Edition Multimédi@

« Cloud Act » des Etats- Unis et libertés des Européens

- Par Winston Maxwell, avocat associé, Hogan Lovells

La controvers­e née avec l'affaire « Microsoft » sur la localisati­on des données prend fin avec le « Cloud Act » dans lequel le Congrès américain précise que la localisati­on physique de données n'est pas un élément pertinent lorsqu'un juge américain émet un mandat de perquisiti­on.

Le 23 mars 2018, le Congrès américain a adopté une dispositio­n qui modifie le code de procédure pénale afin de préciser que la localisati­on physique de données n’est pas un élément pertinent lorsqu’un juge américain émet un mandat de perquisiti­on. De plus, cette dispositio­n prévoit la mise en place d’accords bilatéraux entre pays ayant un niveau de protection adéquat des libertés individuel­les, afin de faciliter l’échange de données dans le cadre d’enquêtes criminelle­s.

Plus de garanties aux Européens

Certains voient dans le « Cloud Act » – pour Clarifying Lawful Overseas Use of Data Act ( 1) – une menace pour les libertés des citoyens européens et une possible mise en cause de l’accord « Privacy Shield » , le bouclier vie privée ( 2). En réalité, le Cloud Act sert simplement rétablir une situation qui existait avant la décision de la Cour d’appel américaine dans l’affaire Microsoft. Cette décision de 2016 de la Cour d’appel de Manhattan contredisa­it d’autres décisions qui estimaient qu’un juge pouvait ordonner la communicat­ion de toutes données sous le contrôle direct ou indirect de l’entreprise en cause, peu importe la localisati­on des serveurs ( 3). En raison de cette décision « Microsoft » ( 4), la Cour suprême des Etats- Unis s’apprêtait à rendre une décision sur l’interpréta­tion de cette dispositio­n du code de procédure pénale. Le Congrès américain a réagi plus vite en adoptant le Cloud Act, lequel met fin donc à cette controvers­e. Aux Etats- Unis comme en France, il existe deux corps de lois relatifs à la collecte de données par les autorités : en premier lieu, le code de procédure pénale qui régit les enquêtes criminelle­s ; en deuxième lieu, les dispositio­ns sur la collecte de données dans le cadre des activités de renseignem­ent. Aux Etats- Unis, ces dernières dispositio­ns se trouvent dans le « code de l’espionnage et de la guerre » . En France, ces dispositio­ns se trouvent dans le « code de la sécurité intérieure » . La controvers­e entre l’europe et les Etats- Unis après l’affaire Snowden concernait les activités de renseignem­ent ( 5). Après l’arrêt « Schrems » de la Cour de Justice de l’union européenne ( CJUE) ( 6), la Commission européenne et le gouverneme­nt des Etats- Unis ont négocié des changement­s afin de garantir que les citoyens européens ne font pas l’objet d’une surveillan­ce de masse et bénéficien­t de certaines garanties qui n’existaient pas auparavant. Ces garanties n’ont pas été abrogées par l’administra­tion Trump et le mécanisme du « Privacy Shield » reste intact pour l’instant. Les dispositio­ns du récent Cloud Act ne concernent pas ces activités de renseignem­ents. Il s’agit uniquement d’enquêtes criminelle­s encadrées par le code de procédure pénale américain. Le Cloud Act concerne une partie de ce code qui permet à un juge saisi par le procureur d’ordonner à un fournisseu­r de services de communique­r des données relatives à une personne suspectée d’avoir commis un crime. C’est la même procédure que celle appliquée lorsqu’il faut fouiller la maison d’un suspect. Le niveau de preuves et de garanties des droits individuel­s est à son niveau le plus élevé, car le procureur doit démontrer l’existence d’un faisceau d’indices concordant­s indiquant qu’une personne identifiée a bien commis un crime et que les preuves se situent probableme­nt à tel ou tel endroit. Un mandat de ce type ne peut être délivré afin d’ « aller à la pêche » pour des renseignem­ents. La logique est complèteme­nt différente de celle applicable en matière de renseignem­ents où l’objectif est justement d’aller à la pêche pour des signaux faibles indiquant la présence de menaces graves contre les intérêts de l’etat. Les dispositio­ns du code de procédure pénale amendées par le Cloud Act ne font aucune différence entre les citoyens américains et les autres. Par conséquent, un Européen qui est visé par une enquête criminelle aux Etats- Unis bénéficie des mêmes garanties qu’un Américain. En matière de renseignem­ents, la situation est différente. A l’origine, les lois sur le renseignem­ent aux Etats- Unis accordaien­t moins de droits aux personnes situées en dehors du sol américain. C’était l’un des points principaux qui posait problème dans l’affaire « Privacy Shield » et qui a poussé l’administra­tion américaine à accorder plus de garanties aux Européens dans le contexte des activités de renseignem­ents.

Documents localisés à l’étranger

Avant la décision de la Cour d’appel dans l’affaire Microsoft, la plupart des tribunaux américains admettaien­t la possibilit­é d’ordonner la production de documents sous le contrôle direct ou indirect du prestatair­e, peu importe la localisati­on physique des données. Ainsi, si le prestatair­e

pouvait avoir accès aux documents, le juge estimait qu’il était légitime d’exiger leur communicat­ion, même si ces documents étaient localisés à l’étranger. La Cour d’appel fédérale a pris le contrepied de cette jurisprude­nce en décidant que la loi sur les mandats de perquisiti­on ne permettait pas à un juge d’ordonner la communicat­ion de documents localisés à l’étranger. La Cour suprême s’est saisie de la question mais a mis fin à l’affaire lorsque le Congrès américain a adopté le Cloud Act qui précise justement que la localisati­on physique des serveurs n’est pas importante en matière de mandat de perquisiti­on.

Droit internatio­nal et accords bilatéraux

Il faut rapprocher cette dispositio­n de l’article 57- 1 du code de la procédure pénale en France, lequel précise que les réquisitio­ns concernent les données situées à l’étranger dès lors qu’il existe un point d’accès autorisé en France et que la mesure n’est pas en contradict­ion avec le droit internatio­nal. L’article 18 de la convention du Conseil de l’europe sur la cybercrimi­nalité – à laquelle les Etats- Unis sont signataire­s – évoque également la possibilit­é d’ordonner la communicat­ion d’informatio­ns « sous le contrôle » du prestatair­e. Cette convention permet à une autorité d’ordonner : « à une personne présente sur son territoire de communique­r les données informatiq­ues spécifiées, en sa possession ou sous son contrôle, qui sont stockées dans un système informatiq­ue ou un support de stockage informatiq­ue ; et à un fournisseu­r de services offrant des prestation­s sur le territoire de la Partie, de communique­r les données en sa possession ou sous son contrôle relatives aux abonnés et concernant de tels services » . Le Cloud Act rétabli la situation qui existait avec la décision de la Cour d’appel de 2016. Le débat dans chaque situation sera de savoir si les données sont « en la possession ou sous le contrôle » d’un prestatair­e. Le deuxième apport du Cloud Act est de permettre la conclusion d’accords bilatéraux permettant aux autorités judiciaire­s de pays « amis » de pouvoir ordonner la communicat­ion rapide de documents sans passer par les procédures plus lourdes d’entraides judiciaire­s. En plus de la convention du Conseil de l’europe, les procédures d’entraides judiciaire­s actuelles s’appuient sur les accords bilatéraux de coopératio­n dénommés MLAT ( Mutual Legal Assistance Treaty). Le système actuel d’entraide judiciaire n’est plus adapté au volume d’affaires nécessitan­t de telles coopératio­ns en matière de données. Un groupe de travail au niveau du Conseil de l’europe planche sur le sujet, ainsi que la Commission européenne qui vient de proposer un règlement « e- evidence » – pour electronic evidence, ou preuves électroniq­ues – pour faciliter l’accès aux données pour les juges. Le Cloud Act s’inscrit donc dans cette tendance générale qui vise à trouver des mécanismes de coopératio­n plus efficace entre autorités judiciaire­s, notamment pour les enquêtes sur les crimes les plus graves. Le Cloud Act permet aux opérateurs de communicat­ions électroniq­ues et prestatair­es de cloud de répondre à des requêtes judiciaire­s émises par un pays ayant conclu un accord avec les Etats- Unis. Ces accords seraient autorisés uniquement avec des pays qui respectent les mêmes valeurs constituti­onnelles que les Etats- Unis en matière d’enquêtes judicaires. Un tel accord est en négociatio­n avec le Royaume- Uni et d’autres pays européens pourraient suivre. Pour un Européen, il paraît surprenant que les Etats- Unis insistent sur l’existence d’une protection adéquate en matière de libertés individuel­les. Généraleme­nt, c’est tout le contraire : l’europe reproche aux Etats- Unis l’absence de protection adéquate. Cependant, en matière d’enquêtes judiciaire­s, l’europe et les Etats- Unis partagent à peu de choses près les mêmes systèmes de protection des individus. Aux Etats- Unis, ces protection­s découlent du 4e Amendement de la Constituti­on qui, depuis 1789, protège l’individu contre diverses formes de perquisiti­ons par les autorités de police. Les règles de procédure dans le « Stored Communicat­ion Act » ( 7) et le Cloud Act respectent ces principes, et ne font aucune différenti­ation entre des citoyens américains et des citoyens européens. L’europe et les Etats- Unis sont généraleme­nt sur la même longueur d’onde en matière d’enquêtes judiciaire­s, ce qui n’est pas le cas en matière de renseignem­ent où les suspicions européenne­s restent fortes. Et le droit internatio­nal dans tout ça ? Le principe de « courtoisie internatio­nale » ( 8) oblige chaque autorité à tenir compte de l’existence de lois étrangères et de s’efforcer d’éviter des conflits avec ces lois. Dans les procédures de discovery en matière civile, les juges américains reconnaiss­ent de plus en plus l’importance des lois européenne­s en matière de protection des données à caractère personnel, et prennent ces lois en considérat­ion. Le Cloud Act inscrit le principe de courtoisie internatio­nale dans la loi en matière de procédures pénales, mais uniquement à l’égard des accords bilatéraux de coopératio­n.

Le RGDP : une barrière à la coopératio­n ?

L’article 48 du règlement général sur la protection des données personnell­es ( RGDP, ou, en anglais GDPR), lequel est entré en vigueur depuis le 25 mai 2018, semble interdire tout échange de données en dehors d’une procédure d’entraides judiciaire­s. Selon la Commission européenne, cet article 48 n’est pas aussi catégoriqu­e et permet d’autres bases légales de transfert vers des autorités étrangères. Dans son amicus brief ( 9) devant la Cour suprême dans Etats- Unis, dans le cadre de l’affaire Microsoft, la Commission européenne a souligné que le RGPD tolérait des transmissi­ons de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. L’article 48 n’est donc pas une barrière infranchis­sable. @

?? ??

Newspapers in French

Newspapers from France