Definition

CLOUD Act

 Le CLOUD Act (Clarifyng Lawful Overseas Use of Data Act) est une loi américaine qui permet aux autorités judiciaires d’accéder aux données électroniques stockées à l’étranger par les entreprises américaines, dans le cadre de procédures pénales.

« Le but de la loi est de permettre, seulement dans le cadre d’enquêtes judiciaires, un accès plus rapide aux données électroniques, en s’adressant directement aux fournisseurs de service plutôt que de passer par le biais d’une demande d’entraide judiciaire internationale (Mutual Legal Assistance Treaties ou MLAT) », explique Clémence Béjat, Juriste chez Outscale.

Le CLOUD Act modifie le Stored Communication Act de 1986. Dans la précédente loi, les mandats se limitaient aux données détenues sur des serveurs hébergés aux États-Unis, même si les fournisseurs de services avaient le plein contrôle des données stockées à l’étranger.

Le CLOUD Act prévoit au contraire que toute société de droit américain doit, sur demande des autorités américaines bénéficiant d’un mandat dans le cadre d’une enquête pénale, communiquer les données placées sous son contrôle sans considération du lieu où elles sont localisées.

CLOUD Act vs Patriot Act

Le CLOUD Act n’est pas une évolution du Patriot Act.

« Le Patriot Act date du 26 octobre 2001. Il était initialement une loi d’exception qui devait durer 4 ans, mais certaines de ses dispositions ont été rendues permanentes en 2005. Le Coud Act, quant à lui, est une loi américaine jointe à la loi concernant le budget fédéral américain datant du 23 mars 2018 », rappelle Clémence Béjat.

La grande différence entre ces deux lois est leur champ d’application et les acteurs pouvant accéder aux données.

Le Patriot Act permet aux agences gouvernementales américaines (FBI, CIA, NSA, armée) d’obtenir des informations dans le cadre d’une enquête relative à des actes de terrorisme ou d’espionnage industriel.

Le CLOUD Act, lui, permet aux autorités américaines qui bénéficient d’un mandat d’obtenir des informations dans le cadre d’une enquête judiciaire.

 Ainsi, « le CLOUD Act est de l’ordre du judiciaire quand le Patriot Act est de l’ordre du renseignement dans un cadre limité. En effet, pour mettre en œuvre le CLOUD Act, il est impératif qu’un juge soit mandaté (l’équivalent des réquisitions judiciaires françaises) », confirme Microsoft France.

CLOUD Act et MLAT

 Le CLOUD Act prévoit également la possibilité pour les États-Unis de signer des accords internationaux (des « Executive Agreements »). « Ces accords permettront aux autorités respectives des pays signataires de demander directement aux fournisseurs de services de communiquer des données relevant de la juridiction de l’autre pays sans avoir à passer par les procédures des MLAT », explique Clémence Béjat. Seule exception, les demandes portant sur les citoyens ou résidents américains devront continuer à passer par des MLAT.

Cette législation a donc également été conçue pour limiter les conflits juridiques internationaux, résume Microsoft France.

De tels accords ne pourront être signés qu’avec des pays respectueux des droits fondamentaux – notamment en matière de respect de la vie privée et des droits de l’Homme – et des principes démocratiques (des « Qualifying Foreign States »).

Cette définition a été mise à jour en juillet 2022

Pour approfondir sur Réglementations et Souveraineté