CLOUD Act : un nuage noir dans l’azur des données ?

Le 14 mars 2018, Le Temps[1] se faisait l’écho d’une annonce d’importance : Microsoft allait prochainement établir des centres de données sur sol helvétique. De quoi rassurer – un peu – toutes les entreprises privées – et administrations – suisses ayant recours, à des titres divers, à la vaste gamme de produits de l’entreprise de Redmond, ceux-ci allant du stockage en ligne à la bureautique en nuage (Office 365) en passant par les systèmes d’exploitation. Marianne Janik, responsable de la multinationale pour la Suisse affirmait alors vouloir ainsi participer à la numérisation du pays. Selon elle, « pour de nombreux clients, même s’il n’y a pas d’exigence légale de stocker les données en suisse – hormis pour certaines administrations –, leur proposer du cloud suisse est important, notamment pour leur image».

Il est vrai que, dans le contexte de l’avènement du nouveau règlement européen sur la protection des données (RGPD) et de la révision totale de la loi fédérale suisse sur la protection des données (LPD), un certain climat de confiance, basé sur un net renforcement de la maîtrise des données par les citoyens, commençait lentement à s’établir en Europe et en Suisse. Un début de sérénité reposant par ailleurs sur un accord bilatéral préexistant entre la Confédération et les Etats-Unis d’Amérique, que l’on appelle le Privacy Shield et qui réglemente le transfert des données entre ces deux pays.

Patatras ! Les révélations sur les (très) curieuses méthodes de récolte et de traitement de données de Cambridge Analytica, déjà empêtrée sur sa possible intervention dans les élections présidentielles américaines, et le laisser-faire corollaire du réseau social Facebook ont porté un premier uppercut au soldat data.

Mais, comme le lexique ferroviaire nous l’enseigne, un train peut en cacher un autre.

Le président des Etats-Unis, Donald Trump, a en effet ratifié, vendredi 23 mars 2018, le CLOUD Act (acronyme de « Claryfing Lawful Overseas Use of Data), voté par le Congrès et opportunément, subrepticement diront certains, inséré au sein des 2232 pages de la loi de finances américaine.

A l’origine de la genèse du CLOUD Act se trouve un conflit entre Microsoft et le Département de la justice américain, dans lequel un ordre de production (mandat) avait finalement été invalidé par une Cour fédérale américaine, au motif qu’il ne pouvait pas porter sur des données stockées à l’étranger, soit in casu sur un serveur situé en Irlande.

Le CLOUD Act entend donner un cadre légal à la saisie de courriels par des agences gouvernementales ou des forces de police américaines en dehors des frontières des Etats-Unis. L’idée est donc, notamment, de *clarifier » l’application extraterritoriale des mandats américains lorsque sont visées des données hébergées dans des centres de données appartenant à des sociétés américaines mais situés à l’étranger.

A partir de là, les voix se font discordantes : pour les autorités américaines, il s’agit de lutter efficacement et légitimement contre le crime, et notamment débusquer les terroristes, tandis que les fournisseurs de service estiment que cela permettra de renforcer efficacement la protection des données de leurs clients.

Du côté des associations de défense de la vie privée, en revanche, l’ambiance n’est pas exactement au beau fixe, celles-ci estimant que ce texte porte un coup fatal à toute protection des données lorsque celles-ci sont stockées hors du territoire des Etats-Unis d’Amérique mais au sein de centres de données appartenant à de entreprises américaines.

Que faut-il en penser ?

En premier lieu, le CLOUD Act empêche les hébergeurs américains de données de se prévaloir d’un stockage hors des Etats Unis d’Amérique pour éviter d’avoir à remettre des données au autorités : « A provider of electronic communication service or remote computing service shall comply (…) regardless of wether such communication, record, or other infromation is located within or outside of the United States ».

En clair, plus question pour un fournisseur de service américain de se prévaloir d’un stockage à l’étranger de données requises par des autorités américaines pour tenter de s’y soustraire. Le CLOUD Act consacre ainsi un net principe d’extraterritorialité.

En deuxième lieu, ce texte permet au Président des Etats-Unis d’Amérique de conclure des accords avec des gouvernements étrangers pour permettre à leurs services de police de solliciter directement des données auprès des fournisseurs de services américains situés sur le territoire de l’Etat en question.

Pour reprendre l’exemple du conflit entre Microsoft et le Département de la justice américain, un ordre de production avait été invalidé par une Cour fédérale américaine, au motif qu’il ne pouvait pas porter sur des données stockées sur un serveur situé en Irlande. Dans un tel cas, l’Irlande pourrait en théorie (sous réserve, naturellement, d’autres lois lui étant applicables) autoriser la remise aux forces de police américaines des données hébergées en Irlande par Microsoft, sans que cette dernière ne puisse prima facie avoir voix au chapitre.

En troisième lieu, il sied toutefois de préciser que les fournisseurs de services américains peuvent en principe s’opposer formellement à des requêtes émanant des services de police américains de remettre des données stockées à l’étranger. Ce droit d’opposition est toutefois très étroit et n’est ainsi possible qu’aux deux conditions – cumulatives – suivantes :

  • la personne dont les données sont en cause doit ne pas être un citoyen américain et/ou ne doit pas résider aux Etats-Unis d’Amérique ; et
  • la divulgation/transmission des données requises fait courir un risque au fournisseur de services de violer des lois locales.

Si la mise en œuvre de ce CLOUD Act est encore peu claire, et donnera sans nul doute matière à contestation des pays offrant des régles plus protectrices, force est de constater que cete loi apparaît plutôt comme une mauvaise nouvelle pour les défenseurs de la protection des données et de la vie privée.

Dans le doute, certains diront qu’il est avisé, dans l’intervalle, d’éviter d’avoir recours à des fournisseurs de courriel et de stockage américians.

Affaire à suivre…

[1] https://www.letemps.ch/economie/microsoft-mise-suisse-donnees-clients