Si les États-Unis dominent largement le marché du cloud [1], il semble opportun de s’intéresser à l’environnement législatif applicable en matière de collectes d’informations, tant pour des motifs de sécurité nationale, que de recherches de preuves judiciaires.
Notons que de telles législations ne sont pas l’apanage des Etats-Unis, des règles analogues existent dans d’autres pays dont notamment la France[2]. L’examen du droit US est toutefois particulièrement intéressant, non seulement à raison de la portée largement extraterritoriale de ce dernier, mais aussi à raison du poids économique des entités qui y sont soumises. Il faudra sans doute prêter attention, dans les mois et années qui viennent, aux règles applicables au marché chinois du cloud. En effet, au deuxième trimestre de l’année 2020, la Chine est arrivée en deuxième position du marché du cloud mondial avec une part de marché de 12 %[3], sachant que la croissance du marché chinois est plus de deux fois supérieure à la croissance mondiale du marché du cloud sur la même période.
Nous nous bornerons à rappeler en préambule que la CJUE[4] estime que s’il est permis aux États membres de limiter, au regard des finalités qu’ils prévoient et au moyen de mesures législatives, la portée des obligations et des droits visés par la directive 2002/58[5], une telle limitation doit respecter « […] L’essence des libertés et droits fondamentaux » et doit constituer une « mesure nécessaire et proportionnée dans une société démocratique pour garantir » la finalité poursuivie[6]. La sécurité nationale est un motif légitime, mais qui, à soi seul, ne peut tout autoriser.
Les tensions que crée la réglementation américaine avec le principe ci-dessus ayant été examinées au titre de l’examen des conséquences de l’arrêt Schrems II[7], il nous reste porter notre attention sur le droit américain à travers de quelques exemples. Nous distinguerons le droit applicable à la collecte de données aux fins d’activités de renseignement (I.), de celui applicable à la collecte de données dans le cadre de procédures judiciaires (II.).
I. Activités de renseignement : une pluralité d’outils législatifs et réglementaires américains au service d’un accès facilité aux données personnelles
Aux États-Unis, les règles applicables aux activités de renseignement sont issues de la loi sur la surveillance du renseignement étranger (FISA) de 1978 (1.), la section 215 du Patriot Act de 2001 réformée par le Freedom Act(2.), l’executive border 12-333 de 1981 et modifiée en 2004 et 2008 (3.). En sein de l’Union européenne, chaque État dispose également de ses propres instruments législatifs en matière de renseignement.
1. Loi sur la surveillance du renseignement étranger (FISA) de 1978
Le FISA Act étant abordé par ailleurs dans le présent hors-série[8], nous nous bornerons à en rappeler rapidement les contours. Le Foreign Intelligence Surveillance Act (FISA[9]) est une loi votée en 1978[10], et amendée en 2008, décrivant les procédures de surveillance, notamment électroniques, permettant aux services de renseignement, la collecte d’information hors des États-Unis. Cette mise sous surveillance de non-Américains peut avoir lieu pour une durée d’un an renouvelable, sur décision conjointe de l’Attorney General et du Director of National Intelligence (Section 1881). À l’occasion de cette surveillance, les fournisseurs de service peuvent être sollicités sur ce fondement pour donner accès à des données et métadonnées.
À ce titre, les autorités peuvent obtenir des commissions rogatoires ou « physical search order » de la part de la Foreign Intelligence Surveillance Court (FISC[11]) pour accéder à des courriels et, plus largement, à des données personnelles, ainsi que présenter des demandes de surveillance à l’égard de personnes situées en dehors des États-Unis (section 702 de FISA[12]). Les injonctions émises peuvent s’accompagner d’une interdiction (gag order) à leurs destinataires, potentiellement des prestataires de cloud, de prévenir leurs clients qu’ils ont communiqué ou transféré des données les concernant, eux-mêmes ou leurs clients.
Le FISA semble s’affranchir des limites qui devraient être posées à une surveillance constante et à grande échelle. En 2012, le Parlement européen soulignait : « § 1881a of FISAA for the first time created a power of mass-surveillance specifically targeted at the data of non-US persons located outside the US, which applies to Cloud computing »[13]. Ce rapport soulignait que, sur le fondement de FISA et de ses amendements de 2008 (FISA Amendments Act of 2008), les États-Unis avaient fondé une doctrine de collecte tous azimuts des données (« a doctrine of indiscriminate collection, which only seeks to control subsequent access »)[14] et que la construction par la NSA de centres de stockage et d’analyse des données a désormais atteint une échelle sans précédent (« unprecedented scale »). Ce constat n’est que renforcé par le constat que les garanties dont jouissent les citoyens américains, dont notamment le quatrième amendement, ne s’appliquent pas aux « non US persons ».
Le FISA marque une escalade dans la collecte des renseignements en dehors des États-Unis, puisqu’« Avant la promulgation de la FISA […] la communauté du renseignement traitait les personnes non américaines situées à l’étranger comme les personnes aux États-Unis, même si les étrangers en dehors des États-Unis ne sont généralement pas qui ont droit aux protections du quatrième amendement »[15].
Les moyens de lutte contre ces risques d’intrusion sont limités, tout comme le sont, de façon générale, les collectes de données menées par les services de renseignement des différents pays du monde.
2. La section 215 du PATRIOT Act de 2001 et la lutte contre le terrorisme
Le Uniting and Strengthening American by Providing Appropriate Tools Required to Intercept an Obstruct terrorism Act [16] ou son acronyme USA PATRIOT Act a été adopté par le Congrès des États-Unis le 26 octobre 2001 en réponse à « l’Axe du mal »[17]. Dans le contexte des attentats du 11 septembre 2001, la section 215 (Enhanced Surveillance Procedure) de cette loi précise que « le directeur du FBI ou une personne désignée par le directeur (dont le rang ne doit pas être inférieur à celui de responsable spécial adjoint) peut, par le biais d’une ordonnance, exiger la production de toute chose tangible (y compris les livres, des dossiers, des papiers, des documents et tout autre élément) dans le cadre d’une enquête contre le terrorisme ou l’espionnage international ».
Cette section 215, largement décriée y compris aux États-Unis à raison de son usage par trop extensif et non pertinent[18], a été abrogée par le Freedom Act [19] voté le 2 juin 2015. Aux termes de ce texte, les agences de renseignement conserveraient la possibilité d’accéder à des données en temps réel, mais selon des « critères spécifiques »[20] liés au terrorisme, visant des individus, des comptes ou des terminaux uniques. Le titre I (section 101) du texte vise le BFI en demandant que les demandes relatives à une enquête comportent divers justificatifs. Ces demandes doivent inclure un exposé des faits montrant, d’une part des « motifs raisonnables » de croire que les relevés dont la production est demandée sur la base d’une « sélection spécifique » sont pertinents pour cette enquête et, démontrant d’autre part une suspicion raisonnable d’association à une puissance étrangère ou à un agent d’une puissance étrangère.
Le titre III du Freedom Act concerne « les acquisitions ciblant des personnes en dehors des États-Unis » et prévoit un principe de minimisation de la collecte des communications qui entrent et sortent des États-Unis et que la NSA peut continuer à surveiller.
D’une part, l’Attorney General et le directeur du renseignement national doivent réduire au minimum l’acquisition, et interdire la conservation et la diffusion de toute communication dont l’expéditeur et tous les destinataires sont déterminés comme étant situés aux États-Unis au moment de l’acquisition. D’autre part, est prévue une interdiction d’utilisation de toute communication provenant de, ou concernant la cible d’une acquisition et qui est destinée à, ou provenant d’une personne américaine identifiable, ou d’une personne dont on peut raisonnablement penser qu’elle se trouve aux États-Unis, sauf pour se protéger contre une menace immédiate à la vie humaine.
Le Freedom Act apparaît essentiellement comme une réforme à usage interne, destinée à protéger les citoyens américains des intrusions de leurs propres services de renseignement dans leur vie privée, sans réel impact quant aux données concernant les données relatives à des non-Américains.
3. L’executive order 12333
L’executive order 12333 [21] intitulé « United States Intelligence Activities » (EO 12333) a été signé par le président Ronald Reagan le 4 décembre 1981. Ce document énonce les principes et les priorités en matière de collecte de renseignements non couverts par le FISA, en précisant notamment les circonstances dans lesquelles les agences de renseignement américaines peuvent se livrer à des activités en dehors des États-Unis.
L’EO 12333 autorise les services de renseignement à « collecter, conserver ou diffuser » un un large éventail d’informations, sous réserve de procédures à établir par chaque agence et approuvées par le Procureur général après consultation du directeur du renseignement national[22]. Ce texte vise expressément[23] le renforcement des techniques de collecte notamment celles qui sont entreprises à l’étranger (« especially those undertaken abroad »), et l’acquisition de renseignements étrangers importants.
Deux remarques s’imposent. D’une part, les protections envisagées par l’EO 12333 concernent essentiellement les US persons. À l’occasion d’une présentation destinée au Congrès[24] sur les changements apportés en juillet 2008 à l’EO 12333, il est rappelé que la section 1.1 (b) modifiée comprend, pour le gouvernement « […] une obligation solennelle, et doit continuer dans la conduite des activités de renseignement en vertu de la présente ordonnance, de protéger pleinement les droits légaux de toutes les personnes des États-Unis, y compris les libertés, les libertés civiles et les droits à la vie privée garantis par la loi fédérale. » La seconde remarque est que ce texte donne lui-même lieu à des documents d’application telle que la directive SP0018[25], mise à jour en 2011 et déclassifiée la même année.
L’EO 12333 a été modifié à trois reprises depuis 1981 : le 23 janvier 2003 par l’executive order 13284 [26], puis par l’executive order 13555 du 27 août 2004[27] dédié à la « Gestion renforcée de la communauté du renseignement » et, enfin, le 30 juillet 2008 par l’executive order 13470[28] destiné à renforcer le rôle du directeur du renseignement national. Il a été à la source de divers programmes de surveillance ayant eu les honneurs de la presse, tels que XKeyscore[29], Prism[30] mais aussi MUSCULAR[31] s’agissant de l’interception des échanges sur internet.
Dans son premier rapport annuel du 18 octobre 2017 sur le fonctionnement du Privacy Shield, la Commission[32] a demandé des clarifications supplémentaires auprès des autorités américaines au sujet de ce texte, et particulièrement sur sa pertinence dans le cadre du Privacy Shield. Le G29 [33] , dans son document « EU – U.S. Privacy Shield – First annual Joint Review » évoque la fin de non-recevoir opposée par les autorités US sur ce sujet, ces dernières estimant que « l’EO 12333 ne pourrait pas être utilisé comme fondement d’une collecte de données à l’intérieur du territoire des États-Unis et qu’ils considéraient que la collecte permise par ce texte ne rentrait pas dans le champ du Privacy Shield ».
On soulignera que le Conseil d’État, dans sa décision relative au Data Health Hub[34] du 19 juin 2020, a jugé en référé – c’est-à-dire sans trancher le principal et en se prononçant dans les meilleurs délais[35] – que « la circonstance que cette société [Microsoft] relève du droit américain et puisse être amenée, pour les opérations d’administration de la solution technique qu’elle propose, à transférer des données aux États-Unis, ne peut être regardée […] comme portant une atteinte grave et manifestement illégale aux libertés fondamentales ».
Si les requérants avaient notamment visé l’EO 12333 au titre des menaces potentielles, le Conseil d’État oppose l’existence du Privacy Shield (invalidé le 16 juillet 2020 par la CJUE[36]), des engagements contractuels spécifiques, des mesures organisationnelles et de sécurité particulières[37] dont trois opérations successives de pseudonymisation des données et surtout le fait que l’accès aux données permis par Microsoft concerne seulement « des données nécessaires aux opérations de maintenance ou de résolution d’incidents et non des données de santé sont concernées et que des mesures de contrôle interdisent tout accès aux employés de Microsoft sans l’accord de la Plateforme des données de santé ».
Cet exemple montre qu’au-delà des protections juridiques supposées, ce sont bien les procédures de sécurité, de pseudonymisation ou encore de minimisation des traitements qui sont invoquées afin de protéger les données contre les hypothèses d’accès par des entités étrangères.
II. Activités judiciaires : le CLOUD Act et les limites qui peuvent être opposées à la communication de données
Si le CLOUD Act bénéficie d’un champ d’application étendu, tant ratione loci que ratione materiae et ratione personae(1.), des limites peuvent lui être opposées dans le cadre d’actions judiciaires (2.). L’Europe, quant à elle, n’est pas en reste et dispose de moyens d’actions réciproques (3.).
1. La portée étendue du CLOUD Act
Le CLOUD Act [38], entré en vigueur deux mois avant que le RGPD ne devienne applicable, a pour ambition de simplifier et modifier la procédure d’accès aux informations qui nécessitaient un recours aux Mutual Legal Assistant Treaty (MLAT)[39] afin de permettre aux autorités américaines, dans le cadre d’enquêtes judiciaires criminelles, de demander des données directement à un fournisseur de services en ligne quel que soit le lieu où sont stockées ces données et sans passer par l’État étranger, ce qui rend inutile la conclusion d’un MLAT pour obtenir des données stockées en dehors des États-Unis. Contrairement à ce que son acronyme peut laisser supposer, ce texte ne vise pas que les prestataires de solutions cloud, mais bien tout hébergeur ou offreur de services de communication électronique.
Le CLOUD Act n’est pas le premier texte à promouvoir la coopération avec les États-Unis dans le domaine des enquêtes pénales. On citera notamment l’« Umbrella Agreement [40] » (l’accord parapluie) sur la coopération judiciaire dans ce domaine. Cet accord prévoit, entre autres choses, la limitation du traitement des données personnelles aux finalités que sont la prévention, la détection, la recherche et les poursuites judiciaires, une durée de conservation des données personnelles en fonction de la finalité du traitement, ainsi que la création d’un mécanisme d’information mutuelle sur les violations de sécurité. La conformité de ce dernier accord avec la Charte des droits fondamentaux de l’Union européenne[41] théoriquement applicable à « toute personne » sur le territoire de l’Union européenne, indépendamment de sa nationalité ou de son statut, était fortement questionnée dans la mesure où l’accord ne s’applique qu’aux ressortissants des parties audit accord.
Le CLOUD Act est apparu aux autorités américaines comme une nécessité à raison des limites de la procédure de droit commun, fondée sur le Stored Communications Act de 1986. Le fait déclencheur a été, en 2013, le refus de Microsoft de communiquer au FBI les emails, stockés en Irlande, d’une personne soupçonnée de trafic de stupéfiants – ce en quoi la Cour d’appel saisie lui a donné raison[42]. Le CLOUD Act est intervenu avant que la Cour Suprême ait pu trancher la question, précisément pour permettre cet accès.
Le § 2713 du Stored Communications Act, tel que modifié, cible dorénavant « […] tout enregistrement ou autre information concernant un client ou un abonné en sa possession, la garde ou le contrôle, que cette communication, cet enregistrement ou d’autres informations se trouvent à l’intérieur ou à l’extérieur des États-Unis »[43].
Le CLOUD Act a une portée extra-territoriale assumée. Pour le Department of Justice, ce texte est un instrument d’uniformisation des règles internationales de production des preuves, ce dernier évoquant à diverses reprises, dans un white paper intitulé « Promoting Public Safety, Privacy, and the Rule of Law Around the World : The Purpose and Impact of the CLOUD Act » [44] , la suppression des obstacles issus des législations nationales. Le DOJ estime également que : « Le CLOUD Act représente donc un nouveau paradigme : une approche efficace et protectrice de la vie privée à l’égard de la sécurité publique en améliorant l’accès efficace aux données électroniques dans le cadre des autorisations légales existantes »[45].
Ce texte revendique une vaste emprise rationae personae et materiae. S’agissant des entreprises concernées, le § 2713 du SCA vise les « providers of electronic communications services or remote computing services »[46] et les données qui sont en dehors des États-Unis et « in the custody, control, or possession of communications-service providers that are subject to jurisdiction of the United States ». Théoriquement, aucune limitation ne permet de restreindre son emprise aux seules entreprises américaines traitant ou hébergeant des données hors du territoire des États-Unis.
Les données visées correspondent aux données d’identification (nom, adresse, etc.) et surtout aux contenus des communications (« the content of any wire or electronic communication »). Le lieu géographique où elles sont stockées est indifférent.
S’agissant des crimes et délits concernés, le CLOUD Act entend protéger la « public safety » et combattre les « serious crime, including terrorism »[47]. On notera par ailleurs que, dans le reste du texte, la notion de « serious crime » n’apparaît plus que s’agissant des demandes de communication tournées vers les États-Unis[48]. Il s’ensuit que les autorités US pourraient adresser des demandes de communication au sujet d’infractions très variées, relevant de la notion floue « sécurité publique ».
Au travers des serious crimes, le CLOUD Act vise spécifiquement les « serious crime, including terrorism », ainsi que la notion de « threat of death or serious bodily harm to any person »[49]. La question qui se pose est celle du périmètre spécifique de ces serious crimes. L’article 37 du United States Code of Federal Regulations en donne la définition suivante : « Any criminal offense classified as a felony [50] under the laws of the United States, any state or any foreign country where the crime occurred. » Cette énumération permet d’englober un nombre considérable d’infractions et ne permet pas d’avoir une vision claire du champ d’application du CLOUD Act.
En ce qui concerne les personnes dont les données peuvent être collectées, en principe, seules les « US persons » sont visées. Dans les faits, la situation est plus complexe. Tout d’abord, toutes les personnes, et pas uniquement les « US persons » telles que définies par le CLOUD Act [51], peuvent être ciblées. La prise en considération de la nationalité de la personne visée par la demande de communication n’intervient en effet que dans un second temps, à titre d’exception pourrait-on dire, lors de la contestation que peut soulever le prestataire[52].
Pour ce qui concerne l’information des personnes, non pas celles directement objets des demandes de communication au travers du CLOUD Act, mais celles détentrices de ces données, le CLOUD Act ne prévoit rien à ce sujet. Certes, le département de la Justice US (DOJ) apporte une précision dans son « white paper » d’avril 2019 consacré à « L’objet et l’impact du CLOUD Act »[53].
Ce document précise en effet (White paper - Q&A 28) : « Providers may notify account holders of searches pursuant to a U.S. court order under the Stored Communications Act unless an independent judge has issued a protective order »[54]. Une ordonnance de protection intervient lorsque le juge indépendant détermine qu’il y a lieu de croire que la notification de l’existence de l’ordonnance pourrait compromettre la poursuite de l’enquête ou la tenue d’un procès (intimidation de témoins, vol ou falsification de documents…). Cette prise de position apparaît également dans une Directive interne [55] du DOJ : « In general, as explained below, prosecutors should seek data directly from the enterprise, rather than its cloud-storage provider, if doing so will not compromise the investigation »[56].
2. Des moyens d’opposition
Le fournisseur de services visé par la demande peut ainsi saisir un juge pour s’opposer à la requête, à deux conditions cumulatives : qu’il ait des raisons de croire que la personne concernée n’est ni un résident ni un citoyen américain ; et qu’il ait des raisons de croire que, s’il faisait droit à cette demande, il violerait les lois d’un « qualifying foreign government » (QFG).
Un QFG est un État ayant signé un accord avec les États-Unis certifié par l’Attorney General (l’équivalent américain du Ministre de la justice). La décision de l’Attorney General n’est pas susceptible de recours, mais elle peut faire l’objet d’un veto du Congrès). Par ailleurs, ce même état doit également se prévaloir de lois, aussi bien de fond que procédurales, similaires aux lois américaines concernant les droits et devoirs des fournisseurs de services de communication électroniques ou de cloud.
Si ces conditions sont remplies, la Cour examinera une série de facteurs lui permettant de confirmer ou d’infirmer la requête qui lui est soumise. Parmi ces facteurs figurent les liens et la présence du fournisseur aux États-Unis. Un fournisseur français pourrait ainsi vraisemblablement invoquer cet argument pour obtenir l’infirmation de la requête.
Sous l’angle de la qualification de QFG, l’application effective du CLOUD Act dépendra de l’étroitesse des liens du litige avec les États-Unis, ce qui resterait à établir face à une entité française et, a fortiori, si les données visées ne concernaient pas une personne américaine ou une personne résidant aux États-Unis.
En l’état, seul le Royaume-Uni a signé un accord bilatéral avec les États-Unis en octobre 2019[57] lequel est en cours de certification, l’Australie ayant annoncé être le prochain État signataire d’un tel accord. L’Union européenne a de son côté indiqué être en négociation avec les États-Unis.
Est-ce à dire que le fournisseur de services, notamment français, ne pourrait pas s’opposer à une requête fondée sur le CLOUD Act, faute pour la France d’avoir le statut de QFG ? Un tel recours semble néanmoins possible en recourant aux « common law standards governing the availability or application of comity analysis »[58] c’est-à-dire, à la « courtoisie internationale » liée aux intérêts respectifs des États-Unis et de l’État où sont localisées les données, de l’importance et de l’effectivité du risque contentieux qui pèse sur le fournisseur de services s’il exécute l’injonction et des liens tant du fournisseur de services, que du titulaire des données, avec les États-Unis ou encore à la possibilité d’accéder à ces données par d’autres moyens[59].
En vertu de ce principe, le fournisseur qui n’appartient pas à un QFG peut contester la requête qui serait formée sur le fondement du CLOUD Act en invoquant une série de facteurs tels que l’importance des informations requises, le degré de précision de la requête, le fait que l’information provienne ou non des États-Unis ou encore les intérêts américains et étrangers en jeu, etc. Un arrêt de la Cour Suprême des États-Unis[60] illustre la lecture que fait cette dernière de la notion de courtoisie internationale.
Dans une affaire concernant des poursuites devant un tribunal fédéral s’agissant de l’écrasement d’un avion construit et vendu par deux sociétés françaises, se posait la question de la prééminence de la Convention de La Haye sur la production de preuves. Plus précisément, la question était de savoir si la courtoisie internationale exige, en tout état de cause, que les justiciables américains recourent d’abord aux procédures de ladite Convention, avant d’entamer une communication en vertu des règles fédérales.
La Cour Suprême a souligné que les procédures de la Convention seraient excessivement longues et coûteuses, et moins susceptibles de produire les preuves nécessaires que l’utilisation directe des règles fédérales. Le concept de courtoisie exige, dans ce contexte, une analyse plus particulière des intérêts respectifs des nations étrangères et requérantes nécessitant un examen préalable des intérêts souverains et de la probabilité qu’un tel recours se révèle efficace.
En pratique, afin de mesurer les chances de succès d’un tel recours, rappelons de nouveau que le Department Of Justice estime que le CLOUD Act est un instrument d’uniformisation des règles internationales de production des preuves, ce dernier évoquant la suppression des obstacles issus des législations nationales[61]. Il n’est donc pas assuré que le recours à la courtoisie internationale puisse efficacement contrer cette vision d’un droit uniforme en la matière.
Si une opposition semble délicate, peut-être faut-il se tourner vers une protection a priori des informations des entreprises et des personnes au travers de l’utilisation de procédures organisationnelles et techniques visant à limiter au maximum la transmission de données personnelles hors des infrastructures maîtrisées en propre : pseudonymisation et chiffrement homomorphes[62] ; anonymisation quand cela semble possible ; classification, compartimentation et répartition du stockage des informations, etc. Toutes ces solutions sont à mettre en balance avec les prérogatives et capacités des différents services de renseignement agissant dans le monde.
Ainsi, lorsque l’ACPR, dans un document de juillet 2013, intitulé « Les risques associés au Cloud computing » énonce, parmi les mesures techniques de sécurité, le chiffrement systématique des données[63], il convient de se rappeler, pour reprendre le seul exemple américain, que la section 702 (h) du FISA prévoit que le procureur général, et le directeur du renseignement national, peuvent ordonner à un fournisseur de services de communications électroniques, de communiquer toutes les informations ou l’assistance nécessaire pour acquérir des informations. Cette assistance pourrait concerner le décryptement des informations chiffrées[64].
D’où l’importance d’utiliser des moyens de chiffrement puissants et reconnus, adaptés à l’ère post-quantique c’est-à-dire permettant de résister notamment à la puissance des ordinateurs quantiques en plein développement à l’heure actuelle (cf. les travaux de l’ANSSI à ce sujet[65]).
3. L’Europe n’est pas en reste
Que fait l’Europe ? Au plan réglementaire, la Commission Européenne a déjà eu l’occasion de s’alarmer dans un rapport du fait que « more than half of all investigations involve a cross-border request to access [electronic] evidence »[66] et que les MLAT aboutissaient à des délais de dix mois pour la communication de preuves de certains pays, dont les États-Unis. Si le CLOUD Act a été le premier rendu public, le paquet « e-evidence » a vocation à en constituer l’équivalent européen[67], qui a priori ne serait pas limité, quant à lui, à une application aux seuls européens. Les travaux, toujours en cours, démontrent la difficulté d’aboutir rapidement à une solution commune qui ne constituerait qu’un outil de riposte et non de protection.
On notera que le projet de règlement européen « Digital Operational Resilience Act »[68], entend promouvoir la convergence des approches de surveillance du risque lié aux tiers technologies de l’information et de la communication (« TIC ») dans le secteur financier en soumettant les fournisseurs de services tiers TIC critiques à un cadre de surveillance de l’Union. Les superviseurs européens (EBA, ESMA, EIOPA) désignés comme chef de file pour la surveillance de fournisseurs de services tiers critiques pourraient, à terme, détenir de nombreux pouvoirs, notamment de sanction (article 31 et 44 à 46 du projet de règlement).
Ce futur règlement s’inscrit dans le cadre de la stratégie de cybersécurité présentée par la Commission le 16 décembre 2020[69], laquelle s’articule autour de trois principes : résilience, souveraineté technologique et leadership mondial en matière cybersécurité. Outre DORA, cette stratégie comprend une révision de la directive NIS[70], ainsi qu’une nouvelle directive de protection des infrastructures critiques[71].
Enfin, le sujet plus global des flux de données personnelles hors UE avance avec la révision et le renforcement en cours des clauses contractuelles type à la suite de l’arrêt Schrems II[72], projet qui a notamment fait l’objet d’une opinion commune du Comité européen à la protection des données et du contrôleur européen de la protection des données le 15 janvier dernier[73].
Le temps législatif européen n’étant toutefois pas celui des entreprises, il faudra chercher ailleurs des solutions pratiques permettant de ménager les nécessités opérationnelles et la protection des données personnelles.
[1]. Cf. la contribution de Y. Trifounovitch, A. Helfer et Q. Colombier, « Cloud services providers et droit de la concurrence », p. 46.
[2]. Entre la loi du 10 juillet 1991 relative au secret des correspondances validant les interceptions de sécurité et la loi du 7 octobre 2016 pour une république numérique, 19 lois relatives à la cybersécurité ont été votées en matière de cybersécurité. Cf. C. Bret et E Jouffin, « 30 ans après la loi Godfrain - Plus de cyber et moins de sécurité ? », Hors-série Banque & Droit, septembre 2018, p. 19. Cf. Le rapport Cambon du 28 septembre 2020 « relatif à l’activité de la délégation parlementaire au renseignement pour l’année 2019-2020 ».
[3]. https://www.canalys.com/newsroom/china-cloud-infrastructure-q2-2020.
[4]. CJUE 6 octobre 2020, affaires jointes C‑511/18, C‑512/18 et C‑520/18.
[5]. Directive 2002/58 du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).
[6]. L’article L. 851-1 du Code de la sécurité intérieure permettant la mise en œuvre sur les réseaux connexion, chez les intermédiaires techniques, de traitements automatisés destinés à détecter des connexions susceptibles de révéler une menace terroriste était notamment visé.
[7]. Cf. la contribution d’E Jouffin, « Le transfert des données vers les États-Unis – La protection de la vie privée est-elle dans une impasse ? », p. 37.
[8]. Ibid.
[9]. Foreign Intelligence Surveillance Act (FISA). Loi votée en 1978, et amandée en 2008, décrivant les procédures de surveillance tant physiques qu’électronique, ainsi que la collecte d’information à l’étranger de manière directe ou indirecte.
[10]. Entrée en vigueur le 25 octobre 1978 et codifiée au titre 50 du US Code, chapitre 36.
[11]. La Cour siège à Washington DC et est composée de onze juges des tribunaux de district fédéraux. Chaque juge est nommé pour un maximum de sept ans.
[12]. Intégrée à l’article 1881 du US Code et s’intitulant : « Procedures for targeting certain persons outside the United States other than United States persons ».
[13]. « Fighting Cyber Crime and protecting privacy in the cloud », Parlement européen, octobre 2012 spéc. p 33. Le Parlement souligne : « The scope of surveillance was extended beyond interception of communications, to include any data in public cloud computing as well » (Ibid.).
[14]. Ibid. p. 35.
[15]. Background Paper on Title VII of FISA Prepared by the DoJ and ODN, Feb 2012, p. 2 : www.fas.org/irp/news/2012/02/dni020812.pdf.
[16]. https://it.ojp.gov/PrivacyLiberty/authorities/statutes/1281.
[17]. Discours sur l’état de l’Union du 29 décembre 2002 de Georges W. Bush.
[18]. Notamment une décision du 7 mai 2015 de la cour d’appel de NewYork - http://www.linformaticien.com/Portals/0/2015/Mai/NY_NSAmetadata.pdf.
[19]. Le USA Freedom Act : «Uniting and Strengthening America by Fulfilling Rights and Ending Eavesdropping, Dragnet-collection and Online Monitoring Act ». https://www.congress.gov/bill/113th-congress/house-bill/3361.
[20]. Specific selection term : « discrete term (such as a term specifically identifying a person, entity, account, address, or device) used by the government to limit the scope of the information or tangible things sought pursuant to the statute authorizing the provision of such information or tangible things to the government ».
[21]. https://www.cia.gov/about-cia/eo12333.html.
[22]. Cf. § 2.3 « Collection of information » de l’EO 12333 visant dix catégories d’informations que les agences de renseignement peuvent collecter, conserver ou diffuser.
[23]. § 2.2.
[24]. http://www.fas.org/irp/dni/12333briefing.ppt.
[25]. https://www.dni.gov/files/documents/1118/CLEANEDFinal USSID SP0018.pdf.
[26]. https://fas.org/irp/offdocs/eo/eo-13284.htm.
[27]. https://fas.org/irp/offdocs/eo/eo-13355.htm.
[28]. https://fas.org/irp/offdocs/eo/eo-13470.pdf.
[29]. Programme de surveillance de masse créé par la NSA et partagé avec les services de renseignements britanniques, canadiens, australiens et néo-zélandais.
[30]. Programme de surveillance électronique par la collecte de données via Internet et divers fournisseurs de services électronique. On notera que ce programme a été autorisé par une décision de la FISC.
[31]. Programme de surveillance électronique des services de renseignements électronique britannique (GCHQ) et américain (NSA), dévoilé par le Washington Post le 30 octobre 2013.
[32]. SWD (2017) 344 final- § 4.2.1.2., p 23.
[33]. WP 255 – spéc. § 1.2, p. 16.
[34]. Décision n° 440916 – il s’agit d’une Plateforme des données de santé, objet d’un arrêté du 29 novembre 2019 destinée à centraliser des données de santé françaises à des fins de recherche, en particulier grâce à l’intelligence artificielle. Ces données sont stockées sur des serveurs du cloud Microsoft Azure peuvent être transférées aux Etats-Unis.
[35]. § 23 et 24.
[36]. Arrêt dans l’affaire C-311/18, Data Protection Commissioner c/ Maximillian Schrems et Facebook Ireland (arrêt Schrems II).
[37]. Ex : le fait que la plateforme était homologuée comme « Hébergeur de Données de Santé », astreinte à des règles particulières, déjà soumise à des audits de sécurité, hébergeant les données sur ses serveurs européens et que les données sont chiffrées avant d’être transférées aux USA.
[38]. Loi du 23 mars 2018 amendant la loi SCA (Stored Communications Act) de 1986.
[39]. Accords d’assistance juridique mutuelle.
[40]. http://europa.eu/rapid/press-release_MEMO-16-4183_en.htm.
Cf. Contrôleur européen à la Protection des données, avis nº 1/2016, avis préliminaire relatif à l’accord entre les États-Unis d’Amérique et l’Union européenne concernant la protection des informations à caractère personnel afin de prévenir et de détecter les infractions pénales et de procéder aux enquêtes et poursuites en la matière. Cette loi ne doit pas être confondue avec le Privacy Shield, lequel concerne les relations commerciales.
[41]. Notamment ses articles 7 droit à la vie privée, 8 relatif au droit à la protection des données et 47 relatif au droit à un recours juridictionnel effectif.
[42]. https://harvardlawreview.org/2016/12/microsoft-corp-v-united-states/.
[43]. § 2713: «Required preservation and disclosure of communications and records ». Le texte précise « […] à propos de la communication des données : « regardless of whether such communication, record, or other information is located within or outside of the United States ».
[44]. https://www.justice.gov/dag/cloudact.
[45]. White paper – introduction p. 2. https://www.justice.gov/dag/page/file/1153436/download.
[46]. Définis par l’Electronic Communications Privacy Act de 1986 ; cf. l’United States Code, titre 18, § 2510(12) et 2711(2). Concerne les opérateurs de communications électroniques dont l’offre d’accès wifi publics, mais aussi les opérateurs de cloud computing.
[47]. § 2523. Executive agreements on access to data by foreign governments - DEFINITIONS.—In this section, spec. D.
[48]. Cf. section 5 -3- D et les commentaires de P. Jacob, « Quand les nuages ne s’arrêtent pas aux frontières. - Remarques sur l’application du droit dans l’espace numérique à la lumière du CLOUD Act », Cahiers de droit de l’entreprise, Juill. 2018 du 1er juillet 2018.
[49]. Ibid. G.
[50]. Délit passible d’un emprisonnement supérieur à un an.
[51]. « § 2523. Executive agreements on access to data by foreign governments - (a) DEFINITIONS. – In this section : ‘US person’ means a citizen or national of the United States, an alien lawfully admitted for permanent residence, an un incorporated association a substantial number of members of which are citizens of the United States or aliens lawfully admitted for permanent residence, or a corporation that is incorporated in the United States ».
[52]. § 2713 (h) (2) (A) duCLOUD Act : « A provider of electronic communication service to the public or remote computing service, that is being required to disclose pursuant to legal process issued under this section the contents of a wire or electronic communication of a subscriber or customer, may file a motion to modify or quash the legal process where the provider reasonably believes
“(i) that the customer or subscriber is not a United States person and does not reside in the United States; and
“(ii) that the required disclosure would create a material risk that the provider would violate the laws of a qualifying foreign government ».
[53]. https://www.justice.gov/dag/cloudact.
[54]. « Les fournisseurs peuvent aviser les titulaires de comptes des recherches effectuées en vertu d’une ordonnance d’un tribunal américain en vertu de la Stored Communications Act, à moins qu’un juge indépendant n’ait rendu une ordonnance de protection ».
[55]. https://www.justice.gov/criminal-ccips/file/1017511/download, page 1, 1er §.
[56]. « En général, comme expliqué ci-dessous, les procureurs devraient demander des données directement à l’entreprise, plutôt qu’à son fournisseur de stockage en nuage, si cela ne compromet pas l’enquête ».
[57]. E. Jouffin, « CLOUD act - Accord bilatéral USA-UK : les anglais ont tiré les premiers », Banque & Droit n° 189, p 4.
[58]. CLOUD Act, Sec. 6.
[59]. CLOUD Act, section 3, b.
[60]. Société nationale industrielle aérospatiale, 482 US at 544 n.28 (1987), 15 juin 1987 - https://supreme.justia.com/cases/federal/us/482/522/.
[61]. Le Cloud act représente donc un nouveau paradigme : une approche efficace et protectrice de la vie privée à l’égard de la sécurité publique en améliorant l’accès efficace aux données électroniques dans le cadre des autorisations légales existantes « – (white paper – introduction p. 2).
[62]. Méthode de chiffrement permettant, de façon synthétique, que le déchiffrement du résultat de cette opération sur des données chiffrées donne le même résultat que cette opération sur les données non chiffrées. Les données peuvent donc rester chiffrées (et donc protégées) pendant une partie très importante voire la totalité de leur durée de vie alors qu’aujourd’hui le moindre traitement informatique effectué sur des données chiffrées impose leur déchiffrement. Longtemps grevée par des performances en termes de rapidité ne permettant pas une exploitation généralisée pour le grand public, cette technologie bénéficie aujourd’hui de progrès important la rendant de plus en plus accessible.
[63]. Également évoqué par la CNIL dans ses « Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing ».
[64]. On se souviendra que le FBI a pu « casser » le code de protection des smartphone Apple dans le cadre d’une enquête relative à la fusillade de San Bernardino : Les É chos, 13 avril 2016.
[65]. « Anticiper l’arrivée possible de l’ordinateur quantique universel nous place devant le défi de mettre au point de nouvelles méthodes de protection des communications dites quantum- safe, résistant aux attaques d’une telle machine. La communauté académique internationale se mobilise dans cet objectif, notamment dans le cadre de la compétition organisée par le NIST. S’il faudra plusieurs années à ces nouveaux mécanismes pour atteindre un niveau de maturité comparable aux algorithmes actuels, nous pensons à l’ANSSI que dans l’intérim, la bonne voie consiste en la combinaison de mécanismes éprouvés avec les candidats quantum-safe » propos de Sébastien Kunz-Jacques, chef adjoint de la division Scientique et technqiue de l’ANSSI, cités en page 47 de la revue annuelle de l’ANSSI, « Papiers numériques » édition 2020 disponible à l’adresse suivante : https://www.ssi.gouv.fr/uploads/2020/06/anssi-papiers_numeriques-2020.pdf.
[66]. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52018SC0118&from=EN.
[67]. https://ec.europa.eu/home-affairs/what-we-do/policies/cybercrime/e-evidence_en - The Regulation on European Production and Preservation Ordersfor electronic evidence in criminal matters.
[68]. Proposal for a regulation of the European Parliament and the Council on digital operational resilience for the financial sector and amending Regulations - COM(2020) 595 final, 24 septembre 2020. Cf la contribution de S. Lambert à ce hors-série : « La mutation de l’appréhension réglementaire du « Cloud » utilisé dans le secteur bancaire français : du cadre de l’externalisation vers une surveillance directe dans l’Union ? ».
[69]. Joint communication to the European Parliament and the Council - « The EU’s Cybersecurity Strategy for the Digital Decade », join (2020) 18 final.
[70]. Projet de directive du 16 décembre 2020, COM(2020) 823 final.
[71]. Projet de directive du 16 décembre 2020 COM(2020) 829 final.
[72]. Cf. la contribution d’E Jouffin précitée, « Le transfert des données vers les États-Unis – La protection de la vie privée est-elle dans une impasse ? » p. 37.
[73]. https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_en.
