Le Cloud Act (acronyme de "Clarifying Lawful Overseas Use of Data Act") est une loi fédérale américaine promulguée le 23 mars 2018. Elle modifie principalement le chapitre 121 du Titre 18 du United States Code, dénommé Stored Communications Act, en permettant aux forces de l'ordre ou aux agences de renseignement américaines d’obtenir des opérateurs télécoms et des fournisseurs de services de Cloud computing des informations stockées sur leurs serveurs... Que ces données soient situées aux États-Unis ou à l’étranger.

Un passe-droit sur les données pour les autorités américaines

Les prestataires de service doivent communiquer les "contenus de communications électroniques et tout enregistrement ou autre information relatifs à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des Etats-Unis". Ces autorités américaines peuvent obtenir des données, notamment personnelles ou de contenu, sans que la personne "ciblée" ou que le pays où sont stockées ces données n’en soient informés.

Le Cloud Act a mis fin à une bataille judiciaire opposant la société Microsoft à l’administration américaine, la première refusant de communiquer des informations relatives à un individu car elles étaient stockées en Irlande, autrement dit en-dehors des Etats-Unis. C’est lors de l’examen du projet de budget fédéral que le Congrès américain a adopté le Cloud Act, sans débat et en catimini pour "clarifier" le cadre juridique.

Des accords bilatéraux plus compliqués qu'ils n'en ont l'air

Le deuxième axe du Cloud Act permet à l’exécutif américain de signer, avec des gouvernements étrangers, à moins que ledit Congrès ne s’y oppose, des accords bilatéraux. Ces derniers permettront aux autorités respectives des pays signataires d’obtenir des informations de la part des fournisseurs de services, sans recourir à des procédures juridiques longues comme les traités d’entraide judiciaire ou les commissions rogatoires internationales.

Seuls les pays respectant un certain nombre de critères détaillés dans le Cloud Act pourront signer un accord bilatéral. Les grandes entreprises technologiques américaines se sont félicitées de la promulgation du Cloud Act, satisfaites de bénéficier d’une sécurité juridique apportée par cette loi. Pourtant, les critiques à formuler à l’encontre de cette loi sont nombreuses.

Tout d’abord, le périmètre des demandes des agences gouvernementales américaines est très large. Premièrement, elles concernent les enquêtes criminelles, y compris (mais pas seulement) celles relatives au terrorisme. Or, dans la section 2 du projet de loi adopté, le Sénat américain précise que l’accès aux données détenues par les fournisseurs de service est un élément essentiel pour également "protéger l’ordre public", notion beaucoup plus large…

Deuxièmement, le fournisseur de service destinataire d’une réquisition d’une autorité américaine est une société relevant du droit américain, c’est-à-dire une société incorporée aux Etats-Unis mais aussi les sociétés contrôlées par elle. Troisièmement, les prestataires de service doivent communiquer des informations stockées sur le territoire des Etats-Unis ou à l’étranger, dès lors que ces éléments sont en leur possession, sous leur garde ou sous leur contrôle.

Le Cloud Act et le RGPD sont-ils incompatibles ?

De plus, le Cloud Act semble entrer en contradiction avec l’article 48 du Règlement européen sur la protection des données (RGPD), entré en application le 25 mai dernier. En effet, ce dernier dispose que "Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international […]".

Certes, le Cloud Act permet à un fournisseur de service recevant une réquisition de saisir l’autorité judiciaire américaine si son client visé n’est pas un citoyen, un résident permanent en situation régulière ou une entreprise installée aux Etats-Unis, et s’il estime que la divulgation d’informations serait contraire à la législation d’un Etat étranger. Cependant, l’on ne peut préjuger de ce que sera la décision judiciaire dans un pays où de nombreux programmes de surveillance généralisée ont été mis en oeuvre soi-disant au nom de la lutte contre le terrorisme.

Le Cloud Act renforce les pouvoirs des agences de surveillance américaines, en facilitant leur accès aux données stockées dans des datacenters appartenant à des sociétés d’origine américaine, peu importe que ce soit en France, en Europe ou aux Etats-Unis. Il est donc plus prudent, pour les entreprises françaises, de faire héberger leurs données corporate ou personnelles par des prestataires de droit français, qui obéissent à la seule loi française et européenne et stockent les données exclusivement sur le territoire de l’Union européenne.

Jules-Henri Gavetti, fondateur et président d'Ikoula

Les avis d'experts sont publiés sous la seule responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.