Au lendemain du Cloud Independance Day, Maitre Olivier Iteanu, avocat, nous éclaire sur le Cloud Act adopté il y a peu par le congrès américain.
Le 23 mars 2018, le Président américain Donald Trump a promulgué une Loi votée en expresse et presque par surprise, par le Congrès à Washington DC. L’intitulé de la Loi est CLOUD ACT. CLOUD est ici un acronyme qui signifie ici Clarifying Lawful Overseas Use of Data. En français, il s’agit de clarifier un usage légal des données localisées hors des Etats-Unis d’Amérique. Un jeu de mot sur la technologie bien connue du cloud computing que tout le monde n’appréciera pas. Votée pratiquement deux mois jour pour jour avant l’entrée en application du Règlement Général sur la Protection des Données dit RGPD, cette concordance de temps a de quoi troubler. Le CLOUD ACT a-t-il été voté pour répondre par avance au RGPD ? Lorsqu’on se rappelle que l’objectif affiché du RGPD est de justement de redonner le contrôle de ses données au résident de l’Union Européenne, on peut être inquiet par l’intitulé de la Loi américaine qui semble indiquer que le Gouvernement des Etats-unis ait son mot à dire sur la question.
Les Etats-Unis, un grenier à données personnelles pour les européens sans règles ?
Le RGPD communautaire est dans la droite file de la Loi française du 6 janvier 1978 dite informatique, fichiers et liberté, ayant notamment créé la CNIL, la Commission Nationale de l’Informatique et Libertés. Cette assertion est particulièrement exacte s’agissant des objectifs de la Loi de 1978 et du RGPD. Ces objectifs sont exactement identiques. Il s’agit de protéger dans les deux textes de lois, les personnes physiques et de leur permettre d’exercer un contrôle sur l’usage de leurs données. Ces personnes étaient appelées « fichés » en 1978 qu’on protégeait des « ficheurs », on les appelle désormais « personnes concernées » qu’on cherche à protéger des « responsables de traitement » et de leurs « sous-traitants ». Parmi toutes les règles posées par la Loi nationale française, une des premières lois votées en Europe sur ce thème, et le RGPD, se trouve l’interdiction de transférer des données des résidents européens en dehors de l’Union Européenne. Cette interdiction était même assortie en droit français de sanctions pénales, outre les sanctions administratives de la CNIL. Ainsi, l’article 226-22-1 du Code pénal punit de 5 ans d’emprisonnement et de 300.000 euros d’amende, un tel transfert illégal. La mesure reste pleinement applicable par le RGPD en ses articles 44 et suivants. En l’occurrence, on peut même dire qu’entre la Loi française de 1978 et le RGPD, rien de fondamental ne change sur cette question de transfert de données personnelles hors Union Européenne. Le principe étant l’interdiction, les autorités françaises et communautaires ont construit un certain nombre d’exceptions permettant tout de même à l’Union Européenne de ne pas se constituer en bastion imprenable. Ainsi, la Commission Européenne a-t-elle qualifié un certain nombre d’Etats dits adéquats. Ces Etats ont été jugés comme tels parce que leur droit positif comportait une réglementation applicable aux données personnelles semblable à la réglementation communautaire et qu’il existait une autorité de contrôle indépendante chargée de la faire appliquer comme la CNIL en France. Parmi les pays qualifiés, on trouve en Europe la Suisse, en Amérique, le Canada, ou encore Israël et la Nouvelle-Zélande, soit au total une dizaine de pays. Pour ceux-là, transférer dans ces Etats des données personnelles d’européens, c’est comme transférer ces mêmes données de Paris à Lille. En dehors des pays adéquats, la commission européenne a ensuite imaginé des garanties dites appropriées passant par des contrats types ou des accords conclus au sein de Groupe, validés par des Autorités de contrôle. Or, il existe un pays qui n’est pas en état d’être adéquat. Ce pays est les Etats-Unis d’Amérique. En effet, les Etats-Unis n’ont aucune législation spécifique aux données personnelles. Leur privacy, quant à elle, est une notion étrangère à la Loi informatique et libertés et au RGPD. Enfin, et c’est logique, les Etats-Unis n’ont pas d’avantage d’autorité de contrôle chargée de réguler l’usage des données personnelles comme nous avons la CNIL en France ainsi que dans chaque Etat membre de l’Union Européenne. Aux Etats-Unis, seule la Federal Communications Commission (FCC) est concentrée sur la défense du consommateur, et peut, à certains égards, traiter de manière très incidente et partielle des données personnelles. De ce fait, la patrie de l’internet et du web devrait être considérée comme un pays non adéquat où il serait interdit de transférer des données personnelles de résidents européens. Pour éviter, ce qui, il faut bien le dire, serait une absurdité, vu l’état de dépendance des populations européennes aux services numériques made in usa, la Commission européenne a négocié durant deux années entre 1998 et 2000, avec le département du commerce de l’administration américaine, des principes inclus dans un programme d’auto-régulation. Cette négociation a abouti à un accord validé par la Commission européenne en juillet 2000, intitulé le Safe Harbor. Aux termes de ce programme, qui reprend les grands principes et règles posées par la réglementation européenne en matière de protection des données personnelles, toutes les entreprises américaines qui y adhèrent spontanément et volontairement, sont légalement autorisées à recevoir des données de résidents européens sur leurs infrastructures basées aux Etats-Unis. Immédiatement, Microsoft, Google, Facebook, Salesforce et toutes les entreprises numériques américaines présentes en Europe, ont adhéré au Safe Harbor. Mais les révélations d’Edward Snowden en juin 2013, sur l’existence de portes arrières (back doors) ouvertes au bénéfice de la NSA par une dizaine de ces mêmes entreprises américaines, par ailleurs toutes signataires du Safe Harbor, a jeté le trouble. Bien évidemment, ce programme back door et non officiel intitulé PRISM se trouvait en infraction avec les principes du Safe Harbor. Ces révélations allaient amener la Cour de Justice Européenne (la CJUE) à invalider la décision de la Commission européenne en octobre 2015, renvoyant au placard l’accord passé 15 ans plus tôt. Pour l’essentiel, la Cour européenne constatait l’absence totale de contrôles des engagements pris par ces sociétés américaines adhérentes du Safe Harbor, une absence de contrôles et de sanctions qui aurait pu être vue par la Commission européenne quand elle avait endossé cet accord 15 ans plus tôt, mais qui manifestement ne l’avait pas émue. Depuis cette invalidation, la Commission européenne et le gouvernement américain se sont empressés de reficeler un nouvel accord, ce qui se fit en quelques semaines dès février 2016. C’est en juillet 2016, que nouvel accord pris par la Commission européenne est entré en vigueur. Son nom : le Privacy Shield. Il est censé répondre aux critiques de la CJUE ayant abouti à l’invalidation du premier accord.
L’Union européenne est-elle devenue un nain politique ?
Dans les sociétés avancées qui désormais s’organisent autour et / ou sur les réseaux numériques, le contrôle des données revêt un enjeu majeur, économique mais aussi géostratégique. Les Etats-Unis l’ont compris après les attentats du 11 septembre 2001, où quelques semaines plus tard, le 26 octobre 2001, George W. Bush, le Président d’alors, promulguait l’US PATRIOT ACT. C’était le coup d’envoi d’une surveillance électronique massive de l’ensemble du monde connecté. Il est vrai que le traumatisme des attentats des twin towers était dans toutes les têtes et qu’il fallait réagir. Il est vrai aussi que depuis la naissance de la NSA en 1952, d’abord clandestine à tel point qu’on la surnommait No Such Agency, la question de la surveillance interne et à l’extérieur des frontières, est une pratique avérée. A l’époque, la justification était la guerre froide. Les services de renseignement des Etats-Unis d’Amérique ne sont pas les seuls à agir ainsi, c’est une pratique propre à tous les services de renseignement étatiques, France compris. Les Etats-Unis ont d’ailleurs toujours eu le souci d’associer des Etats étrangers à leur surveillance internationale. C’est par exemple la naissance des Five Eyes, avec l’Australie, le Canada, la Nouvelle-Zélande et la Grande-Bretagne.
Mais depuis le milieu des années 2000, les choses ont changé. Désormais, il existe une sorte de partenariat « public-privé » entre la NSA et les grandes entreprises américaines du digital. C’est bien ce qu’on a vu avec les révélations d’Edouard Snowden. Un partenariat qui prend acte d’une situation et d’une réalité. Les prestataires américains du digital sont devenus les greniers à données personnelles d’une partie du monde. C’est particulièrement vrai de l’Europe et l’Union Européenne, perméables à ces services comme nulle autre partie du monde. En Chine, en Russie, en Corée voire même au Brésil, bon nombre de ces entreprises ne font pas la course en tête. En Europe, on parlerait plutôt de quasi monopole sur leurs marchés respectifs, Google, Amazon, Facebook, Apple et Microsoft, ces entreprises ayant éliminé ou racheté leurs concurrents européens sans réaction des autorités publiques européennes. Sur le plan du renseignement et des services de renseignement, cette situation a généré deux conséquences prévisibles. D’une part, les services européens des Etats membres de l’Union Européenne, s’adressent très souvent à ces entreprises américaines lorsqu’il s’agit d’intercepter ou de capter des données de personnes surveillées parce que considérées comme dangereuses, par exemple pour des activités terroristes. D’autre part, les services de renseignement américains sont tentés aussi de rapatrier les données des personnes qu’elles surveillent. C’est de ces deux situations que le CLOUD ACT entend traiter et clarifier. Pourtant, il y a des dispositions de la Loi signée par Donald Trump qui peuvent inquiéter. Le premier est le titre même de la Loi qui prend acte d’une réalité désormais acceptée et considérée comme normale par le gouvernement des Etats-Unis. Les prestataires digital doivent collaborer et assurer un rôle de supplétif de l’administration américaine dans la surveillance des populations, même celles vivant à l’extérieur du pays, par exemple les résidents européens. Ainsi, le CLOUD Act ajoute cette disposition au droit positif américain : « tout opérateur ou fournisseur de services en ligne doit se conformer aux obligations [de cette Loi] (…) pour préserver, sauvegarder ou communiquer les contenus de communications électroniques et tous enregistrements et informations relatives à un client ou abonné dont ils sont en possession où dont ils ont la garde ou le contrôle, quel que soit le lieu où ces communications, enregistrements et informations sont localisées, à l’intérieur ou à l’extérieur des Etats-Unis. » Le texte est ici suffisamment clair. Il s’agit de « any record » et les contenus sont expressément visés. On est donc loin des seules métadonnées. Le texte se poursuit ensuite pour prévoir que les opérateurs et fournisseurs de services en ligne disposent tout de même d’un recours possible contre toute injonction qu’ils recevraient des autorités américaines au sujet d’une personne dont on leur demanderait de transmettre les données, dans un délai de 14 jours à compter du jour de la réception de cette demande. On remarque ainsi que ce recours est offert au prestataire dans son tête à tête avec l’administration américaine. En revanche, la Loi US ne prévoit pas un tel recours pour la personne concernée. On ne voit pas d’ailleurs comment un tel recours pourrait lui être offert, dans la mesure où il est implicite qu’elle ne sera pas informée de la demande de communication de ses données. Voilà donc des dispositions qui enfreignent directement le RGPD, notamment en ce que ces dispositions vont aboutir à transférer des données aux Etats-Unis en toute légalité pour les prestataires américains, mais sans que les citoyens européens disposent d’aucun recours, encore moins de garanties, donc en toute illégalité à leur égard. L’article 48 du RGPD est même explicite sur ce point : « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers [comme les Etats-Unis] exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international ». Or, l’administration américaine a voté sa Loi bien évidemment sans Traité préalable avec l’Union Européenne, et même sans concertation préalable. Les prestataires américains vont-ils donc devoir choisir s’ils résistent à la Loi de leur pays pour se conformer au RGPD ou si au contraire, ils mettent le RGPD de côté ? Chacun aura son idée sur la réponse à cette question. On peut cependant constater que dans l’affaire qui opposait Microsoft au Gouvernement américain, au sujet du rapatriement aux Etats-Unis de données qui se trouvaient sur les serveurs de la société de Bill Gates en Irlande, les parties, dont bien sur Microsoft, ont annoncé qu’ils mettaient fin à leur bataille judiciaire devant la Cour Suprême. Le CLOUD Act a semble t’il fait son premier effet.
Reste à savoir si l’Union Européenne saura de son côté demander des comptes et des engagements à son allié américain, pour protéger ses citoyens ? La question n’est plus désormais que juridique, les choses étant clarifiées, elle est dorénavant politique. Lorsque la commission européenne s’apprêtait à conclure le Privacy Shield, le Groupe des 29 (the Article 29 Working Party) qui regroupe de manière informelle les 28 CNIL de l’Union Européenne avait publié le 13 avril 2016, un avis très critique sur ce nouvel accord. En particulier et notamment, le Groupe demandait à la commission européenne de s’assurer d’être informé par le Gouvernement des Etats-Unis de toute réglementation qui pourrait affecter les principes du Privacy Shield (« …that would affect adherence to the principles… » page 17). Il semble bien que le Cloud Act ait été voté par le Congrès américain à l’insu de la Commission européenne et des gouvernements de l’Union Européenne, qui l’ont appris par … la presse. Voilà qui en dit long sur ce que compte l’Union Européenne en termes politique, à Washington DC.
Paru dans S&D mag juin 2018 – pour recevoir votre numéro papier et découvrir tous les autres articles abonnez-vous ici