons légales à porter atteinte à la confidentialité de leurs données. Dès lors, pour s’assurer de cette confidentialité, il est recommandé de privilégier l’hébergement de données dans des datacenters européens disposant de règles juridiques protectrices et avec des prestataires de services français ou européens sans aucune sous-traitance non maitrisée. La souveraineté numérique ne doit pas être à sens unique, car à défaut, on risque de se trouver dans une voie sans issue pour nos intérêts (européens) !


Eric A. CAPRIOLI et Pascal AGOSTIAvocats associés, Docteurs en droitSociété d’avocats membre de JurisDéfi