Vous qui entrez dans le cloud, abandonnez tout espoir de confidentialité

Publié le 14/05/2018 - CIO Online - E. Papin

Pour lire l’article d’Etienne Papin, Avocat associé, du 14 mai 2018 pour CIO Online.

Votre serveur de messagerie, vos documents, les données de vos applicatifs « Saas », etc. il est de plus en plus probable que ces informations reposent sur une solution technique fournie par une société américaine, même si elles ne sont pas hébergées aux USA. Ce changement technologique emporte un changement majeur pour les droits et libertés des personnes. La quantité d’informations pouvant être appréhendée dans le cadre des enquêtes de police administrative ou judiciaire augmente et leur stockage chez un tiers permet leur appréhension sans que les personnes concernées n’en soient informées.

Pour ce qui concerne le contrôle des données transitant sur le réseau, la pratique a toujours devancé le droit et, ne soyons pas naïfs, le droit a toujours évolué pour se mettre en accord avec la pratique et non l’inverse.

Dernier exemple, le « Cloud Act », loi adoptée par le Congrès américain et signée par Donald Trump le 23 mars dernier.

A l’origine de cette loi, il y a un différend entre Microsoft et l’administration américaine sur le droit pour cette dernière d’obtenir de Microsoft US des données stockées sur les serveurs de ses filiales à l’étranger.

Le refus initial de Microsoft de communiquer des mails stockés en Ireland

L’affaire remonte à 2014. Le ministère public, préalablement autorisé par un juge, demande à Microsoft US la production de mails hébergés en Irlande par sa filiale irlandaise. Microsoft refuse de déférer à ce « mandat » (warrant) et porte l’affaire devant la cour du district de New York compétente en première instance.

Les obligations de Microsoft en matière de production d’informations aux autorités de police judiciaire américaines résultent du Stored Communications Act intégré à l’Electronic Communications Privacy Act de 1986, codifié au titre 18 de l’US Code. Sans entrer dans les détails de la procédure américaine en la matière, retenons que Microsoft considérait que le juge n’avait pas de compétence territoriale pour délivrer un mandat nécessitant des mesures d’exécution en dehors du territoire US. Le juge de première instance refusa de suivre Microsoft dans sa lecture du droit américain et débouta Microsoft. La compagnie de Redmond poursuivit cependant la procédure jusqu’à la Cour Suprême devant laquelle le dossier est toujours pendant.

C’est dans ces circonstances qu’intervient le Cloud Act.

Ce que prévoit le Cloud Act

Il est important de comprendre que le Cloud Act est avant tout une loi destinée à gérer les conflits de lois, c’est-à-dire les situations dans lesquelles une compagnie américaine peut être enjointe de communiquer aux autorités dont elle dépend des données alors que la loi dont relève sa filiale ne l’autorise pas.

Pour résoudre cette situation, qui pose des dilemmes à une société internationale comme Microsoft, le Cloud Act prévoit la négociation de traités bilatéraux par le pouvoir exécutif américain. Par ces traités, les autorités de police des USA et celles de l’autre pays signataire, pourront émettre des demandes de communication des informations hébergées dans le Cloud lorsque ces informations sont sous la juridiction de l’autre pays parti à l’accord. On pense donc qu’un accord pourrait être négocié entre les USA et la Commission européenne pour donner une base légale claire aux injonctions de communication des informations détenues par les fournisseurs de Cloud, en préservant les droits des individus ou des entreprises dont les données sont l’objet de la demande de communication.

Mais bien sûr, la négociation de ce type de traités internationaux prendra du temps…

En attendant ces traités, l’incertitude juridique mise en avant par Microsoft dans l’affaire évoquée plus tôt est levée. Le chapitre 121 du titre 18 de l’US Code est modifié comme suit : « Le fournisseur d’un service de communication électronique ou d’un service informatique à distance doit préserver, sauvegarder et révéler le contenu des communications électroniques et de tout enregistrement ou autre information concernant un client ou un abonné en possession ou sous le contrôle du fournisseur de service, peu important le fait que cette communication, enregistrement ou information est situé au sein ou en dehors des Etats-Unis ».

Cependant, le Cloud Act confirme qu’un recours contre l’injonction de communiquer les données reste possible pour le fournisseur de service lorsque celui-ci démontre qu’il a des raisons de penser que la personne concernée n’est pas américaine ou ne réside pas aux USA et que la communication des données représenterait pour le fournisseur un risque important de violer la loi d’un pays avec lequel les Etats-Unis ont signé un traité bilatéral.

Une adhésion des GAFAM au Cloud Act

Notre vision euro-centrée du Cloud Act, peut nous conduire à considérer cette loi comme favorable aux intérêts américains.

Dans une lettre conjointe du 6 février 2018, Apple, Facebook, Google et Microsoft ont cependant apporté leur soutien au texte au motif que celui-ci fournit un recours au juge « lorsque nécessaire ». Un recours pour éviter que ceux-ci ne se trouvent en porte-à-faux par rapport à la loi applicable à leurs filiales plutôt que pour se faire le champion des droits individuels…

En résumé, le sort de la communication des données des justiciables européens reste soumis à la décision du fournisseur américain de service cloud de déférer immédiatement au mandat qui lui est présenté par l’autorité américaine ou d’engager un recours devant le tribunal américain compétent.

Autres publications