Mesure d’application de la loi de blocage. Le décret n° 2022-207 du 18 février 2022 est relatif à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères. Ce texte est directement issu de la loi de blocage [1] , laquelle interdit aux nationaux français, résidents habituels, ou à toute personne morale ayant son siège ou un établissement en France, de communiquer à des autorités publiques étrangères « des documents ou les renseignements d’ordre économique, commercial, industriel, financier ou technique dont la communication est de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public, précisés par l’autorité administrative en tant que de besoin » (L. n° 68-678 du 26 juillet 1968, art. 1). Le but de cette loi, révisée en 1980, était d’éviter le contournement du dispositif de coopération judiciaire issu de la Convention de La Haye du 18 mars 1970 [2] .
Par ailleurs, sont également visées les demandes de communication d’informations et/ou de recherche d’informations dans le cadre de procédures judiciaires (civile, pénale, administrative) en vue de collecter des preuves afin qu’elles soient renvoyées vers les canaux dédiés de la coopération judiciaire internationale (L. n° 68-678 du 26 juillet 1968, art. 1 bis [3] ). Une sanction pénale de six mois d’emprisonnement et/ou une amende de 18 000 euros [4] sanctionnent la méconnaissance des interdictions formulées aux articles 1 et 1 bis.
Déblocage ? Pourquoi a-t-il fallu 54 ans après la première mouture de la loi pour qu’apparaisse un décret d’application ? La réponse tient sans doute dans la publication, le 26 mars 2018, du CLOUD Act, pour Clarifying Lawful Overseas Use of Data Act [5] . Schématiquement, ce texte a pour objet, dans le domaine des enquêtes pénales, de favoriser l’accès aux données électroniques détenues par les fournisseurs de service de communication, où que ces données se trouvent dans le monde, pourvu qu’elles soient numériquement accessibles depuis les États-Unis. Ce texte est venu rappeler que ces derniers disposaient d’un important arsenal de textes de portée extraterritoriale, utilisés à des fins économiques, et qu’il existait peu de contre-mesures efficaces en droit français [6] .
Le 26 juin 2019, le député Gauvain rendait un rapport « Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale » dans lequel était évoquée une révision de la loi de blocage [7] . À cet égard, était suggéré l’accroissement des sanctions pénales de l’article 3, trop symboliques pour rendre le dispositif français crédible au niveau international. Cette proposition présentait l’inconvénient majeur de sanctionner des entreprises françaises qui avaient, tout au contraire, besoin d’être protégées. Faute d’une réforme de fond de la loi de blocage, le décret du 18 février 2022 a pour ambition de préciser le contenu de la loi de 1968.
On notera que, parallèlement, au niveau européen, la Commission européenne a présenté le 5 février 2019 deux propositions de mandat de négociation [8] , dont notamment un mandat autorisant l’ouverture de négociations en vue d’un accord entre les États-Unis et l’Union Européenne (UE) sur l’accès transfrontalier aux preuves électroniques dans le cadre de la coopération judiciaire en matière pénale. À ce jour, l’UE n’a pas souscrit d’accord bilatéral avec les USA. S’agissant des discussions autour d’un projet de règlement européen e-evidence, version européenne du CLOUD Act, celles-ci ont débuté le 17 avril 2018. Ce texte, qui fut une priorité de la présidence autrichienne a toutefois pâti de la pandémie et n’est, à ce jour, pas adopté. Le 4 mars 2022, ce projet de règlement a été abordé au conseil justice et affaires intérieures [9] , le trilogue est en cours.
Contenu du décret. S’agissant du décret du 18 février 2022, il est tout d’abord précisé que le ministre de l’Économie est le ministre référent, lequel doit, sans délai, informer des demandes dont il est saisi les ministres des affaires étrangères, de la justice, ainsi que le ministre de tutelle du secteur d’activité concerné. Ceci précisé, le décret énonce que les destinataires des demandes de communication de documents visées aux articles 1er et 1er bis de la loi de 1968 doivent informer, sans délai également, le Service de l’information stratégique et de la sécurité économiques (SISSE) [10] . Le décret, article 3, précise que ces demandes de communication doivent être émises « par une autorité publique étrangère ou par toute personne agissant pour son compte ou en vue de répondre à sa demande ». Un dossier, dont la composition est objet d’un arrêté du 7 mars 2022 [11] , devra accompagner cette saisine du SISSE. Enfin, l’article 4 du décret prévoit, qu’à compter du dépôt d’un dossier, le SISSE devra accuser réception auprès d’une personne désignée par la personne morale visée par la demande et instruire le dossier, en y associant les ministres et autorités compétentes concernés. Une réponse, sous forme d’un « avis », portant sur l’applicabilité des articles 1er et 1er bis de la loi de 1968 devra être rendue dans le délai d’un mois.
Guide à l’usage des entreprises. En complément du décret du 18 février, on notera que le 16 mars 2022, le SISSE a publié un guide, à l’usage des entreprises, d’identification des données sensibles [12] . Ce document « invite » les entreprises françaises à dresser un inventaire afin de « classifier leur patrimoine informationnel, puis le stocker en conséquence d’une façon adaptée en fonction de sa sensibilité ». Il est expressément mentionné que ce guide « n’a pas de valeur normative » (p 3.) et que la méthodologie présentée « est illustrative d’une méthode permettant d’identifier des données sensibles relevant de l’article 1er de la loi n° 68-678 du 26 juillet 1968 […] » et qu’elle est non « exclusive d’autres méthodes qui peuvent être utilisées par les entreprises ». Au-delà de ce « déni de normativité », on ne peut s’empêcher néanmoins d’y voir l’expression de bonnes pratiques dans un domaine à l’extrême sensibilité.
1. Un gain d’efficacité très modeste
Une loi de blocage insuffisamment sanctionnée. Ce décret ne modifie en rien la portée de la loi dite de blocage. L’on sait que les juridictions américaines estiment que cette dernière est de nul effet, eu égard à la faiblesse des sanctions qu’elle prévoit. Dans une décision du 15 juin 1987 souvent mentionnée en exemple [13] , la Cour suprême des États-Unis a ainsi refusé de prendre en considération cette loi afin d’absoudre une entreprise de ses obligations au regard du droit américain. Le motif de ce refus était l’absence de sanctions applicables aux sociétés françaises qui communiquent des informations en méconnaissance des dispositions de la loi de blocage. On notera que la modicité des sanctions est aussi évoquée par les juridictions britanniques. Dans une décision du 31 mars 1993, la High Court de Londres [14] a en effet jugé que la loi de 1968 ne pouvait être opposée pour faire obstacle à la production de documents conformément à la loi anglaise.
À cet égard, une seule sanction pénale sur le fondement de la loi de blocage a été prononcée [15] , et encore cette sanction était-elle modeste (10 000 euros).
Certes, un arrêt de la Court of Chancery de l’État du Delaware [16] a accepté, au regard de la loi de blocage française, de faire application de procédures prévues par la Convention de La Haye de 1970 plutôt que la procédure américaine de discovery. Pour autant la modicité des sanctions est un argument récurrent afin de souligner l’inanité de la loi de blocage française. En tout état de cause, l’avis rendu par le SISSE à l’issue de la procédure issue du décret du 18 février n’est pas de nature à modifier l’appréciation des juridictions, notamment américaines, sur ce sujet.
Soulignons que le CLOUD Act est explicite en ce qui concerne l’effectivité des textes pouvant être opposées à une demande de communication d’informations. Les modalités de recours présentés devant une juridiction US sont fixées au « § 2713 - Required preservation and disclosure of communications and records » [17] . À ce titre, le risque auquel s’expose le prestataire qui, se pliant au CLOUD Act, violerait le droit local, ne doit pas être uniquement théorique. En effet, il est prévu que le tribunal en charge de statuer sur une requête en annulation doit prendre en compte la probabilité de la sanction à laquelle ledit prestataire s’expose [18] : « La juridiction prend en compte, le cas échéant… la probabilité, l’étendue et la nature des pénalités infligées au prestataire ou à ses employés du fait de l’incompatibilité des exigences légales imposées au prestataire. »
Des initiatives diverses en faveur de plus de transparence. L’amélioration de l’information par les prestataires de l’existence d’une demande de communication faite par une autorité étrangère peut se heurter à la réglementation du pays tiers [19] . Ainsi, les assignations à comparaître, telles que celles couvertes par 18 USC § 2709 (c) du USA Patriot Act, prévoient des sanctions pénales pour la divulgation de l’existence de l’assignation à un tiers, y compris les utilisateurs.
On notera la prudence extrême de l’article 27 du projet de règlement Data Act [20] consacré aux « accès et transfert internationaux » s’agissant des « données personnelles ». Cette disposition (art. 27-5) prévoit une obligation d’information pesant sur le fournisseur s’agissant de demande d’accès aux données, sauf lorsque la demande sert à des fins répressives et aussi longtemps que cela est nécessaire pour préserver l’efficacité de l’activité répressive.
Les engagements contractuels souscrits par les GAFAM ne sont guère plus rassurants. En effet ni les Trusted Cloud Principles [21] du 4 octobre 2021 ayant pour but d’aider « […] à protéger les intérêts des organisations et les droits fondamentaux des individus utilisant des services cloud afin qu’ils puissent accomplir ce dont ils ont besoin de manière sûre et sécurisée », ni le « Cadre des données en nuage [22] » mis en place le 28 septembre 2021 avec plus d’une centaine d’entreprises, dont des banques (p. 4), ne sont satisfaisants dans la mesure où ils ne prémunissent pas les prestataires américains contre les dispositions répressives du droit US.
Il convient de souligner que ces engagements s’inscrivent dans le contexte d’un executive order (décret présidentiel) du Président Biden du 12 mai dernier (le cyber EO) [23] . Ce texte a pour objet de renforcer la cyber-résilience des agences gouvernementales US en leur fixant divers objectifs précis concernant, notamment, leurs fournisseurs de services de cloud computing. La section 2 « Suppression des obstacles au partage des informations sur les menaces », entend accentuer ce partage, jugé restreint du fait des termes contractuels (contract language) [24] .
Un décret marginalement utile. Faut-il conclure à l’inutilité définitive du décret de février 2022 ? Ce serait aller un peu vite en besogne. D’une part, nous l’avons souligné, aux yeux des juridictions US la légitimité d’un texte est directement indexée sur son niveau de sanction. L’objet du décret ne pouvait être de modifier la loi de blocage sur ce point.
En revanche, ce dernier présente deux avantages. D’une part, il clarifie les conditions de mise en œuvre de la loi de blocage en désignant une tutelle et une procédure d’instruction des demandes. Par ailleurs, si on peut regretter que le SISSE ne délivre qu’un « avis », n’ajoutant rien à l’autorité de la loi de 1968, a contrario, l’existence de cet avis pourra constituer, du moins s’il est négatif, un élément apte à démontrer aux autorités hors UE que le refus de communication n’est pas dilatoire ou arbitraire. Certes, c’est peu, mais cet élément peut avoir un rôle à tenir en cas de procédure ultérieure.
Le décret ne prévoit pas de voie de contestation contre cet avis. D’ailleurs, comment pourrait-il en être autrement en l’absence de dimension obligatoire ? Les entreprises demeurent libres de se plier ou non à l’avis formulé de même qu’elles peuvent ou non recourir à la Procédure visée par le décret. Il va toutefois sans dire que si elles décident de passer outre cet avis, ceci pourrait éventuellement être exploité à charge dans un cadre contentieux.
2. Un périmètre à préciser
Le décret aurait pu utilement prévoir une exception en faveur des échanges de données prévues dans un contexte réglementaire. Il en est notamment ainsi au titre de l’article 632-17 II du CMF. Ce texte prévoit en effet que, sous réserve de protection du secret professionnel, les entreprises de marché, ainsi que chambres de compensation puissent communiquer à leurs homologues étrangers ainsi qu’aux homologues de l’Autorité des marchés financiers, les informations nécessaires à l’accès, à l’organisation et à la sécurité des marchés.
De même, rappelons qu’en conformité avec les règles ou recommandations européennes [25] ou internationales [26] , l’ACPR est autorisée, non seulement à échanger des informations avec des autorités homologues, soumises à des règles de secret professionnel au moins équivalentes [27] , mais également à conclure des accords bilatéraux avec des autorités non-membres de l’Union européenne et non parties à l’accord sur l’Espace économique européen [28] . Ainsi, les informations communiquées aux superviseurs dans le contexte de ces accords devraient, eux aussi, échapper au dispositif du décret de février 2022.
Il en est de même des prérogatives de l’AFA en matière de respect de la loi n° 68-678 du 26 juillet 1968 dans le domaine de la prévention de la corruption. Cette dernière est en effet comptable du respect de cette loi «…dans le cadre de l’exécution des décisions d’autorités étrangères imposant à une société dont le siège est situé sur le territoire français une obligation de se soumettre à une procédure de mise en conformité de ses procédures internes de prévention et de détection de la corruption » [29] . n
Souveraineté – Renseignement – Communication à des autorités ou juridictions hors UE – Procédure – Avis – SISSE.
[1] . Loi n° 68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères, telle que modifiée par la loi n° 80-538 du 16 juillet 1980.
[2] . Dont l’article 23 prévoit que « tout État contractant peut, au moment de la signature, de la ratification ou de l’adhésion, déclarer qu’il n’exécute pas les commissions rogatoires qui ont pour objet une procédure connue dans les États de Common Law sous le nom de “pre-trial discovery of documents” ». La France, lorsqu’elle a ratifié ladite Convention le 7 août 1974, a émis une déclaration en ce sens.
[3] . Issu de la loi n° 80-538 du 17 juillet 1980 modifiant la loi de 1968.
[4] . Article 3.
[5] . « Clarifier l’usage des données hébergées à l’étranger en matière judiciaire ».
[6] . Voir aussi, en dernier lieu, le rapport de la Commission d’enquête du Sénat sur la souveraineté numérique, du 3 octobre 2019 définissant cette dernière comme « la capacité de l’État à agir dans le cyberespace ».
[7] . Rapport remis le 26 juin 2019 au Premier Ministre Édouard Philippe, disponible sur https://www.vie-publique.fr/sites/default/files/rapport/pdf/194000532.pdf
[8] . COM(2019) 70 final.
[9] . https://www.consilium.europa.eu/fr/meetings/jha/2022/03/03-04/
[10] . Mis en place par le décret n° 2019-206 du 20 mars 2019 relatif à la gouvernance de la politique de sécurité économique. Le Service de l’information stratégique et de la sécurité économiques (Sisse) est chargé d’animer, sous l’autorité du commissaire à l’information stratégique et à la sécurité économiques (également Directeur général des entreprises), la politique de sécurité économique française.
[11] . Arrêté du 7 mars 2022 relatif à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères – JO du 16 mars 2022.
[12] . https://sisse.entreprises.gouv.fr/files_sisse/files/outils/guide/guide-identification-donnees-sensibles.pdf
[13] . Société nationale industrielle aérospatiale v. U.S. District Court n°.85-1695. Idem, Adidas (Canada) Ltd v. SS Seatrain Bennington, WL 423 (S.D.N.Y., 30 mai 1984), et plus récemment Vivendi Universal, WL 3378115 (SDNY, 16 novembre 2006)).
[14] . Queen’s Bench Division, Partenreederi M/S “Heidberg” v. Grosvenor Grain and Feed Company Ltd, 31 mars 1993.
[15] . Cass. crim 12 décembre 2007 pourvoi n° 07-83.228, Christopher X.
[16] . 21 février 2014 - Activision Blizzard Inc. Stockholder litigation Cons. C.A. n° 8885-VLC.
[17] . Spéc. (2) Motions to quash or modify.
[18] . « Le tribunal doit prendre ne compte, le cas échéant : …. “La probabilité, l’étendue et la nature des pénalités infligées au fournisseur ou à tout employé du fournisseur en raison d’exigences légales incohérentes imposées au fournisseur” ». CLOUD Act, Section 2703 h), Comity analysis and disclosure of information regarding legal process contents of wire or electronic communication(2) ii. Cette disposition rend délicat le fait de soulever l’argument de la loi dite de blocage, cf. infra § 9 b.
[19] . Notons qu’en France, l’article 245-1 du Code de la sécurité intérieure réprime pénalement « le fait par une personne concourant, dans les cas prévus par la loi, à l’exécution d’une décision d’interception de sécurité, de révéler l’existence de l’interception ».
[20] . Projet du 23 février 2022 - COM(2022) 68 final.
[21] . https://trustedcloudprinciples.com/principles/
[22] . https://edmcouncil.org/page/CDMC. Mis en place par Amazon Web Services, Google, IBM, Microsoft et d’autres géants de la technologie, ainsi que l’EDM Council, une association intersectorielle pour la gestion et l’analyse des données.
[23] . https://www.whitehouse.gov/briefing-room/presidential-actions/
[24] . Ce texte peut s’appuyer sur une loi de 2015 (S.754 - Cybersecurity Information Sharing Act of 2015) visant à « améliorer la cybersécurité aux États-Unis par un meilleur partage de l’information sur les menaces de cybersécurité, et à d’autres fins ».
[25] . Articles 44 à 52 de la directive 2006/48 du 14 juin 2006 concernant l’accès à l’activité des établissements de crédit et son exercice.
[26] . Principe 1 des Principes fondamentaux pour un contrôle bancaire efficace d’octobre 2006, publiés par le Comité de Bâle : https://www.bis.org/publ/bcbs129fre.pdf.
[27] . Articles L.632-7 et L.632-13 du code monétaire et financier.
[28] . À titre d’exemple l’accord de coopération sur l’innovation financière entre l’ACPR et le New York State Department of Financial Services (Département des services financiers de l’Etat de New York, « NYSDFS ») : mou_acpr_nysdfs_fr.pdf (banque-france.fr).
[29] . Article 3-5° de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dite Sapin II).
