Le « Cloud Act » contourne les dispositifs contraignants de l’entraide judiciaire internationale en consacrant la possibilité pour les autorités américaines d’obtenir des données matériellement stockées à l’étranger.
Pourquoi un « Cloud Act » ?
Le « Claryfying Lawful Overseas Use of Data Act » (« CLOUD Act »162(*)) a été adopté par le congrès des États-Unis d’Amérique en mars 2018 : Il vise principalement à réaffirmer le droit dont disposent les autorités américaines d’exiger des intermédiaires techniques soumis à leur juridiction la communication de toutes données stockées, même à l’étranger. Il prévoit aussi, et indépendamment, la conclusion d’accords bilatéraux spécifiques et réciproques avec les États-Unis en la matière. Une réponse américaine à l’incertitude juridique née de l’évolution des techniques
L’évolution rapide des techniques de stockage des données – désormais distribuées et conservées de manière dynamique dans des centres de données répartis à travers le monde par des multinationales du numérique – a fragilisé l’application du régime américain d’accès aux données. Certains acteurs ayant contesté avec succès la portée extraterritoriale que les autorités entendaient donner à ces dispositions, cette question de principe devait être tranchée, courant 2018, par la Cour suprême. C’est à cette incertitude que le « Cloud Act » est venu mettre fin, consacrant la possibilité pour les autorités américaines d’obtenir des données matériellement stockées à l’étranger.
Cette loi permet ainsi aux autorités américaines de contourner les procédures de demande d’entraide d’État à État et de s’affranchir des règles classiques de la coopération judiciaire internationale (entourée d’un plus grand formalisme, et de certaines garanties et délais).
Champ d’application très large
Tous les fournisseurs de services de communications électroniques et les prestataires d’informatique en nuage relevant de la juridiction des États-Unis peuvent faire l’objet d’une demande de gel et de communication des données d’un de leurs utilisateurs au titre du « Cloud Act », et ce sans considération du fait que ces données soient localisées à l’intérieur ou à l’extérieur des Etats-Unis.
Comme le relève le rapport Gauvain, presque toutes les entreprises françaises et européennes sont ainsi potentiellement concernées par ce régime, « compte tenu de l’état actuel du marché mondial du stockage de données numériques, dominé très largement par des acteurs américains (marché détenu à hauteur de 65% par Amazon, 15% par Microsoft et 5% par Google) ».
Les autorités américaines présentent volontiers la procédure comme limitée à la collecte de preuves pour réprimer pénalement un nombre restreint d’infractions pénales (les crimes les plus graves), et soulignent que les mandats nécessaires aux autorités de poursuite sont dans ce cas toujours soumis à l’approbation d’un magistrat indépendant, cependant :
– d’une part, la notion de « crime grave » reste floue, n’apparaît que dans la partie consacrée aux futurs accords bilatéraux, et pour limiter les seules demandes adressées aux États-Unis par les États tiers ;
– d’autre part, la portée extraterritoriale consacrée par le « Cloud Act » a également vocation à s’appliquer à d’autres régimes d’accès aux données, hors répression pénale des crimes graves et sans production d’un mandat (notamment à certains régimes de demandes des métadonnées sans intervention d’un juge ni test de « probable cause »).
Les types de données pouvant être transmis aux autorités sur ce fondement sont variées : contenus de communication, fichiers enregistrés, information, sans distinguer entre données à caractère personnel des personnes physiques ni données non personnelles ou relevant de personnes morales.
Contrariété avec le RGPD
En organisant ainsi un accès unilatéral et facilité des autorités judiciaires américaines aux données stratégiques des personnes morales, le « Cloud Act » organise le contournement des traités d’entraide judiciaires et affaiblit les garanties dont pourraient normalement se prévaloir les entreprises mises en cause. Concernant les demandes d’accès à des données personnelles d’européens, la contrariété de la loi américaine avec le RGPD a été soulevée récemment par l’organe qui rassemble les CNIL européennes.
Ces critiques valent également à l’encontre des géants chinois du numérique, actifs en France, comme l’entreprise Huawei, régulièrement soupçonnée d’entretenir des liens étroits avec le Gouvernement chinois. La loi chinoise sur le renseignement de 2017 génère les mêmes inquiétudes que le Cloud Act aux États-Unis. Son article 14 dispose notamment que les services de renseignement chinois peuvent requérir la coopération de tout citoyen chinois et de toute organisation. Deux chercheurs américains ont montré que la holding de l’entreprise est détenue à 1,14 % par son fondateur Ren Zhengfei et à 98,86% par une entité appelée « comité syndical », dont on sait peu de choses, hormis le fait qu’il est censé élire « selon des règles de vote démocratiques » une commission représentative de 115 membres chargée d’élire à son tour le comité directeur.