Le 3 octobre 2019, les États-Unis et le Royaume-Uni ont adopté un projet d’accord bilatéral (ci-après l’Accord) sur le transfert de données dans le cadre du Cloud Act[1], lequel suscite d’ores et déjà des réactions outre-atlantique[2]. Le Congrès aura 180 jours pour examiner le texte et l’adopter. S’il est prématuré de faire une analyse complète de ce texte qui ne concerne que les relations UK-USA, du moins peut-on d’ores et déjà souligner quelques éléments saillants, relatifs à la protection des données, notamment personnelles, se trouvant localisées au Royaume-Uni.
En préambule, la signature d’un accord (executive agreement) avec un Qualifying Foreign Government (QFG) n’est pas une condition de mise en application du Cloud Act. Toutefois, cet accord présente l’avantage d’être l’une des deux conditions cumulatives nécessaires pour qu’un fournisseur de services puisse s’opposer à une demande de communication de données[3].
En l’absence d’executive agreement avec les États-Unis, il faut alors recourir aux « common law standards governing the availability or application of comity analysis »[4], c’est-à-dire à la « courtoisie internationale » liée aux intérêts respectifs des États-Unis et de l’État où sont localisées les données, à l’importance et l’effectivité du risque contentieux qui pèse sur le fournisseur de services s’il exécute l’injonction et aux liens, tant du fournisseur de services que du titulaire des données, avec les États-Unis ou encore de la possibilité d’accéder à ces données par d’autres moyens[5].
Un accord qui passe le RGPD par pertes et profits
Tout d’abord, le fait que le Royaume-Uni décide de signer cet accord bilatéral, en marge du mandat de négociation donné à la Commission européenne par le Conseil de l’UE en mai 2019[6], ne saurait surprendre.
On se souvient en effet que le 4 février 2016, le gouvernement britannique a choisi de ne pas adhérer à l’article 48 du RGPD[7]. Ce « refus d’adhésion » était fondé sur le protocole n° 21 du TFUE[8] relatif à la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice. Ce dernier prévoit que le Royaume-Uni et l’Irlande ne doivent pas prendre part à l’adoption par le Conseil de certaines mesures, y compris celles concernant les questions de justice et d’affaires intérieures, et que tout accord international conclu par l’Union européenne relative à ces mesures ne doit pas être obligatoire ou applicable au Royaume-Uni, à moins que ce dernier ne notifie au Conseil sa décision de les mettre en œuvre (art. 3). Ceci signifie que l’article 48 du RGPD ne lie pas le Royaume-Uni.
L’enjeu de ce texte est important puisque cette disposition[9] prévoit que « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre ».
Dans un avis conjoint[10], le Comité Européen à la Protection des Données et le Contrôleur européen à la protection des données[11] soulignent que le Cloud Act soulève d’importantes questions de compatibilité avec le RGPD, notamment en ce qui concerne l’application de l’article 48. À cet égard, ces deux autorités demandent que le futur accord bilatéral USA-UE soit assorti de « fortes garanties procédurales et de garde-fous solides pour protéger les droits fondamentaux ».
En tout état de cause, ces arguments sont de peu de poids dans le périmètre de l’Accord, puisque non seulement le Royaume-Uni ne se sent pas liée par cette disposition, mais qu’en outre les États-Unis entendent clairement faire du Cloud Act un texte de référence[12] ayant pour objet d’aplanir les éventuels conflits de lois avec les états concernés[13]. Le US Department of justice insiste lourdement sur ce sujet, énonçant que le Cloud Act « remove restrictions under each country’s laws »[14], soulignant en outre « The only legal effect of a Cloud agreement is to eliminate the legal conflict for qualifying orders »[15], le but étant la suppression de toute entrave légale à la communication d’information[16]. À cet égard, l’Accord ne comporte aucune disposition de résolution des conflits de lois. On notera que la Commission a introduit une procédure spéciale pour la résolution des conflits de lois avec un État tiers[17]. La rapporteure du texte devant le Parlement européen propose à cet égard une procédure allégée prévoyant des délais clairs et courts et une participation de l’État d’exécution garantissant l’efficacité et la participation adéquate de tous les acteurs concernés[18].
Tout ceci pose au moins deux questions. Tout d’abord, indépendamment des déclarations lénifiantes sur la conformité au RGPD du Royaume-Uni post Brexit, et de l’existence du Data Protection Act 2018[19], cet Accord laisse planer un doute important sur la réalité des pratiques qui seront observées.
Par ailleurs, que devient le Judicial Redress Act (loi sur le recours juridictionnel), loi étendant aux citoyens de l’UE les avantages du Privacy Act (loi sur la protection de la vie privée) adopté par le Congrès américain le 24 février 2016 ? Ce texte permet aux citoyens européens de contester, sur le plan civil, la manière dont leurs données sont utilisées, notamment par les agences de renseignement américaines et d’obtenir des dommages et intérêts.
Or, l’on sait que le 25 janvier 2017, le président Trump a signé un décret relatif à la sécurité intérieure des États-Unis [20], texte dont la section 14 enjoint aux agences US, à condition que cela soit conforme aux lois applicables, de veiller à ce que leur politique en matière de respect de la vie privée exclut les non-citoyens américains et les personnes qui ne résident pas de manière permanente aux États-Unis.
En principe, le décret présidentiel soulignant la nécessité de respecter les lois applicables ne peut, à lui seul, remettre en cause le Judicial Redress Act, issu du Congrès. Ce qu’un décret présidentiel ne peut faire, l’Accord ne le peut davantage, l’un et l’autre traduisant toutefois un positionnement assez transparent, même s’il apparaît contra legem.
Un Accord qui n’évoque pas la notification des demandes aux responsables de traitement
Les dispositions de l’Accord n’abordent pas l’obligation de notifier (ou de permettre aux prestataires de le faire) les personnes visées par une demande de communication ou bien encore, les responsables des traitements dans lesquels se trouvent les informations demandées. Ceci contraste fortement, non seulement avec le projet de règlement européen (projet devenu « approche générale ») « relatif aux injonctions européennes de production et de conservation de preuves électronique en matière pénale » (ou e-evidence)[21], mais aussi avec les prises de positions du DOJ.
Pour ce dernier, « In general, as explained below, prosecutors should seek data directly from the enterprise, rather than its cloud-storage provider, if doing so will not compromise the investigation »[22]. De même, « Providers may notify account holders of searches pursuant to a U.S. court order under the Stored Communications Act unless an independent judge has issued a protective order »[23]. Enfin, les lignes directrices du DOJ en date du 19 octobre 2017[24] énoncent que le SCA (Stored Communication Act) « does not by default forbid a provider from notifying anyone ».
Là encore, le silence de l’Accord sur ce sujet est à noter.
Un Accord qui étend le périmètre des données concernées par des demandes de communication
Le périmètre des données concernées par l’Accord est considérable. L’article 1er, paragraphe 15, de ce dernier vise, dans la définition des « informations sur l’abonné », les « enregistrements de connexion téléphonique » et les « enregistrements des heures et durées des sessions »[25]. Cette emprise sur les conversations téléphoniques va à l’encontre d’un principe clairement énoncé par l’approche générale du règlement e-evidence : « Ce règlement ne réglemente que la collecte des données stockées […]. Il ne prévoit pas d’obligation générale de conservation des données et n’autorise pas non plus l’interception des données… » (considérant 19)[26]. On notera, malgré tout, que ce même Accord comporte des dispositions spécifiques relatives à la liberté d’expression (article 8, paragraphe 4) et qu’il fixe un principe de proportionnalité, en apparence stricte (article 5-3), les ordonnances ne devant être « rendues que si les mêmes renseignements ne peuvent raisonnablement être obtenus par une autre méthode moins envahissante ».
On se souviendra que la Cour de Justice de l’Union européenne (CJUE) [27] avait invalidé purement et simplement la directive sur la conservation des données et affirmé que « la circonstance que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est susceptible de générer dans l’esprit des personnes concernées, […] le sentiment que leur vie privée fait l’objet d’une surveillance constante[28] ».
On notera enfin que la Cour Suprême des États-Unis, par un arrêt Carpenter[29] du 22 juin 2018, a mis un terme à la géolocalisation des portables sans obtention préalable d’un mandat, visant à cette occasion le 4e amendement et affirmant que toute personne dispose d’une attente raisonnable en matière de vie privée concernant les informations générées par son téléphone mobile.
Un accord qui ménage le chiffrement des données…
du moins en apparence
Le Cloud Act est étranger au chiffrement. De ce point de vue, le DOJ est clair, le Cloud Act est « encryption-neutral » (White Paper FAQ 29)[30]. Les prestataires ne sont donc tenus, ni de déchiffrer les contenus qu’ils détiennent, ni d’ouvrir des portes dérobées. L’exposé des motifs de l’Accord ne déroge pas à ce principe clairement énoncé[31]. Tout serait donc pour le mieux, du moins en apparence.
Toutefois, on doit souligner que, concomitamment à l’Accord, une lettre ouverte conjointement signée par le Secrétaire d’État britannique à l’intérieur, le Secrétaire à la sécurité intérieure des États-Unis et le ministre australien de l’Intérieur a ouvertement critiqué le cryptage sur Facebook[32].
Certes, la juridicité d’une lettre ouverte est douteuse. Toutefois, on ne peut qu’être troublé par ce double langage laissant augurer que le Royaume-Uni puisse adopter un texte obligeant les prestataires à livrer leurs clés de chiffrement ou à déchiffrer eux-mêmes. Cette hypothèse n’est pas d’école, l’article 6-3 de l’Accord énonçant clairement la soumission des prestataires[33] à l’obligation de produire des données en réponse à une procédure judiciaire conforme à la loi de la partie émettrice. Au passage, il est piquant de constater que, de ce point de vue, cet Accord laisse les mains libres aux états signataires sur ce sujet sensible.
La sécurité juridique exige un minimum de cohérence sur cette question.
Un Accord qui vise l’indépendance du juge, mais de qui parle-t-on ?
L’article 5-2 de l’Accord exige que les ordonnances soient rendues par « a court, judge, magistrate, or other independent authority », l’exigence d’indépendance étant également prévue par l’approche générale de règlement e-evidence[34]. À cet égard, dans son projet de rapport, la rapporteure du texte devant le Parlement européen souhaite insister sur cette exigence d’indépendance en la mentionnant dans l’article 3-a du projet texte[35] par la référence à « un juge, une juridiction, un juge d’instruction ou un procureur indépendant compétents dans l’affaire concernée ».
On notera que le Comité européen à la protection des données, lequel remplace le G29, rappelle[36] que la notion de « juridiction » est une notion autonome du droit communautaire et que la CJUE veille au respect du critère d’indépendance[37]. La CJUE a notamment souligné dans son arrêt du 6 octobre 2015 qu’un tribunal « […] exerce ses fonctions en toute autonomie, sans être soumis à aucun lien hiérarchique ou de subordination à l’égard de quiconque et sans recevoir d’ordres ou d’instructions de quelque origine que ce soit »[38]. Par ailleurs, ce même tribunal doit être protégé contre les pressions extérieures susceptibles de menacer l’indépendance de membres[39].
Cette indépendance fait l’objet d’une surveillance accrue de la CJUE, laquelle estime notamment que les parquets allemands n’offrent pas une garantie d’indépendance suffisante par rapport au pouvoir exécutif pour pouvoir émettre un mandat d’arrêt européen[40]. Cette vigilance est également partagée par la CEDH[41].
La question qui va immanquablement se poser est celle de l’appréciation qui sera faite de ce qu’est un juge, une cour ou une « autorité indépendante », la référence à la notion d’« autorité » entretenant des doutes sur le fait que puissent être éventuellement concernées des entités ou agences étrangères à la sphère judiciaire.
En tout état de cause, cette question sera au centre des préoccupations des négociations en vue de la conclusion d’un accord entre l’Union européenne et les États-Unis sur l’accès transfrontière aux preuves électroniques pour la coopération judiciaire en matière pénale[42].
Il convient maintenant d’attendre que le Congrès examine cet Accord qui deviendra alors une source d’inspiration pour celui qui doit intervenir entre l’Union européenne et les États-Unis. Gageons que les questions liées à la protection des données personnelles occupent une portion moins congrue dans le texte européen.
[1] [1] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/238249/8259.pdf.
[2] https://www.eff.org/deeplinks/2019/10/race-bottom-privacy-protection-us-uk-deal-would-trample-cross-border-privacy.
[3] § 2713. « Required preservation and disclosure of communications and records » : « A provider of electronic communication service to the public or remote computing service, […] may file a motion to modify or quash the legal process where the provider reasonably believes : (i) that the customer or subscriber is not a United States person and does not reside in the United States ; and “(ii) that the required disclosure would create a material risk that the provider would violate the laws of a qualifying foreign government. »
[4] Cloud Act, Sec. 6.
[5] Cloud Act, section 3, b.
[6] https://data.consilium.europa.eu/doc/document/ST-9666-2019-INIT/en/pdf. Mandat en vue de conclure un accord entre l’Union européenne et les États-Unis d’Amérique sur l’accès transfrontière aux preuves électroniques à des fins de coopération judiciaire en matière pénale.
[7] https://www.parliament.uk/business/publications/written-questions-answers-statements/written-statement/Lords/2016-02-04/HLWS500/. On soulignera qu’était visé l’article 43a, devenu par la suite 48.
[8] https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ:C:2012:326:TOC.
[9] « Transferts ou divulgations non autorisés par le droit de l’Union ».
[10] https://edpb.europa.eu/our-work-tools/our-documents/letters/epdb-edps-joint-response-libe-committee-impact-us-cloud-act_fr.
[11] Autorité de contrôle indépendante ayant pour mission de veiller à ce que les institutions et organes de l’UE respectent le droit à la vie privée et à la protection des données lorsqu’ils traitent des données à caractère personnel.
[12] Department of Justice, « The Cloud Act thus represents a new paradigm », White Paper, April 2019, sp. « introduction » et « Frequently Asked Questions – 1 : What was the purpose of the Cloud Act? » : www.justice.gov/CLOUDAct.
[13] Ibid, question, p. 5 : « Cloud Act agreements will reduce the burden on the MLAT system ». Le DOJ précise à cet égard que le Cloud Act permettra d’aplanir les conflits de lois « without fear of a conflict between the two parties’ laws ».
[14] White Paper, p. 3.
[15] DOJ White Paper, p. 5.
[16] « Both the United States and any partner in a Cloud Act Agreement would agree to remove legal restrictions to providers compliance with orders issued under the agreement in circumstances both countries find appropriate » (DOJ White Paper, FAQ § 4).
[17] Article 16 du projet de règlement du 30 novembre 2018 devenue « Approche générale ».
[18] http://www.europarl.europa.eu/doceo/document/LIBE-PR-642987_FR.pdf.
[19] http://www.legislation.gov.uk/ukpga/2018/12/contents/enacted.
[20] « Executive order on Enhancing Public Safety in the Interior of the United States » : https://www.whitehouse.gov/presidential-actions/executive-order-enhancing-public-safety-interior-united-states/.
[21] Ce principe est énoncé à la fois dans la version du la proposition de la Commission européenne du 17 avril 2018 et dans l’approche générale Conseil du 30 novembre 2018, cf. article 11-1 : « Confidentialité et information de l’utilisateur ». L’information de la personne dont les données sont requises n’est de mise uniquement si « expicitly requested by the issuing authority » : http://data.consilium.europa.eu/doc/document/ST-15020-2018-INIT/en/pdf.
[22] DOJ Directive interne p. 1, 1er § – Seeking Enterprise Customer Data Held by Cloud Service Providers Computer Crime and Intellectual Property Section, Criminal Division U.S. Department of Justice, December 2017.
[23] DOJ White paper Q&A 28.
[24] https://www.documentcloud.org/documents/4116081-Policy-Regarding-Applications-for-Protective.html.
[25] « Telephone connection records » et « Records of session times and durations ».
[26] Ce considérant 19 est présent à la fois dans la proposition initiale de la Commission européenne et l’approche générale du Conseil du 30 novembre 2019.
[27] CJUE, Grande Chambre, 8 avril 2014, Digital Rights Ireland Ltd & Michael Seitlinger e.a., affaires jointes C-293/12 & C-594/12. Chron. M. Aubert, E. Broussy et H. Cassagnabère, D. 2014, 1355, note C. Castets-Renard, ibid. 2317, obs. J. Larrieu, C. C. Le Stanc et P. Tréfigny.
[28] Ibid., § 37.
[29] Supreme Court of the United States, Carpenter v. United States, No. 16-402, 585 U.S. (2018).
[30] « It [le Cloud Act] does not create any new authority for law enforcement to compel service providers to decrypt communications. Neither does it prevent service providers from assisting in such decryption, or prevent countries from addressing decryption requirements in their own domestic laws » – Idem pour les accord bilatéraux accords bilatéraux (White Paper, p. 5).
[31] § 17. « The Agreement does not compel the CSP to remove encryption and is encryption neutral » : https://www.gov.uk/government/publications/ukusa-agreement-on-access-to-electronic-data-for-the-purpose-of-countering-serious-crime-cs-usa-no62019?utm_source=b4d391f0-3d36-4077-8793-d5b2b06944c1&utm_medium=email&utm_campaign=govuk-notifications&utm_content=immediate.
[32] https://cdt.org/files/2019/10/US-UK-Australia-letter-to-Zuckerberg-10-4-19.pdf : « Nous demandons par la présente que Facebook ne mette pas en œuvre son plan de mise en œuvre du chiffrement de bout en bout de ses services de messagerie sans s’assurer qu’il n’y a aucune réduction de la sécurité des utilisateurs et sans inclure un moyen d’accès légal au contenu des communications pour protéger nos citoyens. »
[33] . « This Agreement does not in any way restrict or eliminate any legal obligation Covered Providers have to produce data in response to Legal Process issued pursuant to the law of the Issuing Party ».
[34] Article 4-2 – « A European Production Order for transactional and content data may be issued only by : (a) a judge, a court or an investigating judge competent in the case concerned ; or - (b) any other competent authority as defined by the issuing State which, in the specific case, is acting in its capacity as an investigating authority in criminal proceedings with competence to order the gathering of evidence in accordance with national law. Such European Production Order shall be validated, after examination of its conformity with the conditions for issuing a European Production Order under this Regulation, by a judge, a court or an investigating judge in the issuing State. »
[35] Page 75 du rapport sur la proposition de règlement du Parlement européen et du Conseil relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale (COM(2018)0225 – C8-0155/2018 – 2018/0108(COD)) : http://www.europarl.europa.eu/doceo/document/LIBE-PR-642987_FR.pdf.
[36] Opinion 23/2018 on Commission proposals on European Production and Preservation Orders for electronic evidence in criminal matters (Art. 70.1.b) - Adopted on 26 September 2018, spéc. p. 14.
[37] CJUE 6 octobre 2015, aff. C-203/14.
[38] Cf. arrêt Torresi, C-58/13 et C-59/13, EU:C:2014:2088, point 22.
[39] Arrêts de la CJUE, Wilson, C-506/04, EU:C:2006:587, point 51, et TDC, C-222/13, EU :2014:2265, point 30.
[40] Arrêts de la CJUE dans les affaires jointes C-508/18 OG (parquet de Lübeck) et C-82/19 PPU PI (parquet de Zwickau) ainsi que dans l’affaire C-509/18 PF (procureur général de Lituanie).
[41] Arrêt Mme Moulin c/ France du 23 novembre 2010 confirmant un arrêt Medvedyev c/ France du 29 mars 2010 relative à l’absence de statut d’« autorité judiciaire » du Procureur de la République. Sous le visa de l’article 5 § 3 de la Convention la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
[42] Décision du Conseil du 5 février 2019 autorisant l’ouverture de négociations en vue de la conclusion d’un accord entre l’Union européenne et les États-Unis d’Amérique sur l’accès transfrontière aux preuves électroniques à des fins de coopération judiciaire en matière pénale (COM 2019 – 70 final) et addendum à cet accord : https://data.consilium.europa.eu/doc/document/ST-9666-2019-INIT/en/pdf.
