Le Cloud Act et ses conséquences
Une bataille judiciaire opposait depuis 2013 Microsoft et le gouvernement américain: en cause, un mandat de perquisition délivré par le gouvernement visant à obtenir le contenu d’un compte e-mail dont les données étaient conservées dans un des nombreux centres d’hébergement de Microsoft hors des EtatsUnis, en l’occurrence en Irlande. L’argument de Microsoft: un hébergement de données à l’étranger est soumis au droit national où il est situé. L’enjeu en était le principe d’extraterritorialité, soit le droit d’un Etat d’étendre l’application de son droit au-delà de ses frontières. La Cour suprême avait décidé de se saisir de l’affaire et devait rendre une décision à la fin du mois de juin prochain.
La ratification du Cloud Act (Clarifying Lawful Overseas Use of Data Act) le 23 mars dernier rend l’exercice inutile et le vide de sa substance. On remarque la manoeuvre (pour une fois) discrète de l’administration Trump: le texte était noyé dans le vote du budget de l’Etat, un paquet législatif cossu (plus de 2000 pages). Celui-ci n’a pas été discuté. Le tour est joué. Désormais, les forces de police n’ont pas à se justifier (obtenir un mandat) pour obtenir des données de citoyens américains, peu importe leur lieu de conservation.
Cette loi permet également au président de conclure des accords d’échange de données sans l’approbation du Congrès. Chose étrange, elle donnerait également aux Etats tiers la possibilité d’obtenir des données de leurs propres citoyens conservées aux EtatsUnis. Les associations de défense des consommateurs craignent – à raison – que cela ne soit le théâtre d’abus, notamment de la part d’Etats étrangers ou de services de renseignement étrangers (ce à quoi certains seraient tentés de répondre: ils n’ont semblet-il jusqu’ici pas eu besoin de cela). On craint également un renforcement de l’Etat contre le particulier et une atteinte supplémentaire au respect de la vie privée, donc (partiellement du moins) secrète.
Du côté européen, les entreprises du monde entier se demandent à quelle sauce elles seront mangées dès le 25 mai prochain, date d’entrée en vigueur du RGPD, le Règlement général sur la protection des données européen. Celui-ci (tout comme la nouvelle loi suisse sur la protection des données, actuellement à l’ouvrage) avait pourtant pour ambition de renforcer les droits des citoyens. Contre les géants du net certes mais également contre l’Etat. Réaction de la commissaire européenne de la justice, Vera Jourova: «Le Congrès US a adopté le Cloud Act dans une procédure accélérée, ce qui réduit les chances de dégager une solution compatible entre les systèmes américain et européen.»
En effet, la Commission européenne a présenté le 17 avril dernier une proposition législative de saisie de preuves électroniques, dans le but de lutter contre le crime international. A l’instar du Cloud Act américain, sa portée se veut globale, non strictement circonscrite au territoire de l’Union. Le projet comporte par ailleurs une obligation pour les applications de messagerie et les services digitaux de fournir les données de leurs utilisateurs dans les dix jours, voire dans les six heures en cas d’urgence, notamment de danger imminent à la vie ou l’intégrité physique de personnes ou à une infrastructure critique. Ces obligations concernent toute application disponible sur les app stores accessibles aux résidents de l’Union.
Ces évolutions ne doivent pas être perçues comme une surprise. L’ubiquescence des données et leur caractère voyageur compliquent à l’évidence la tâche des autorités de poursuite judiciaire, lesquelles ne devraient pas se heurter au simple fait que des informations utiles se trouvent au-delà des strictes limites de notre territoire. Il faudra bien sûr un certain temps avant que les systèmes ne s’uniformisent, notamment par la conclusion d’accords d’échange d’informations. Les Etats se sont assez rapidement entendus en matière fiscale (certains sous la contrainte). On ne peut que s’attendre à ce qu’un effort similaire voie le jour en matière pénale. Américains et Européens finiront bien par s’accorder…
▅
Désormais, les forces de police n’ont pas à se justifier (obtenir un mandat) pour récolter des données de citoyens américains, peu importe leur lieu de conservation