Médias & Contenus  >  Tribunes  >  "Le Cloud Act américain est-il compatible avec le RGPD européen ?"

"Le Cloud Act américain est-il compatible avec le RGPD européen ?"



Jean-Sébastien Mariez et Nina Gosse, avocats à De Gaulle Fleurance & Associés, répondent à une question que se posent une partie des professionnels de la publicité en ligne, notamment ceux traitant des volumes importants de données personnelles. Un début de réponse : un prestataire français filiale d’une société établie aux Etats-Unis pourrait, sous certaines conditions, faire l’objet d’une demande de communication de données par les autorités américaines.

Le 25 mai dernier, l’entrée en application du RGPD a ouvert une nouvelle ère dans la protection des données personnelles, imposant aux entreprises, particulièrement celles de l'industrie des médias et de la publicité en ligne, de repenser leurs pratiques, au prix d’investissements souvent importants.

Qu’elle soit un argument marketing ou une conviction profonde, la protection des données est devenue un impératif pour de nombreux acteurs. Mais voilà que les intéressés sont à peine remis de leurs efforts de mise en conformité au 25 mai (ce qui ne semble pas encore le cas de la plupart des acteurs huit mois plus tard) que de nouvelles incertitudes pointent : les garanties liées à la confidentialité des données requises des fournisseurs de services informatiques seraient mises en péril par le Cloud Act, autrement dit le Clarifying Lawful Overseas Use of Data Act. Cette loi, adoptée par les États-Unis en mars 2018, permet aux autorités américaines d’exiger des entreprises la communication de données, peu importe leur localisation.

Ce Cloud Act américain est-il compatible avec le RGPD européen ? Si les craintes exprimées ne sont pas dénuées de fondement, mythes et fantasmes ne doivent pas conduire à une désinformation, préjudiciable à la confiance éclairée des entreprises utilisatrices de ces services.

Qui sont les acteurs soumis au Cloud Act ?

En substance, le Cloud Act ne créé pas un nouveau régime d’accès aux données, mais vient préciser le cadre existant. Le Cloud Act modifie ainsi le Stored Communications Act (SCA) un chapitre du United States Code (U.S.C) équivalent aux codes pénal et de procédure pénale français. Il est important de souligner que le régime d’accès aux données prévu par le SCA ne prévoit pas un droit qui serait absolu et illimité.

Une première limite tient aux types d’opérateurs et de données concernés. Le SCA vise uniquement les fournisseurs de services de communications électroniques (ECS) - par exemple des opérateurs téléphoniques ou des FAI (voire un site web qui offrirait à ses clients la possibilité d'envoyer des messages ou des communications à des tiers), et les fournisseurs de services informatiques à distance (RCS) - par exemple un fournisseur de services d’hébergement dans le Cloud. Une entreprise qui n’entre pas dans ces catégories d’opérateurs ne peut être directement visée par une demande fondée sur le Cloud Act.

Cependant, les prestataires de services auxquels elle a recours - par exemple, son hébergeur de données ou son fournisseur de messagerie électronique - peuvent pour leur part relever de ces catégories, et dès lors, les données de cette entreprise sont susceptibles d’être impactées sous certaines conditions.

Concernant les types de données susceptibles d’être requises, il s’agit des données de communications électroniques (contenu, métadonnées et données relatives aux utilisateurs) qui sont stockées électroniquement par opposition aux données en transit, dont le régime est fixé par d’autres textes propres aux interceptions en temps réel. Ces données peuvent inclure des données stratégiques pour l’entreprise ainsi que des données personnelles. Le Cloud Act ne modifie pas ce champ d’application matériel du texte, pas plus que les garanties procédurales applicables qui constituent un second garde-fou (y compris l’intervention d’un juge qui, dans la majorité des cas, apprécie le bien-fondé et la pertinence de la demande d’accès aux données au regard des circonstances de l’enquête).

Pour être visé par une demande fondée sur le Cloud Act, l’opérateur concerné doit encore être soumis à la juridiction des Etats-Unis. A ce titre, il convient ici de souligner que les critères permettant de déterminer si une société est soumise à la juridiction américaine sont larges, l’application du droit américain ne se limitant pas aux seules sociétés constituées aux Etats-Unis ou ayant leur siège social sur le territoire. A cet égard, il faut garder à l’esprit qu’une appréciation au cas par cas des circonstances, prenant compte notamment de la nature et du degré de "contact" avec les États-Unis, peut, selon les critères en vigueur, mener à soumettre à la juridiction américaine des sociétés établies en France.

Par exemple, un prestataire français, filiale d’une société établie aux Etats-Unis, pourrait faire l’objet d’une demande de communication de données si les autorités considèrent que la société mère exerce un contrôle sur celles-ci. Encore faudra-il qu’une condition supplémentaire soit satisfaite : seules les données en la possession et sous le contrôle de l’opérateur peuvent être requises par les autorités américaines.

Le plus souvent, cette condition sera remplie dès lors que l’opérateur visé aura accès aux données dans le cadre normal de son activité. Dernière précision importante : il est prévu que les opérateurs disposent de la possibilité de contester devant le juge américain les demandes fondées sur le Cloud Act.

Quel sont les principaux changements induits par Cloud Act ?

Le Cloud Act est avant tout, comme son nom l’indique, une loi destinée à clarifier une situation juridique jusqu’ici incertaine, en répondant à la question suivante : les autorités américaines ont-elles le pouvoir de solliciter des sociétés pour leur demander la communication de données qui ne sont pas localisées sur le territoire des Etats-Unis ? Soulevée dans le cadre d’une procédure judiciaire qui opposait, depuis 2014, devant la Cour suprême des Etats-Unis Microsoft au FBI, cette question a finalement été tranchée par le législateur américain : en vertu du Cloud Act, la réponse est positive.

Les autorités américaines peuvent donc accéder à des données de communications électroniques stockées par une société sur des serveurs situés en dehors États-Unis, à condition que ladite société soit soumise au droit américain en vertu des critères évoqués plus haut et que les données recherchées soient sous son contrôle. En faisant cela, le Cloud Act écarte le critère de localisation des données, le rendant indifférent pour consacrer les critères de possession et de contrôle déjà connus au sein de la Convention de Budapest sur la cybercriminalité.

Ce pouvoir élargi des autorités américaines est toutefois assujetti à certaines limites, précisées précédemment, auxquelles s’ajoutent la possibilité prévue pour les fournisseurs de contester ces demandes pour des motifs de "courtoisie internationale", c’est-à-dire de respect des lois, décisions judiciaires et institutions d’un autre Etat.

Il s’agit là d’un garde-fou dans les cas où les juges américains développeraient une interprétation extensive des critères d’application du Cloud Act, qui placerait les fournisseurs en situation de conflit de lois. La procédure de contestation diffère si la demande entre en conflit avec la loi d’un pays qui a conclu un accord bilatéral ("executive agreement", ou EA) en application du Cloud Act. Il est important de souligner ici que le fournisseur pourra s’opposer à une demande au motif que la personne concernée n’est pas américaine, ni résidente sur le sol américain.

Ces accords bilatéraux sont la deuxième nouveauté introduite par le Cloud Act. Si aucun EA n’a été adopté à ce jour, leur objet est d’ouvrir la voie à la réciprocité du dispositif issu du Cloud Act par la signature d’accords bilatéraux entre les Etats-Unis et les Etats qui souhaiteraient faciliter l’accès aux preuves numériques à leurs autorités de police et judiciaires. Il s’agit donc de nouveaux outils de coopération directe internationale. Seule le Royaume-Uni a débuté des pourparlers à ce stade.

Le Cloud Act entre-t-il en conflit avec le RGPD ?

Les Etats-Unis n’étant pas dotés, d’une manière générale, d’une réglementation aussi protectrice que le RGPD, la première question qui se pose est celle de la licéité des transferts de données d’un fournisseur européen vers les autorités américaines, au regard de l’article 48 du RGPD. En effet, selon cette disposition, la décision d’une juridiction ou d’une autorité administrative d’un pays tiers à l’Union européenne exigeant de tels transferts n’est pas suffisante et doit être fondée sur un accord international.

A l’occasion de l’affaire opposant Microsoft au gouvernement américain, la possibilité que ces transferts hors UE puissent être licitement fondés sur des "motifs importants d’intérêt public" conformément aux dispositions du RGPD, et en particulier à l’exception prévue à l’article 49(1)(d) a été entrouverte. A ce jour, la position du Contrôleur européen de la protection des données ne permet cependant pas de conforter cette piste de solution qui reste en attente d’une confirmation de la part des instances européennes.

Il en résulte que les États-Unis devront négocier avec les pays de l’Union Européenne des accords bilatéraux pour assurer la bonne articulation des régimes juridiques américain et européen. La position majoritaire des Etats membres de l’Union européenne est plutôt, à ce stade, de rechercher un accord global entre l’Union et les Etats-Unis. Cette approche commune a été confirmée par les représentants des Etats membres lors de leur dernière réunion au sein du Conseil, le 7 décembre 2018. Un progrès rapide (bien que prudent) sur le sujet apparaît essentiel dans la mesure où l’existence d’un EA permettra de sécuriser la position des opérateurs soumis au Cloud Act et de leurs clients.

Les principaux enjeux de ces négociations seront pour les Etats d’aboutir à un niveau de réciprocité satisfaisant et de garantir aux fournisseurs de services établis sur leurs territoires un cadre juridique légal prévisible, à même d’apporter une solution aux conflits de lois potentiels et d’apporter la sécurité exigée par leurs clients, qui peuvent être des personnes physiques mais aussi des sociétés, comme les médias et prestataires technologiques. De leur côté, les fournisseurs de services devront s’assurer de la conformité des contrats qui les lient à leurs clients pour encadrer cette question.

Pour finir, il faut relever que la volonté d’institutionnaliser la possibilité de coopérations directes entre autorités et fournisseurs de services, en parallèle aux mécanismes traditionnels de coopération formelle entre autorités étrangères, n’est en rien spécifique aux États-Unis. L’Union Européenne a en effet présenté en avril 2018 un paquet e-evidence (une directive et un règlement) poursuivant le même objectif (plus d'informations ici).

Tout comme le Cloud Act, le critère de localisation des données est mis de côté par ces projets de texte ; une logique qui tend à refléter une réalité technique où les lieux de stockage des données se révèlent multiples, évolutifs et donc parfois difficiles, sinon impossibles, à déterminer.

En résulte pour les fournisseurs de services des situations de potentiels conflits de lois susceptibles, dès lors qu’il ne trouveraient pas de solution au sein des EA d’une part et des futurs textes européens d’autre part, de les placer en porte à faux non seulement vis-à-vis de la CNIL, mais aussi de leurs clients pour qui la confidentialité des données est essentielle.

Pour ne pas ébranler la confiance dans les services numériques et la création de valeur qu’ils rendent possible en accompagnant la transition numérique, il est essentiel que les difficultés aujourd’hui suscitées par le Cloud Act soient surmontées afin d’apporter la sécurité juridique requise tant par les fournisseurs que leurs clients.

A cet égard, une position forte et lisible des pouvoirs publics se fait attendre. Elle est pourtant indispensable pour espérer un accord équilibré avec les États-Unis (ce qui peut se révéler complexe comme le révèle l’expérience du Privacy Shield…), évitant l’écueil qui consisterait à ouvrir la voie de la réciprocité d’accès à des pays ne partageant pas un standard élevé de protection des droits et libertés fondamentaux.

Jean-Sébastien Mariez
 
Avocat associé au cabinet De Gaulle Fleurance & Associés
 
Nina Gosse
 
Avocate au cabinet De Gaulle Fleurance & Associés
Il vous reste 0 mots à lire.
Vous avez déjà un compte ? Identifiez-vous
"Le Cloud Act américain est-il compatible avec le RGPD européen ?"