Il y a quelques semaines, le 11 septembre 2018, Brad Smith, le Président de Microsoft, a publié sur son blog un billet qui appelle à la conclusion d’accords internationaux portant sur l’accès aux données et respectant un certain nombre de principes fondamentaux (A call for principle based international agreements to govern law renforcement access to data). Cette prise de position intervient dans des circonstances bien particulières. Le Congrès des Etats-Unis a, en effet, voté, en mars dernier, le Clarifying Lawful Overseas Use of Data Act ou CLOUD Act, dont l’adoption a précisément eu un impact immédiat sur un litige impliquant Microsoft. Or si Microsoft et les autres géants américains du numérique ont, dans l’ensemble, approuvé l’adoption de cette législation au motif qu’elle aurait clarifié le droit positif, celle-ci pose toutefois des difficultés incontestables qui expliquent les critiques véhémentes dont elle fait l’objet de chaque côté de l’Atlantique.

 De l’affaire Microsoft à la loi fédérale

En 2013, une enquête criminelle dans une affaire de stupéfiants conduit le FBI à demander et obtenir d’un juge fédéral un mandat de perquisition (search warrant) aux fins d’obtenir communication de courriels émis par un utilisateur de la messagerie MSN. Bien que le dossier ne précise pas la nationalité de l’utilisateur concerné, il apparaît que les données sont stockées par Microsoft sur des serveurs situés en Irlande, ce qui laisse penser que l’intéressé est basé en Irlande ou dans un pays proche. En effet, l’algorithme de Microsoft répartit les données entre différentes zones de stockage en fonction du « code pays » des utilisateurs. Microsoft conteste alors le warrant et refuse de communiquer ces éléments au motif que la loi américaine ne peut avoir une portée extra-territoriale. Pour Microsoft, en effet, la loi fédérale prévoyant la possibilité d’ordonner la communication des éléments nécessaires à une investigation pénale (le Stored Communications Act) ne peut porter que sur des données stockées sur le territoire américain. Le FBI devrait donc ici s’adresser aux autorités irlandaises en vertu du traité conclu entre les Etats-Unis et l’Irlande en matière de coopération judiciaire (Mutual Legal Assistance Treaty ou MLAT).

En première instance, le search warrant est confirmé par un juge fédéral de New York. Cependant, saisie d’un recours, la Cour d’appel du Second Circuit suit les arguments de Microsoft et annule le warrant (Microsoft Corp. v. United States, Dec. 9 2016, voir Nick Wingfield, Cecilia Kang, “Microsoft Wins Appeal on Overseas Data Searches”, New York Times, July 14, 2016). Aux yeux de la Cour d’appel, le lieu géographique de stockage des données est déterminant et il convient de respecter la procédure prévue par le traité d’assistance mutuelle.

L’arrêt de la Cour d’appel du Second Circuit n’aboutit pas à fixer la jurisprudence. Plusieurs Cours d’appel fédérales jugent, dans les mois qui suivent, dans un sens opposé. Dans des affaires impliquant Yahoo (In re Information Associated with One Yahoo Email Address That Is Stored at Premises Controlled by Yahoo) et Google (In re the Search of Content That Is Stored at Premises Controlled by Google), les juges fédéraux estiment que le seul critère pertinent à prendre en considération est le lieu géographique d’établissement du fournisseur de service, et non l’emplacement des serveurs. Ils en concluent que le warrant permet de se procurer les données stockées à l’extérieur des Etats-Unis. Ces circonstances expliquent certainement pourquoi le Department of Justice (DOJ) américain a maintenu son point de vue et formé un recours devant la Cour Suprême des Etats-Unis. Il y a soutenu que le fait que le contenu des courriels soit sous le contrôle de Microsoft, dont le siège est basé aux Etats-Unis, suffisait à justifier la demande de communication, peu important la localisation géographique des serveurs. Autrement dit, il suffit, pour le DOJ, qu’une entreprise américaine détienne le contrôle desdits serveurs, donc puisse en copier très facilement les données qui y sont stockées, pour que le recours aux procédures de coopération judiciaire internationale soit inutile.

Le recours formé par le DOJ a donné lieu à une audience devant la Cour Suprême en février 2018. La décision était attendue pour juin…. Mais c’était sans compter l’adoption du CLOUD Act, qui a mis de facto un terme au débat. Le litige a alors été déclaré sans objet (L. Hurley, « U.S. top court rules that Microsoft email privacy dispute is moot »). Un nouveau warrant a été délivré sur le fondement du nouveau texte et Microsoft a communiqué les courriels litigieux au FBI. On notera au passage que la Commission de l’Union Européenne avait, dans la perspective de la décision de la Cour Suprême, produit un « amicus brief », rappelant les principes de territorialité et de courtoisie internationale du droit international public (European Commission Brief). Plus précisément, tout en affirmant ne pas vouloir prendre parti sur l’interprétation de la loi américaine, la Commission a fait valoir que les intérêts et les lois du pays dans lequel les données sont stockées devaient être pris en considération, à commencer par le Règlement Générale de Protection des Données (RGPD), qui comporte, précisément, des dispositions relatives à la communication des données personnelles.

Que prévoit le CLOUD Act ?

Promulgué le 23 mars 2018 (voir D. Bitkower and N. Orpett, “Congress Passes CLOUD Act Governing Cross-Border Law Enforcement Access to Data”), le CLOUD Act modifie le Stored Communications Act de manière à permettre aux autorités de contourner les règles classiques de coopération judiciaire internationale. D’une part, il permet aux autorités gouvernementales américaines de se procurer les données contrôlées par toute entreprise établie aux Etats-Unis, fussent-elles stockées hors du territoire américain (1). D’autre part, il prévoit qu’à la réciproque, les autorités étrangères pourraient contraindre directement les entreprises américaines à leur fournir des données dès lors leur pays d’origine a conclu un Executive Agreement avec les Etats-Unis (2).

1- La communication aux autorités américaines des données stockées hors des Etats-Unis

Adopté en 1986, le Stored Communications Act dit SCA (USC Title 18 Chapter 121) permet aux autorités américaines d’obliger les fournisseurs de service de communications électroniques (services de messagerie ou réseaux sociaux par exemple) à divulguer le contenu des communications ainsi que les métadonnées associées à ces communications (dates, heures, émetteurs, destinataires, adresses).

Pour toutes les données stockées électroniquement depuis moins de 180 jours, la demande de communication doit être faite sur le fondement d’un mandat de perquisition (search warrant) délivré par un juge à la condition que les autorités lui fournissent des informations établissant qu’il existe une « cause probable » de poursuites au sens du Quatrième Amendement (18 USC §2703 (a)). Cela signifie que les autorités doivent présenter des éléments permettant de croire raisonnablement à la commission d’une infraction en allant au delà de la simple suspicion. La personne concernée par le warrant n’est pas présente à l’audience et ne peut le contester directement.

L’obtention d’un search warrant n’est du reste pas toujours nécessaire pour pouvoir exiger la divulgation, par les fournisseurs de services, des communications électroniques qu’ils détiennent. Les données stockées depuis plus de 180 jours ou stockées dans le cloud (remote computing services), doivent être communiquées en présence d’un simple  subpoena (injonction formulé par l’administration, le tribunal ou un avocat) ou d’une injonction judiciaire (court order) délivrée sur la base de faits « spécifiques et précis » montrant qu’il est raisonnablement possible de penser que ces données sont pertinentes et essentielles pour une enquête criminelle en cours. En ce cas, il faut que l’utilisateur concerné se voit préalablement notifier la demande de communication par les autorités (18 USC §2703 (b)). Par ailleurs, certaines métadonnées (nom, adresse, relevé des communications téléphoniques etc…) peuvent être obtenues dans les même conditions mais sans qu’une notification de l’utilisateur concerné soit nécessaire (18 USC §2703 (d)). Enfin, le FBI peut exiger la communication de certaines données dans le cadre d’investigations en matière de contre-espionnage et de lutte anti-terroriste (18 USC §2709). Dans toutes ces hypothèses, les garanties prévues par le Quatrième Amendement n’ont pas vocation à s’appliquer, ce qui explique l’opposition de certaines cours d’appel fédérales, qui ont jugé que la divulgation de mails en l’absence de warrant était inconstitutionnelle (voir United States v. Warshak). Tout récemment, en juin dernier, la Cour Suprême fédérale a  jugé, dans Carpenter v. United States, que les autorités de poursuite devaient disposer d’un warrant pour pouvoir se procurer les données de géolocalisation d’un utilisateur. L’arrêt ne vaut toutefois qu’à propos des données de géolocalisation des téléphones mobiles (voir Carpenter V. United States Decision Strengthens Digital Privacy).

Quoi qu’il en soit, ce sont ces dispositions du SCA que le CLOUD Act, par l’ajout d’une section 2713, applique désormais sans ambiguité aux données stockées à l’extérieur des Etats-Unis (« regardless of whether such communication, record or other information is located within or outside the United States »). Il suffit que les données soient sous le contrôle d’un fournisseur de service américain (« within such provider’s possession, custody or control ») pour que les autorités américaines -fédérales comme étatiques- puissent en exiger communication dans les conditions précitées.

2- La communication des données stockées aux Etats-Unis aux autorités étrangères

Le CLOUD Act prévoit la possibilité, pour les autorités étrangères, de se faire communiquer directement les données stockées sur le territoire des Etats-Unis en évitant l’application des procédures prévues par les traités de coopération judiciaire (MLAT). Le texte dispose en effet qu’il est possible aux pays tiers de conclure des traités avec les Etats Unis appelés Executive Agreements (18 USC §2523) visant à permettre aux autorités gouvernementales du co-signataire d’exiger directement des fournisseurs de services établis aux Etats-Unis la communication des données qui les intéressent. Un tel traité peut être conclu, de manière bilatérale, par l’exécutif fédéral sans qu’il soit nécessaire de le faire approuver par le Congrès. Il suffit que l’Attorney General informe le Congrès de la conclusion de l’accord dans les 7 jours de son adoption : celui-ci a alors 180 jours pour s’y opposer au moyen d’une résolution conjointe aux deux Chambres (18 U.S.C. § 2523(d)).

Les pays éligibles à la conclusion de tels Executive Agreements doivent remplir des conditions strictes expressément prévues par le texte. Pour qu’un pays soit éligible il faut que l’Attorney General et le Secrétaire d’Etat américains attestent  que le droit dudit pays offre des garanties substantielles et procédurales en termes de protection des données personnelles et de droits fondamentaux (18 U.S.C. § 2523(b)).  En particulier, l’Attorney General des Etats Unis doit examiner et évaluer le système judiciaire du pays considéré. Le CLOUD Act prévoit, par ailleurs, que les demandes de communication émanant des autorités de pays étrangers ne peuvent viser un citoyen ou résident américain et ne peuvent porter que sur des investigations relatives à des infractions d’une certaine gravité (serious crimes). Elles doivent, en outre, concerner une personne ou un compte spécialement identifié, être formées dans le respect du droit du pays dont elles émanent, être justifiées par des faits précis et crédibles », et pouvoir faire l’objet d’un contrôle par un juge indépendant (18 U.S.C. § 2523(b)(4)(D)).

Les critiques formulées contre le CLOUD Act

Beaucoup de critiques ont été formulée contre le CLOUD Act, aux Etats-Unis comme en Europe. Ces critiques tiennent tant aux conditions dans lesquelles le texte a été adopté qu’à son contenu.

Les modalités d’adoption du texte

Déposé au Congrès par deux élus républicains -le sénateur de l’Utah Orrin Hatch et un Représentant de Georgie, Doug Collins- le texte du CLOUD Act a été ajouté à la fin d’une loi budgétaire fourre-tout particulièrement longue (plus de 2000 pages). Cette loi n’a pas suivi la procédure habituellement employée pour faire adopter un texte par le Congrès : pas de commission ad hoc, pas d’audition, pas de revue approfondie du texte par les membres du Congrès. Cette méthode inhabituelle a suscité la suspicion, d’autant que le CLOUD Act présente des différences notables d’avec les projets qui l’ont précédé.

En 2015, le projet de Law Enforcement Access to Data Stored Abroad Act (LEADS Act) prévoyait de généraliser l’exigence d’un warrant, de permettre la communication des données stockées à l’étranger lorsqu’elles concernent un ressortissant américain et d’améliorer la conclusion et la mise en œuvre des traités de coopération judiciaire (MLAT). Le texte a toutefois été rejeté.  En 2017, l’International Communications Privacy Act (ICPA) qui reprenait globalement les mêmes dispositions, n’a pas non plus été voté. Ce projet prévoyait notamment la possibilité, pour les autorités, de se faire communiquer les données relatives aux citoyens américains quel que soit leur lieu de stockage et déterminait les circonstances plus exceptionnelles dans lesquelles ces demandes pouvait porter sur des ressortissants étrangers. Ce faisant, le texte rejetait clairement le critère du lieu d’installation des serveurs pour lui préférer celui de la nationalité et de la localisation des utilisateurs concernés.

Si le CLOUD Act s’inscrit dans la continuité des travaux relatifs à ces deux textes, il comporte toutefois des dispositions très différentes, notamment en ce qu’il prévoit la possibilité inédite de conclure des Executive Agreements non soumis au Congrès.

Les critiques aux Etats-Unis

Aux Etats-Unis, le CLOUD Act a été soutenu par les géants de la technologie, comme Microsoft, Apple et Google, qui y ont vu une clarification bienvenue.  Le fait que les législations applicables en matière de protection des données personnelles divergent largement d’un pays ou d’une région à l’autre crée, en effet, beaucoup d’insécurité juridique pour les fournisseurs de service. La mise en œuvre des traité de coopération judiciaire (MLAT) est, par ailleurs, source de lenteur et de complexité, ce qui justifie de recourir à des modalités plus simples

Pour autant, le texte a fait l’objet d’un grand nombre de critiques, notamment de la part des organismes de protection des droits fondamentaux, comme l’Electronic Frontier Foundation, l’American Civil Liberties Union, Amnesty International, le Center for Democracy and Technology et Human Rights Watch C’est principalement le second volet du texte, celui qui permet aux autorités étrangères de se procurer des données grâce à la conclusion d’un Executive Agreement qui suscite l’opposition de ces associations. Elles estiment, en particulier, que la possibilité reconnue au pouvoir exécutif américain de conclure des accords internationaux sans contrôle du Congrès est problématique. Elles redoutent également que la faculté reconnue aux autorités étrangères prive les utilisateurs des garanties prévues par le droit américain, à commencer par l’intervention judiciaire prévue par le Quatrième Amendement. 

Si l’on peut comprendre les réticences face à ces Executive Agreements d’un genre inédit, il apparaît toutefois peu probable qu’un tel accord prévoit un jour que les entreprises américaines seront tenues de divulguer leurs données sur simple demande à des autorités étrangères sans contrôle d’un juge. Tout dépendra, bien évidemment, du contenu des Executive Agreements conclus avec les pays tiers mais les garde-fous prévus par le CLOUD Act lui-même permettent de nuancer ces craintes.

Les critiques des européens

Du côté de l’Union Européenne, les critiques visent principalement le premier volet du texte en ce qu’il permet aux autorités américaines d’exiger des entreprises établies aux Etats-Unis qu’elles divulguent l’ensemble des données en leur possession, fussent-elles stockées à l’extérieur du territoire américain. Compte-tenu de l’omniprésence des fournisseurs de services américains, cela implique en effet que la quasi-totalité des services proposés sur Internet (Facebook, Whatsapp, Gmail, Instagram, Messenger etc…) sont concernés. Le texte pourrait, en outre, concerner bien plus que les seuls groupes établis (incorporated) aux Etats-Unis et disposant de filiales à l’étranger. L’on pourrait également imaginer que des multinationales européennes ou asiatiques se voient réclamer les données relatives à leurs utilisateurs au motif qu’elles ont un établissement ou une filiale aux Etats-Unis. Ce point a précisément été évoqué par les avocats de Microsoft, qui ont pris pour exemple le cas d’un fournisseur de service internet chinois disposant d’une filiale dans la Silicon Valley qui se verrait sommé de communiquer des mails échangés en Chine et stockés sur un serveur situé à Pékin.

De manière générale, il est incontestable que le CLOUD Act permet, pour l’heure, la divulgation de communications de ressortissants non américains dans des conditions particulièrement favorables aux autorités américaines, d’autant qu’aucun Executive Agreement n’a pour l’heure été conclu. Plusieurs difficultés peuvent ici être soulignées.

* L’absence de recours de l’utilisateur dont les données sont réclamées

En l’état des textes, la personne dont les communications sont réclamées par les autorités américaines n’est pas nécessairement avertie de la demande. L’octroi par le juge américain d’un search warrant se fait en son absence et sans possibilité de contestation de sa part. Dans l’ensemble, l’utilisateur est, pour la protection de ses données, entièrement tributaire de l’attitude choisie par le fournisseur de service qui peut contester la demande de communication mais peut, tout aussi bien, décider de communiquer les éléments réclamés par les autorités américaines sans contestation.

* L’impossibilité de contester le « search warrant » en l’absence d’Executive Agreement

Le texte prévoit qu’il est possible au fournisseur de service de contester le search warrant dans un délai de 14 jours s’il croit raisonnablement que deux circonstances sont cumulativement réunies :

      • le client ou souscripteur dont les données sont requises n’est ni citoyen, ni résident permanent aux US, ni une société immatriculée (incorporated) aux US et ne réside pas aux US

ET

      • la divulgation des données créerait un risque que le fournisseur de service viole une législation étrangère, mais à la condition qu’il s’agisse des lois d’un pays ayant signé avec les Etats-Unis l’Executive Agreement prévu par le texte et que lesdites lois nationales prévoient des garanties substantielles et procédurales équivalente à celles prévues par le SCA américain (18 U.S.C. § 2703(h)(2)).

Si ces conditions ne sont pas remplies, et notamment si aucun Executive Agreement n’a été signé, le warrant ne peut être contesté. Aucun Executive Agreement n’ayant pour l’heure été conclu, aucune contestation n’est possible à ce jour, même si les données concernent, par exemple, des ressortissants européens.

* La portée incertaine d’une invocation du RGPD ou d’une législation nationale en l’absence d’ « Executive Agreement »

La seule option envisageable, en l’absence d’ Executive Agreement, pour s’opposer à la communication des données reste l’invocation du « principe de courtoisie internationale », tel qu’il est reconnu par les tribunaux américains. Le refus de communication des données réclamées ferait notamment valoir que la divulgation des données constituerait une violation d’une réglementation nationale. S’agissant d’un ressortissant de l’Union Européenne, l’invocation du Règlement européen du 27 avril 2016 (le RGPD), en vigueur depuis mai dernier, et dont plusieurs dispositions protègent les ressortissants européens d’une divulgation de leurs données à des pays tiers (articles 45 à 49), serait possible. Cependant, la possibilité d’invoquer le principe de courtoisie internationale dans le cadre de la mise en œuvre du Stored Communications Act est très discutée et il n’existe pas de précédent jurisprudentiel permettant de conclure en ce sens (voir D. Bitkower and N. Orpett, “Congress Passes CLOUD Act Governing Cross-Border Law Enforcement Access to Data”).

Il faut donc conclure qu’en l’état, les données de internautes français détenues par les fournisseurs de services américains (Apple, Google, Facebook, Microsoft etc…) et stockées sur des serveurs français ou européens peuvent faire l’objet d’une demande de communication de la part des autorités américaines dans les conditions évoquées et sans qu’il soit possible de s’opposer de manière certaine et efficace à la demande de ces autorités.

La conclusion d’un « Executive Agreement » avec les Etats-Unis est-elle la solution ?

Le CLOUD Act a manifestement été rédigé dans l’objectif d’inciter les Etat tiers à conclure des Executive Agreements avec les Etats-Unis. Et l’on ne peut nier qu’il s’agit là, pour les Etats-Unis, d’une manière d’imposer les règles du jeu. Le DOJ a pour l’heure annoncé être en train de négocier un tel accord avec le Royaume-Uni. Il faut certainement souhaiter que d’autres Etats embrayent le pas dans la conclusion de tels accords et s’assurent que leur législation nationale leur permet effectivement de protéger leurs ressortissants. La conclusion d’un Executive Agreement par l’Union Européenne elle-même pourrait également être envisagée, même si les termes du CLOUD Act ne semblent pas aller en ce sens.

Pour autant, la conclusion de tels accords ne pourra sans doute pas pallier les incertitudes persistantes entourant la mise en œuvre du Stored Communications Act américain. Il conviendrait, notamment, de préciser quelles sont les entreprises visées par le texte et si la simple filiale américaine d’un groupe étranger pourrait se trouver tenue de communiquer les données détenues par le groupe dans le reste du monde. Il faudrait, par ailleurs, régler le point de savoir si un warrant est toujours indispensable ou si certaines divulgations peuvent avoir lieu sur la base d’autres modalités (subpoena ou court order).

En outre, la conclusion d’Executive Agreements ne permettra pas de pallier entièrement les déséquilibres instaurés par le texte même du CLOUD Act. Alors que les autorités américaines peuvent exiger la divulgation de données en invoquant la probable commission de n’importe quelle infraction, les autorités étrangères ne pourront demander communication de données que dans l’hypothèse de la commission d’infractions graves (serious crimes). Alors que les données relatives aux citoyens ou entreprises américains ne pourront en aucun cas être divulguées aux autorités étrangères, les autorités américaines ont la possibilité de réclamer les données relatives aux ressortissants non américains sauf contestation invoquant une loi nationale empêchant une telle divulgation et à la condition que cette législation nationale présente des garanties substantielles et procédurales équivalente à celles prévues par la loi américaine.

Dans un tel contexte, il n’est guère étonnant de voir Microsoft promouvoir quelques principes fondamentaux, dans l’espoir qu’ils soient repris par les législations nationales et les accords ou Executive Agreements à venir. Les principes invoqués par Brad Smith, dans son récent billet, sont au nombre de six :

      • le droit universel pour chaque utilisateur d’être informé de la communication de ses données aux gouvernements,
      • l’obligation d’obtenir une autorisation judiciaire avant toute transmission ds données aux autorités,
      • une procédure claire et précise permettant la contestation de l’ordre de communiquer les données,
      • la conclusion d’accords internationaux permettant d’éviter et/ou résoudre les conflits de lois,
      • des procédures prévoyant que les demandes de communication des données des entreprises leurs soient directement adressées,
      • un principe de transparence permettant au public de connaître précisément les règles applicables à la protection des données.

Bref, si le numérique vient dissoudre les frontières et rendre sans objet la référence à la localisation géographique, il faut alors parvenir à s’accorder, dans le cyber espace, sur des principes universels et équilibrés de protection des internautes.

6 thoughts on “Faut-il redouter le CLOUD Act? La réponse est oui. Pour l’instant.”

  1. Merci pour cette explication détaillée.
    Par contre vous n’abordez pas le fait que les données dans les data center sont chiffrées et que seule la clef unique de déchiffrement permet de donner du sens à ces données. Le sujet a été mis en lumière lors de l’affaire Apple qui ne voulait pas donner la clef aux autorités pour avoir accès au contenu d’un IPhone.
    L’opérateur du datacenter pourrait donc très bien être contraint de fournir aux autorités américaines des données bruts…qui se révéleraient inexploitables.
    Je sais toutefois qu’avec des capacités de traitement énormes on peut casser des clefs.
    Il faudrait la contribution d’un expert en cryptographie pour enrichir le billet et donner ainsi aux citoyens et entreprises la réelle perception du niveau de risque qu’ils encourent en exposant leurs données chez un opérateur américain.

    1. Merci de ce retour. En effet, il faudrait savoir comment cela se passe en pratique. J’aurais personnellement tendance à penser que lorsque le FBI réclame des correspondances, il faut les lui fournir en état d’être lues… mais à réfléchir!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *