Adopté en mars 2018, le Cloud Act permet aux autorités américaines d’obtenir des données stockées par des entreprises américaines en dehors des États-Unis, dans le cadre d’enquêtes judiciaires criminelles. La Commission européenne a publié en avril 2018 le paquet « e-evidence », sous forme d’une proposition d’une directive et d’un règlement qui permettent d’envisager une réciprocité dans la collecte d’information.
Adopté le 23 mars 2018, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale des États-Unis amendant la loi Stored Communications Act (SCA) de 1986[1]. Le Cloud Act permet aux autorités américaines, s’agissant d’enquêtes judiciaires criminelles, d’obtenir des données stockées par des entreprises américaines[2] en dehors des États-Unis, sans avoir recours à des Traités d’entraide judiciaire (TEJ).
I. Périmètre d’application du Cloud Act
Les données demandées doivent concerner des « US persons »[3], c’est-à-dire des citoyens ou ressortissants des États-Unis, des étrangers légalement admis en tant que résident permanent, ou encore des sociétés incorporées aux États-Unis. On doit toutefois souligner que des « non US persons » peuvent être visées par des demandes.
Dans ce cas, c’est au prestataire d’élever une contestation dans un délai de 14 jours de la réception de la demande[4] s’il remplit deux conditions cumulatives : la divulgation des données reviendrait à enfreindre les lois[5] d’un gouvernement étranger « qualifié »[6] et la personne visée n’est pas une « US person » et ne réside pas États-Unis. Cependant, pour être un gouvernement étranger « qualifié », il faut avoir conclu au préalable un accord bilatéral avec les États-Unis qui encadre les demandes d’accès directes des autorités américaines et de permettre la réciprocité.
On soulignera, le Cloud Act permet la conclusion d’accords bilatéraux entre les États-Unis et des États étrangers afin d’encadrer les demandes d’accès directes des autorités américaines et de permettre la réciprocité. Ces accords ne conditionnent pas l’entrée en vigueur du Cloud Act, mais ils sont toutefois une condition de recevabilité des recours des prestataires.
On notera que le 5 février 2019, sous l’impulsion du Conseil, la Commission européenne a publié une recommandation[7], afin qu’elle soit autorisée à négocier, au nom de l’Union, un accord avec les États-Unis sur l’accès transfrontalier des autorités judiciaires aux preuves électroniques. Les négociations porteront sur l’accès en temps utile aux preuves électroniques, la résolution des différends juridiques notamment en clarifiant les obligations juridiques et en garantissant des droits réciproques à toutes les parties et, enfin, l’existence de garanties solides en ce qui concerne la protection des données et de la vie privée, des droits fondamentaux, notamment au regard des principes de nécessité et de proportionnalité.
II. Quelles réponses de la France et de l’Europe ?
1. La France
La préoccupation des pouvoirs publics au sujet de l’extraterritorialité de la législation américaine est réelle[8], autant que celle des ministères de l’Intérieur de l’Économie et des Finances. En 2017, le ministère de l’Intérieur[9] alertait déjà sur la portée extraterritoriale de certaines législations et préconisait de « préférer des prestataires français, ou à défaut européens, dont les serveurs sont situés dans l’Hexagone ou dans un pays membre de l’Union européenne ». Cette recommandation a été formulée à nouveau par le ministère de l’Économie, notamment dans le cadre de la stratégie cloud de la France[10] et l’opportunité de créer un cloud hébergeant les données des autorités françaises. À ce jour, la CNIL ne s’est pas prononcée sur la question de la cohabitation du Cloud Act avec les principes du RGPD. Toutefois, seule une réponse concertée au niveau européen semble être à la mesure des enjeux.
2. L’Europe : proposition d’un Paquet « e-evidence » par la Commission européenne
Le 17 avril 2018, la Commission européenne a publié un paquet de mesures destinées à permettre aux autorités policières et judiciaires d’obtenir plus rapidement les preuves électroniques détenues par des prestataires de services établis dans un autre État membre ou en dehors de l’Union européenne.
Le Paquet « e-evidence » contient ainsi deux mesures complémentaires, sous la forme d’une directive et d’un règlement. Deux remarques s’imposent. Tout d’abord, à ce jour, aucun calendrier n’a été annoncé par le Parlement européen[11], bien que la Présidence autrichienne ait affirmé que l’adoption de ces propositions soit une priorité[12]. Par ailleurs, si ces propositions permettent d’envisager une réciprocité dans la collecte d’information, elles n’apportent aucune réponse, en termes de protection, s’agissant des demandes présentées sous l’égide du Cloud Act.
2.1. La proposition de directive sur la désignation des représentants légaux
La proposition Directive[13] a pour objet d’établir des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale[14]. Cette harmonisation devrait se traduire par la désignation d’un représentant légal dans l’Union en charge d’assurer la réception et l’exécution des décisions et injonctions émises par les autorités compétentes des États membres. Seraient concernés les fournisseurs de services de communications électroniques (traditionnels et les nouveaux services basés sur l’internet comme les messageries instantanées, et les services de messagerie électronique), les prestataires de services détenant des données pour les besoins de la prestation qu’ils fournissent (réseaux sociaux, marketplaces), les prestataires de services d’hébergement et, enfin, les fournisseurs de noms de domaine ou de services d’adressage[15]. On notera que le texte exige un lien suffisant entre le prestataire et l’Union européenne[16].
2.2. Proposition de règlement[17] relatif aux injonctions européennes de production et de conservation
Cette proposition de règlement a pour but de créer des injonctions européennes de production et de conservation des preuves électroniques.
L’injonction européenne de production permettra à une autorité judiciaire d’un État membre de demander des preuves électroniques directement auprès d’un prestataire[18] offrant des services[19] dans l’Union, indépendamment de la localisation des données. L’injonction européenne de conservation permettra quant à elle à une autorité judiciaire d’un État membre de contraindre le prestataire à conserver certaines données afin que ladite autorité puisse en demander communication ultérieurement, par voie d’entraide judiciaire ou au moyen d’une décision d’enquête européenne ou d’une injonction européenne de production.
Ces deux injonctions devront être émises ou validées par une autorité judiciaire d’un État membre pour obtenir des données qui devront servir de preuves dans le cadre d’enquêtes judiciaires ou de procédures pénales[20]. Dans le cas d’une injonction de production, les données doivent être transmises directement aux autorités de l’État membre[21] qui émet la demande sans passer par les autorités de l’État membre où est établi le fournisseur de services. Les prestataires concernés[22] sont les mêmes que pour la proposition de Directive sur la désignation de représentant légal.
Les données visées[23] sont catégorisées selon qu’il s’agisse de données « hors contenus », c’est-à-dire les données relatives à l’accès[24], les données relatives aux abonnés[25] et les données relatives aux transactions[26] et, d’autre part, les données de contenus.
Les droits des personnes concernées[27] comprennent, la possibilité de contester la légalité, la nécessité ou bien encore, la proportionnalité de l’injonction. Les personnes dont les données sont requises sont informées par l’autorité d’émission de l’existence d’une injonction européenne de production et des recours dont elles disposent. Néanmoins, il convient de noter que ces possibilités de recours ne concernent que l’injonction européenne de production. Aucun recours n’existe pour l’injonction européenne de conservation.
Pour ce qui concerne le prestataire, pour qu’une injonction soit valide, il faudra la confronter au droit de l’État membre destinataire, notamment si les données requises ou les fournisseurs de services sont protégés par une immunité[28] dans l’État concerné. Il conviendra également de tenir compte des éventuelles conséquences sur les intérêts fondamentaux de l’État membre comme la sécurité nationale et la défense, mais aussi de tenir compte de la nécessité de protéger les droits fondamentaux des individus. Ainsi, la proposition de règlement prévoit une procédure de réexamen de l’injonction européenne de production si celle-ci entraînait une violation d’une ou plusieurs lois d’un pays tiers pour l’un des motifs exprimé précédemment[29].
Concernant la procédure[30], les injonctions doivent faire figurer des informations précises pour que le fournisseur de services identifie et produise les données requises, ainsi qu’un raisonnement motivé sur la nécessité de la mesure. Les injonctions sont mises en œuvre au moyen d’un certificat d’injonction européenne de production (EPOC) ou de conservation (EPOC-PR) qui contiennent toutes les informations nécessaires, sauf le plein raisonnement sur la nécessité de la mesure. Ce sont les destinataires (représentants légaux des fournisseurs de services) qui reçoivent ces certificats et veillent à ce que les données soient transmises. En cas de non-respect de ces injonctions, la proposition met en place des mécanismes d’assistance entre États membres[31].
Les États membres fixeront des sanctions[32] pécuniaires effectives, proportionnées et dissuasives qui pourraient être imposées aux prestataires.
La question de principe que pose tout ceci est de savoir si la réponse à une situation clairement issue d’un rapport de force économique peut trouver sa solution dans des instruments juridiques. Il ne faut toutefois pas désespérer de l’effet « soft power » que peut représenter une réglementation telle que celle du RGPD, ce dernier semblant être en passe de devenir un standard international de protection des données, alors même que l’Europe ne dispose d’aucun mastodonte dans le domaine de la data.
[1] La SCA a été codifiée au Chapitre 18 du US Code traitant notamment de la divulgation de communications sur support électronique détenues par des fournisseurs de services.
[2] Sont visés des fournisseurs de services de communications électroniques (les opérateurs de communications électroniques et les fournisseurs d’un accès à un service de communication) mais aussi les prestataires d’informatique en nuage et les fournisseurs d’accès à un service informatique à distance.
[3] Cloud Act § 2523. Executive agreements on access to data by foreign governments – (a) DEFINITIONS. Voir Tableau.
[4] Cloud Act § 2713 (h) (2) (A) al. 2.
[5] Le risque auquel s’expose le prestataire qui, se pliant au Cloud Act, violerait le droit local, ne doit pas être uniquement théorique. Il faut envisager la probabilité de sanctions importantes.
[6] « Qualifying Foreign Government » (QFG).
[7] http://europa.eu/rapid/press-release_IP-19-843_fr.htm.
[8] Rapport d’information fait au nom de la Commission des affaires européennes sur l’extraterritorialité des sanctions américaines, Par M. Philippe Bonnecarrère, 4 octobre 2018 ; Rapport par la Commission des affaires étrangères et la Commission des finances en conclusion des travaux d’une mission d’information constituée le 3 février 2016 sur l’extraterritorialité de la législation américaine, rapporteure Mme Karine Berger et enfin le 11 juillet 2018, le député Raphaël Gauvain, conjointement avec Christophe-André Frassa, a été missionné par le Premier ministre au sujet de la « loi de blocage » et les conséquences de la promulgation du Cloud Act.
[9] Flash ingérence économique : https://www.economie.gouv.fr/files/dgsi-special-cybersecurite.pdf page 17.
[10] Annoncée le 3 juillet 2018 par Mounir Mahjoubi. Cette stratégie s’appuie sur le développement de trois solutions « cloud » en fonction des usages et de la sensibilité des données avec un « cloud interne », hébergé par l’administration pour des données sensibles, un « cloud dédié » pour des données de sensibilité moindre, et un « cloud externe ».
[11] La Commission parlementaire saisie au fond est « libertés civiles, justice et affaires intérieures » (LIBE).
[12] La Présidence autrichienne a présenté une approche générale sur le Paquet lors de la réunion du Conseil « Justice et Affaires intérieures » des 6 et 7 décembre 2018 (document du Conseil : 10497/18). Par ailleurs, la Commission a également publié, le 23 octobre 2018, son programme de travail pour 2019. Les propositions de textes « e-evidence » sont listées dans l’annexe III « Les propositions prioritaires en attente » COM(2018) 800 final.
[13] Proposition de directive établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale COM/2018/226 final - 2018/0107 (COD).
[14] Peu importe si le prestataire est établi dans l’Union européenne s’il fournit des services dans un État membre.
[15] Il s’agit ici des « prestataires de services » visés par le texte et définis à l’article 2 § 2 de la proposition de directive
[16] Selon l’article 2 § 3, et le considérant 13 de la proposition de directive, l’existence de ce lien suffisant ou « lien étroit » correspond non seulement au fait que des utilisateurs aient accès au service dans l’État membre mais aussi l’existence d’un ciblage des activités du prestataire sur cet État membre. Ce ciblage est établi sur la base d’un ensemble de circonstances pertinentes (l’utilisation de la langue, de la devise de l’État membre, ou la possibilité de commander des biens et services)
[17] Proposition de règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale COM/2018/225 final - 2018/0108 (COD).
[18] Selon l’article 7 sur les destinataires des injonctions, elles sont directement adressées au représentant légal désigné par le fournisseur de services (dans les conditions définies par la proposition de directive)
[19] Le projet d’approche générale du Conseil du 30 novembre 2018 (15020/18), approuvée par les ministres européens de la Justice le vendredi 7 décembre 2018, exclut du champ d’application du règlement les services financiers visés à l’article 2, paragraphe 2, point b), de la directive 2006/123/CE. Cette précision apparaît à l’article 2 paragraphe 3 qui définit un fournisseur de service. Cette exclusion des services financiers du périmètre n’est cependant pas définitive puisqu’elle devra être également approuvée par le Parlement européen et la Commission lors des discussions en trilogue.
[20] L’article 4 revient sur les autorités compétentes pour émettre des injonctions européennes de production et de conservation. Ensuite, les articles 5 et 6 reviennent en détail sur les conditions d’émission générales des deux injonctions
[21] Article 9 § 1 de la proposition de règlement.
[22] La définition de fournisseur de services est la même que pour la proposition de directive. Cf. article 2 § 3 de la proposition de règlement.
[23] Ces données sont définies dans l’article 2 paragraphes 7, 8, 9 et 10 de la proposition de règlement.
[24] Données relatives au début et à la fin d’une session d’accès utilisateur à un service, y compris l’adresse IP, les données sur l’interface utilisée par l’utilisateur, l’identifiant de l’utilisateur, et les métadonnées de communications électroniques.
[25] Données relatives à l’identité d’un client telles que le nom, la date de naissance, l’adresse postale, les données de paiement ; ainsi que les données sur le type de service, et sa durée.
[26] Données qui servent à fournir des informations contextuelles ou supplémentaires sur le service, dont la source et la destination d’un message, les données sur l’emplacement du dispositif, la date, l’heure, le routage, le format, les métadonnées de communications électroniques
[27] L’article 17 de la proposition de règlement revient sur les recours possibles des personnes qui sont directement suspectées et accusées mais aussi pour les personnes dont les données ont été obtenues mais qui ne sont ni suspectées, ni accusées.
[28] L’article 18 de la proposition de règlement revient sur la garantie des privilèges et des immunités.
[29] L’article 15 de la proposition de règlement décrit cette procédure de réexamen en cas d’obligations contradictoires basées sur les droits fondamentaux ou les intérêts fondamentaux d’un pays tiers. À l’article 16, il est également prévu une procédure de réexamen en cas d’obligations contradictoires basées sur d’autres motifs que ceux visés par l’article 15.
[30] La procédure de mise en œuvre est décrite à l’article 8 de la proposition de règlement qui porte sur les certificats des injonctions européennes de production et de conservation. Les informations concernant leur exécution sont décrites aux articles 9 et 10.
[31] Article 14 de la proposition de règlement.
[32] Article 13 de la proposition de règlement.
