Le CLOUD Act américain est-il réellement dangereux pour les clients européens ?
Pour le vice-président de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), les GAFAM minimisent les risques de la loi américaine. Et il rappelle que c’est la responsabilité du client du cloud qui est désormais engagée, pas celle du cloudiste.
Adopté en 2018 par l’administration Trump, le CLOUD Act est une loi qui permet aux forces de l’ordre américaines de demander l’accès à des données stockées par des entreprises américaines dès lors qu’elles sont nécessaires dans une enquête judiciaire. Et ce, quels que soient leurs lieux géographiques de stockage.
Cette loi de Washington s’applique aussi bien aux data centers en France, qu’en Hollande, ou en Irlande, dès lors qu’ils appartiennent à un acteur américain.
Un discours bien rodé des GAFAM pour minimiser le risque réel
Dans un marché du cloud B2B largement dominé par les éditeurs de ce pays (Microsoft, Amazon, Google, Salesforce, Oracle, etc.), le CLOUD Act représente un risque réel pour la souveraineté des données des entreprises européennes.
Certes les responsables des filiales locales des GAFAM ont un discours officiel rodé pour désamorcer un danger de plus en plus perçu. Le CLOUD Act – qui signifie « loi de clarification sur l’utilisation extraterritoriale des données » (Clarifying Lawful Overseas Use of Data) – ne serait qu’une « clarification » bienvenue qui renforce le rôle du juge dans la demande d’accès aux données. Cet accès serait donc plus encadré et plus « motivé ».
Mais les choses ne sont pas si simples, ni si inoffensives.
Le CLOUD Act – redisons-le – permet aux autorités américaines de contraindre un opérateur à lui communiquer des données même si elles sont stockées en dehors des États-Unis (le O pour « overseas »).
Or le fait que ce type de demande soit soumis à l’aval d’un juge ne change pas grand-chose puisque ni le détenteur des données (le responsable de traitement), et encore moins les personnes concernées, ne peuvent intervenir auprès de ce juge.
Pire. Les opérateurs concernés – les fournisseurs de cloud – peuvent même avoir l’interdiction de communiquer sur l’injonction qui leur est faite.
CLOUD Act, mais aussi FISA et E.O. 12333
Le CLOUD Act n’est donc pas inoffensif. Mais surtout, ce n’est pas seulement à cause de lui que la Cour de justice de l’Union européenne (la CJUE) a invalidé en juillet 2020 l’accord d’adéquation qui avait été négocié entre l’Union européenne et les États-Unis – un accord de « libre circulation » des données connu sous le nom de « Privacy Shield ».
La CJUE a surtout mis en cause deux outils de surveillance américains fondés sur l’article 702 du Foreign Intelligence Surveillance Act (FISA) de 1978 et sur l’Executive Order (E.O.) 12333 de 1981. Ces textes permettent aux services de renseignement américains de collecter et de traiter massivement des données, y compris relatives à des résidents européens. Il s’agit d’ingérences dans les droits des personnes concernées, qui ne sont pas clairement encadrés et pour lesquelles les personnes concernées ne bénéficient pas d’un droit de recours effectif.
En substance, la CJUE a estimé que le contexte légal américain ne permettait pas d’assurer le même niveau de protection des données que les lois européennes. Et que l’accord signé entre la Commission et les États-Unis était de facto caduc.
La responsabilité du client du cloud est engagée
Cette invalidation du Privacy Shield est lourde de conséquences. Elle est d’abord synonyme de nouvelles obligations pour les entreprises exportatrices de données personnelles. C’est en effet désormais sur les clients des clouds – américains ou autres – que repose la responsabilité légale des données.
Elle est aussi source de questionnements géopolitiques en matière de souveraineté. Comment l’Union européenne peut-elle assurer la protection des données personnelles de ses citoyens lorsqu’elles sont transférées/traitées par des sociétés américaines sous le joug du CLOUD Act ? Ce qui est le cas aujourd’hui pour les très nombreux clients de ces entreprises.
La solution la plus protectrice pour les données personnelles des citoyens européens repose sur la création d’un « cloud souverain ».
En attendant, les autorités américaines et la Commission européenne ont déclaré travailler à la création d’un nouvel accord qui prendrait en compte les irrégularités entachant le Privacy Shield. Mais cette solution semble difficile à mettre en œuvre.
Le droit américain, tout sauf un détail
L’obstacle principal à l’effectivité d’un tel accord réside justement dans l’extraterritorialité du droit américain.
Les enjeux liés à la souveraineté numérique sont désormais omniprésents dans le discours politique. Ils se matérialisent par des prises de position fortes tant au niveau européen (voir les déclarations du commissaire au marché intérieur, monsieur Thierry Breton) que national. Un récent rapport parlementaire appelle, par exemple, à rétablir la souveraineté de la France et de l’Europe.
Dans le même temps, la Commission est dans une démarche très « libérale ». Elle cherche à ménager les relations commerciales avec les États-Unis. Cela l’a sans doute conduite à privilégier les intérêts commerciaux au détriment de la sécurité et de la protection des données.
C’est pour cette raison que la CJUE a retoqué, pour la deuxième fois (« Safe Harbor » puis « Privacy Shield »), l’accord que l’Union européenne avait conclu avec les États-Unis.
Et il est probable que tant que les États-Unis ne reviendront pas – au moins partiellement – sur le CLOUD Act (mais pas seulement), la Commission ne pourra parvenir à des accords fiables sans risquer la censure de la CJUE. Car pour la CJUE en tout cas, le CLOUD Act est tout sauf un détail.