USA : Adoption du CLOUD ACT

April 6, 2018

Cloud computing concept illustration with low poly clouds. Data storage infrastructure. Eps10 vector illustration.

Auteur: Charles Cuvelier, étudiant au cours DRT-6929E-A

Un mois avant l’entrée en vigueur du nouveau Règlement général sur la protection des données  au sein de l’Union Européenne, les USA répliquent en adoptant une réglementation pour le moins invasive en matière de protection des données ayant un caractère transfrontalier.

Présenté le 6 février 2018,le CLOUD Act (pour Clarifying Lawful Overseas Use of Data Act) a pour ambition de simplifier l’accès à des données stockées à l’étranger au profit des agences gouvernementales et des autorités policières aux États-Unis.

Cette initiative législative, qui pourrait bien devenir la source de nombreuses polémiques juridiques internationales dans le futur, a pourtant été adoptée un peu en douce, subrepticement glissée dans la vaste loi budgétaire de 2018, (2232 pages) dont on sait que la non-adoption mettait en péril le fonctionnement de l’appareil administratif américain dans son ensemble – cela illustre bien la pression qui a nécessairement pesé lors de l’adoption de la loi.

Les défenseurs du droit à la vie privée relèvent avec beaucoup de justesse qu’une loi de procédure pénale, aux implications si profondes, devrait nécessairement faire l’objet d’un sérieux travail parlementaire, ce qui ne semble pas avoir été le cas.

La raison invoquée par le législateur américain pour justifier l’adoption du texte réside principalement dans l’argument sécuritaire en vue de lutter contre la grande criminalité et le terrorisme.

La pièce centrale du texte législatif réside dans un amendement apporté au titre 18 du Code des États-Unis (United states Code, USC) en y rajoutant le §2713 :

 «  §2713  Required preservation and disclosure of communications and records

A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States. »

Á première vue, l’on se demande comment une obligation aussi vaste pourrait être appliquée, vu son large champ d’application, sans générer de conflit de loi avec les législations en vigueur dans les pays ou des données réquisitionnées seraient conservées.

La réponse pourrait se trouver dans la suite des amendements apportés par le Cloud act au titre 18 du USC.

En effet, la section modifiée 2703 du Code devrait permettre au fournisseur de service de communication électronique, si l’on comprend bien, de déposer une motion devant la cour compétente afin de faire annuler ou modifier l’ordre de communiquer les informations demandées.

Cette demande devra être motivée par l’entreprise lorsque celle-ci craint que :

  1. La divulgation de l’information constituerait une violation du droit du pays au sein duquel les données sont conservées, si le droit de ce pays répond aux critères fixés par le Code des États-Unis ;
  2. Sur base des circonstances du cas, l’intérêt de la justice nécessite que la procédure soit annulée ou modifiée, et ;
  3. Le client ou l’abonné n’est pas une personne de droit américain au sens de la présente loi ou ne réside pas sur le territoire américain.

Dans la pratique, ces critères qui sont a priori cumulatifs semblent réduire fortement les hypothèses dans lesquels la motion pourrait être retenue.

De surcroit, est-il bien raisonnable remettre sur l’entreprise l’obligation de soulever le risque de violation du droit d’un pays tiers ?

Dans un autre blog, récemment publié sur ce site, il était question de la saga judiciaire opposant Microsoft au département de la justice américaine depuis 2014 et pendante devant la Cour suprême.

Cette affaire portait justement sur une requête du département de la justice obligeant Microsoft à fournir des informations stockées sur des serveurs situés en Irlande.

Microsoft s’est abstenu de fournir les renseignements de son client conservés hors du territoire américain et la question n’a pas encore été tranchée par la Cour suprême qui doit rendre son arrêt en juin 2018.

L’auteure du billet semblait conclure que l’adoption du CLOUD act mettrait fin au litige porté devant la Cour suprême américaine, donnant définitivement raison au département de la justice, mais en ira-t-il réellement ainsi ?

Il n’est pas encore clair si la République d’Irlande, membre de l’Union européenne, répond aux critères fixés par le Cloud act.

Quid également de la rétroactivité d’une loi relevant du domaine de la procédure pénale ?

Quel sort la Cour suprême réservera-t-elle au respect de la souveraineté de l’Irlande en matière de protection des données conservées sur son territoire ?

Bref, le débat est loin d’être clos et d’épineuses questions de règlement de conflit de lois risquent de faire leur apparition.

A ce stade, tant la Commission Européenne que le Superviseur européen à la protection des données (EDPS) sont restés muets au sujet de cette nouvelle loi aux accents impérialistes.

 

This content has been updated on April 6, 2018 at 21 h 45 min.