Le 23 mars 2018, le Président américain Donald Trump promulguait une loi votée en express, et presque par surprise, par le 115e Congrès américain à Washington DC. Cette loi, portée par un membre républicain du Congrès, Dog Collins, un ancien lieutenant-colonel de L’US Air Force, était intitulée « CLOUD Act »[1]. Un jeu de mots qui reprend le terme de cloud computing mais, en réalité, « CLOUD » est ici un acronyme qui signifie Clarifying Lawful Overseas Use of Data. Vous avez bien lu. En français, il s’agit de clarifier un usage légal des données localisées hors des États-Unis d’Amérique. La loi est nationale mais ses effets territoriaux, jusqu’en Europe, sont affirmés dans son titre même. Ce jeu de mots sur la technologie du cloud computing interpelle[2]. Il n’est pas le fruit d’un hasard. Le cloud computing a quelque chose de révolutionnaire à tous niveaux, y compris sur le plan juridique. Ces nouveaux paradigmes posent par essence des enjeux forts en termes de souveraineté pour, notamment, l’Europe.
Une révolution technologique, économique…
Le cloud computing a déjà une histoire qu’on peut faire débuter il y a une vingtaine d’années. À cette époque, le cloud computing avait pris d’autres noms tels que : Application Service Providing ou ASP, service on demand ou applications hébergées notamment. Car le cloud computing est avant tout une technologie qui révolutionne l’informatique traditionnelle et probablement à court terme la remplacera. Il est tout d’abord un enfant de la révolution internet arrivée dans le grand public au milieu des années 1990. Les réseaux numériques se mettant alors en place et ceux-ci gagnant en puissance et en rapidité, toute la société s’organise en toutes ses activités à partir de cette date sur et autour des réseaux numériques. Le cloud computing est la conséquence de cette mise en réseaux. Il s’agit de remplacer l’informatique en local pour offrir les mêmes services avec les mêmes fonctions à distance via les réseaux numériques filaires et hertziens voire satellitaires. Les éditeurs de logiciels ont travaillé dur ces dernières années pour adapter leurs produits et le migrer dans les réseaux numériques. Du point de vue de l’utilisateur, les fonctions du logiciel « on premise » et celles du logiciel en cloud computing devraient être identiques. En se délaissant du logiciel entre les mains de l’éditeur de logiciel, le client utilisateur se débarrasse des éventuels problèmes de fonctionnement du logiciel, voire de sa sécurité, qui ne sont plus de sa responsabilité d’un point de vue technique, puisqu’ils lui sont pour partie hors de portée. Cette révolution technologique est la première des révolutions du cloud computing. La seconde révolution est d’ordre économique. Avec le cloud computing, le logiciel, ce petit objet immatériel qui donne des instructions aux machines (hardware), est passé du rang de marchandises voire d’immobilisations, à celui de services. Aussi, l’utilisateur ne dispose plus d’une licence d’utilisation d’un logiciel, éventuellement de son support (clé usb par exemple), mais consomme un service qu’il paie à l’usage. La notion de maintenance de logiciel, terme hérité du temps où le matériel était prédominant et qui est resté ensuite pour s’appliquer aux logiciels, disparaît également. La maintenance a toujours été vue comme pouvant se décliner en trois temps. Tout d’abord, la maintenance dite préventive, celle qui consiste à vérifier le bon fonctionnement du système pour anticiper les éventuels problèmes. Ensuite, la maintenance dite correctrice, celle consistant à corriger un dysfonctionnement. Enfin, la maintenance dite évolutive, celle accompagnant une évolution des besoins, une nouvelle version avec de nouvelles fonctions ou une évolution réglementaire nécessitant une mise à niveau du logiciel. L’éditeur de logiciel ayant conservé la maîtrise de son objet, le logiciel, et l’utilisateur l’ayant perdu, la maintenance disparaît alors au profit d’un niveau de services garanti par l’éditeur nouvelle manière, encore appelé Service Level Agreement (SLA). Ces SLA prévoient des taux de disponibilité du service garantis. Logiquement, ces SLA dépassent le seul logiciel puisque l’incident peut émaner du réseau, des serveurs ou lié au logiciel lui-même. Il y associe parfois, en fonction des négociations entre parties au contrat, des pénalités en cas de manquement du prestataire à ses engagements. Dans ce même document, le prestataire cloud peut également prendre des engagements en termes de garantie d’intervention en cas d’incident technique, s’engageant à prendre en compte un incident qui lui est signalé dans un certain délai ou, mieux encore, à garantir un temps de rétablissement du service, associé là encore à des pénalités en cas de manquement. Ce SLA est généralement compris dans le prix du service de base. Quant au prix de la maintenance, il disparaît, parfois au profit d’un service dit de support, qui est plus une assistance à l’utilisation du logiciel ou ses paramétrages, ses fonctionnalités. Ainsi, et comme on peut le voir, l’économie du cloud computing aboutit à un bouquet de services nouveaux, là où la concession d’un droit d’utilisation de logiciel se limitait à une concession de droits agrémentée de services. Enfin, la révolution du cloud computing est juridique. Cela ne devrait pas étonner, dans la mesure où le droit appliqué aux technologies de l’information, ne fait qu’encapsuler une réalité technique et économique.
…et juridique
Or, cette réalité technique et économique étant révolutionnée, il est logique que le droit lui-même s’en trouve bouleversé. Cette révolution juridique agit à trois niveaux. En premier lieu, sur les questions de propriété intellectuelle. Le logiciel est un objet de droit qui a été élevé au rang d’œuvre de l’esprit par une loi entrée en vigueur le 1er janvier 1986[3]. Ainsi, à l’instar d’un livre, d’une composition musicale, d’une œuvre artistique, le logiciel jouit de la protection du droit d’auteur. Pour pouvoir installer le logiciel sur un ordinateur, un serveur, l’utilisateur a besoin d’un des démembrements du droit d’auteur, le droit de reproduction. Dès l’instant où cette utilisation est à distance et que le chargement du logiciel revient à l’éditeur lui-même mais plus à l’utilisateur, ce dernier n’a plus nécessité à ce qu’il lui soit concédé le droit de reproduction attaché au logiciel. Doit-il disposer d’un droit de représentation, s’agissant d’un logiciel ? La question n’a pas encore été tranchée en droit européen[4].
La seconde révolution juridique tient au fait que dans le cloud computing, le contrat d’adhésion est devenu la règle, et le contrat de gré à gré, l’exception. Ceci s’explique par le fait que le service du cloud computing est, comme on l’a vu, un contrat qui va s’exécuter à distance, qu’il participe d’une certaine industrialisation de l’édition de logiciel devenue service. Dès lors, si le client est prêt à utiliser un service à distance, c’est qu’il ne sera pas choqué que la conclusion ou la souscription du contrat se fasse également à distance. Or, qui dit contrat d’adhésion, dit une marge de négociation extrêmement faible pour le client utilisateur. Il adhère ou n’adhère pas, et s’il n’adhère pas, il passe son chemin pour s’adresser à un autre prestataire. Les contrats d’adhésion étant rédigés par une seule des deux parties[5], le prestataire, ceux-ci sont dès lors peu équilibrés voire pas du tout. L’équilibre relatif d’un contrat, pourrait d’ailleurs être le critère de choix d’un client utilisateur, cet équilibre au contrat attestant de son souci du client. Certes, le droit français a pris la mesure de cette situation par la réforme du droit des obligations entré en vigueur en octobre 2016 et planté désormais au cœur du Code civil. Ainsi, l’article 1171 du Code civil dispose que la clause d’un contrat d’adhésion « […] qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite ». En clair, cela signifie qu’une telle clause ne peut être opposée au client si le juge considère que le déséquilibre significatif est constitué. Empruntant ses éléments de langage au droit de la consommation (« réputé non écrit »), l’article 1171 du Code civil [6] est pourtant d’ordre public et s’applique même dans une relation entre professionnels. Il reste que pour pouvoir obtenir son application et exclure telle clause par exemple de non-responsabilité, le client devra batailler dans les prétoires avec ses coûts et ses aléas, son temps aussi. Le client devra aussi compter sur le fait que bon nombre de prestataires cloud étant extra-européens et particulièrement américains, prennent la peine de désigner la loi américaine comme s’appliquant au contrat. Du fait de cette situation, le client en est réduit à chercher des législations impératives supérieures au contrat, et qui viendraient s’imposer au prestataire. Le Règlement européen en matière des données personnelles (RGPD) [7] a cet intérêt de s’imposer au-dessus du contrat, au prestataire cloud.
La troisième révolution juridique est celle des données ou data. L’entreprise utilisatrice sort ses données de ses bureaux, locaux, serveurs et les confie au prestataire cloud. C’est sans doute la plus grande révolution juridique du cloud computing. Elle a généré de nombreuses pratiques contractuelles telles que l’insertion dans le contrat d’une clause dite de réversibilité consistant à ce que le prestataire s’engage aux termes du contrat, à retourner ou détruire les données de son client dont il est en possession. Là encore, lorsque la donnée est personnelle, le RGPD et son lot de sanctions administratives fortes, viendra à la rescousse pour aider l’utilisateur à exiger du prestataire cloud, un certain nombre de diligences, notamment en matière de sécurité des données personnelles.
Mais cette question de l’externalisation des données du client sur des infrastructures d’un prestataire tiers et son lot de révolutions technologiques, économiques et juridiques, ont créé des appétits, dont le Cloud Act, évoqué en introduction, est bien une illustration.
Cloud computing, Cloud Act et les données des Européens
Dans ce contexte, le Cloud Act crée l’inquiétude, en particulier en Europe. En effet, quand le secteur du cloud computing est dominé par Amazon (AWS), Microsoft et Google, et qu’on ne voit à l’horizon qu’une petite poignée d’acteurs européens, il y a de quoi s’inquiéter. Les entreprises européennes n’ont-elles d’autres choix que de confier leurs données nominatives et non nominatives (stratégiques, financières etc.) qu’à des géants américains en attendant l’offre chinoise qui se déploie ? Les autorités américaines n’ont-elles pas alors perçu là une occasion de surveillance électronique, les mauvaises langues y verraient une possibilité d’espionnage industriel ? On peut aussi remarquer que ce texte de loi a été voté pratiquement deux mois jour pour jour avant l’entrée en application du RGPD [8] , censé redonner aux Européens le contrôle de leurs données à caractère personnel. Il y en a aussi pour qui il s’agit d’une tempête dans un verre d’eau, le Cloud Act ne causant aucune difficulté particulière [9] , mais nous ne partageons pas, et de loin, leur point de vue [10] . Dans tous les cas, le Cloud Act mérite qu’on s’y intéresse en comprenant d’où il vient et quelles sont les règles qu’il pose et qui pourraient impacter les organisations de l’Union Européenne et notamment françaises. Le Cloud Act n’est pas le premier texte de loi qui traite de la surveillance électronique. Aux États-Unis, on pourrait faire remonter cette tendance législative, pratiquement au jour même de l’avènement de l’informatique. Ainsi, depuis la naissance de la NSA en 1952, d’abord clandestine à tel point qu’on la surnommait « No Such Agency », la question de la surveillance interne et à l’extérieur des frontières, est une pratique avérée et l’informatique a très tôt été au programme. À l’époque, la justification était la guerre froide. Les services de renseignement des États-Unis d’Amérique ne sont pas les seuls à agir ainsi, c’est une pratique propre à tous les services de renseignement étatiques, France comprise, la différence étant que les États-Unis sont le seul État à pouvoir s’appuyer sur une industrie présente partout dans le monde. Les États-Unis ont aussi eu le souci d’associer des États étrangers à leur surveillance internationale. C’est par exemple la naissance des Five Eyes, avec l’Australie, le Canada, la Nouvelle-Zélande et la Grande-Bretagne. Mais depuis le milieu des années 2000, les choses ont changé. En cause, le 11 septembre 2001 et les attentats des tours jumelles à New York. Quelques semaines plus tard, le 26 octobre 2001, George W. Bush, le Président d’alors, promulguait l’USA PATRIOT ACT. C’était le coup d’envoi d’une surveillance électronique massive de l’ensemble du monde connecté. À compter de cette date, on a industrialisé une sorte de partenariat « public privé » entre la NSA et les grandes entreprises américaines du digital. C’est bien ce qu’on a vu avec les révélations d’Edouard Snowden de l’été 2013. Un partenariat qui prend acte d’une situation et d’une réalité. Les prestataires américains du digital sont devenus les greniers à données personnelles d’une partie du monde. C’est particulièrement vrai de l’Union Européenne, perméable à ces services comme nulle autre partie du monde. En Chine, en Russie, en Corée voire même au Brésil, bon nombre de ces entreprises ne font pas la course en tête. En Europe, on parlerait plutôt de quasi-monopole sur leurs marchés respectifs, Google, Amazon, Facebook, Apple et Microsoft, ces entreprises ayant éliminé ou racheté leurs concurrents européens sans réaction des autorités publiques européennes. Pour les services de renseignement, cette situation a généré deux conséquences prévisibles. D’une part, les services européens des États membres de l’Union européenne, s’adressent très souvent à ces entreprises américaines lorsqu’il s’agit d’intercepter ou de capter des données de personnes surveillées parce que considérées comme dangereuses, par exemple pour des activités terroristes. D’autre part, les services de renseignement américains sont tentés aussi de rapatrier les données des personnes qu’elles surveillent. C’est de ces deux situations que le Cloud Act entend traiter et clarifier.
Comment s’applique le Cloud Act au cloud computing ?
On peut décrire ce qu’est le Cloud Act en cinq questions. En premier lieu, qui est concerné ? À l’article 3, on désigne le « provider of electronic communication service or remote computing service », cette dernière catégorie visant directement l’industrie du cloud computing. C’est donc tout naturellement que le texte prend cet intitulé. Ces fournisseurs de services électroniques et de cloud sont ceux établis aux États-Unis. Mais cela concerne aussi les filiales américaines de nos acteurs européens qui vont devoir appliquer le Cloud Act. À l’inverse, les juridictions américaines considèrent que le texte s’applique aux personnes morales établies aux États-Unis certes, mais aussi à toutes celles qu’elles contrôlent dans le monde, dont leurs filiales en Europe. La seconde question est celle du champ d’application territorial du Cloud Act. Ce texte de loi est certes national, donc en théorie limité au seul territoire des États-Unis d’Amérique. Cependant, pour rappel, son titre est : « Clarifying Lawful Overseas Use of Data », « overseas » c’est-à-dire hors des États-Unis. Il s’agit de clarifier un usage légal des données hors des États-Unis. Ainsi, si le texte est bien un texte de loi national, son effet est donc incontestablement extra-territorial et revendiqué comme tel. La troisième question est celle de quelles données ? Sur la notion de data, sa définition est « any record or any information pertaining to a customer or subcriber » soit toute information, d’un client ou d’un abonné en la possession du prestataire, métadonnées et contenus. La quatrième question est de savoir qui sont les destinataires de ces informations collectées. Ce serait une erreur de cantonner le texte aux seuls services de renseignement. Ce sont aussi toutes autorités de poursuite aux États-Unis qui bénéficient du régime légalisé, une population donc assez large. Enfin, existe-t-il des recours face au Cloud Act ? Le prestataire qui reçoit de l’État américain une demande de communication de données concernant un citoyen européen, peut contester cette demande si l’État européen concerné a conclu avec l’État américain un contrat appelé « executive agreement » qui lui reconnaît un statut particulier, notamment parmi tous les critères énoncés, qu’il est démocratique. À l’heure où sont écrites ces lignes, aucun de ces accords n’a été conclu. Chacun aura remarqué que le prestataire pourrait engager un recours, ce qui ne veut pas dire qu’il le fera toujours et ce qui ne veut pas dire non plus que le juge saisit du recours, lèvera l’injonction de l’État américain de communiquer les données du citoyen européen. En outre, prévoir un recours au bénéfice du prestataire pour contester une demande de communication de données est bien, mais la personne concernée elle-même, ne se voit reconnaître aucun recours par le Cloud Act. Saura-t-elle seulement qu’elle a fait l’objet d’une demande de communication de ses données, personnelles ou stratégiques et non personnelles, probablement non. Combien de temps seront conservées ses données, par qui et dans quelles conditions ? Aucune réponse n’est apportée à ces questions, alors que, justement, le RGPD met les individus au centre de son dispositif. S’agissant justement du RGPD, rappelons son article 48 : « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers [comme les États-Unis] exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international ». Or, l’administration américaine a voté sa loi sans traité préalable avec l’Union européenne, et même sans concertation préalable. Les prestataires américains vont-ils donc devoir choisir s’ils résistent à la loi de leur pays pour se conformer au RGPD ou si au contraire, ils mettent le RGPD de côté ? Chacun aura son idée sur la réponse à cette question.
En conclusion, l’avènement du cloud computing est une formidable opportunité capable d’apporter de nouvelles opportunités à l’informatique et aux services rendus aux utilisateurs. Mais pour l’Europe, cette opportunité se double d’une interrogation : avons-nous les moyens de disposer d’une offre européenne ? En effet, et comme nous l’avons vu, cette externalisation des données de nos entreprises européennes n’est pas sans problème. Le Cloud Act est son illustration. Peut-on confier ses données stratégiques, personnelles ou non, à un prestataire américain, sachant que celles-ci pourraient sans autorisation, sans consentement, sans même probablement information, se trouver entre des mains de tiers ? Ceci pour de bonnes raisons, comme la lutte contre le terrorisme, mais aussi pour des raisons moins avouables, comme l’espionnage industriel, l’erreur humaine, la défaillance technique ou la vénalité ? Cette ambivalence est le miroir d’un très grand échec, celui de la Commission européenne Barroso, du nom de celui qui a présidé aux destinées de la Commission européenne de 2004 à 2014. C’est durant ce temps que tous les acteurs actuels américains qui dominent le secteur du cloud computing, ont pénétré le marché européen. En face, aucune politique publique n’est venue atténuer cette situation pour susciter, encourager, l’émergence de champions du continent. En France, en 2012, sous la présidence Sarkozy, nous avons bien eu cette vision. L’État français a alors tenté de susciter un cloud dit souverain avec l’émergence de deux acteurs, Cloudwatt et Numergy, créés autour de la caisse des dépôts et des opérateurs Orange et SFR. Mais la mise en œuvre aura été un échec flagrant. Il n’est cependant jamais trop tard pour bien faire. Thierry Breton, commissaire européen chargé de la politique industrielle, du marché et du numérique, le seul des 27 commissaires venant de l’industrie, n’a cessé d’alerter sur la situation, depuis sa nomination en 2019. Il a lancé en octobre dernier, un texte qui paraît important pour l’économie numérique, propre à répondre à nos interrogations, le Digital Services Act. À suivre…
[1]. Article 1 du Cloud Act.
[2]. Dans un petit-déjeuner organisé par l’organisation professionnelle Eurocloud France le 5 juillet 2018 (https://www.eurocloud.fr/5-juillet-petit-dejeuner-sur-le-cloud-act/), le directeur juridique de Microsoft France reconnaissait que le terme choisi par les promoteurs de cette loi était malheureux. Il faut dire que le Cloud Act jusque dans son titre, a de quoi attirer l’attention de clients non américains sur les éventuels risques encourus à recourir à des prestataires « sous-juridiction américaine ». Quelques années plus tôt, l’administration Obama n’avait pas eu la même franchise ou imprudence, en rebaptisant un texte de loi, texte qui, notamment, régit une surveillance des communications électroniques mondiales, pouvant ainsi concerner les européens. Le texte intitulé « USA Patriot Act » était rebaptisé « Freedom Act » tout en durcissant ses modalités pour les non-Américains…
[3]. Loi dite Lang n° 85-660 du 3 juillet 1985 relative aux droits d’auteur et aux droits des artistes-interprètes, des producteurs de phonogrammes et de vidéogrammes et des entreprises de communication audiovisuelle.
[4]. On peut se poser la question de savoir si le droit de représentation est alors nécessaire à l’utilisateur. En effet, ce droit d’auteur n’est pas listé parmi ceux reconnus au logiciel à l’article L 122-6 du Code de la propriété intellectuelle (CPI). De même, la pratique a instauré un « droit d’utilisation » qu’on retrouve dans les contrats le plus souvent traduits de l’américain, mais ne se trouve pas plus à l’article précité. Tout juste, dans les exceptions aux droits du logiciel, listées à l’article L. 122-6-1 du CPI, trouve-t-on de manière systématique cette notion de « droit d’utilisation ». La jurisprudence sera probablement amenée à se pencher sur ces questions qui peuvent n’apparaître que terminologiques, mais qui renferment de vraies questions juridiques de fond. Quoi qu’il en soit, l’utilisateur a le plus grand intérêt à ne pas vivre dans l’incertitude en obtenant par contrat de son éditeur en mode Saas, la concession de ces droits de représentation et d’utilisation.
[5]. L’article 1110 du Code civil définit le contrat d’adhésion comme « […] celui qui comporte un ensemble de clauses non négociables, déterminées à l’avance par l’une des parties ».
[6]. À rapprocher du nouvel article L. 442-I, 1° du Code du commerce qui ouvre droit à une action en responsabilité dans les termes suivants : « Engage la responsabilité de son auteur et l’oblige à réparer le préjudice causé le fait, dans le cadre de la négociation commerciale, de la conclusion ou de l’exécution d’un contrat, par toute personne exerçant des activités de production, de distribution ou de services […] d’obtenir ou de tenter d’obtenir de l’autre partie un avantage ne correspondant à aucune contrepartie ou manifestement disproportionné au regard de la valeur de la contrepartie consentie. »
[7]. Règlement n° 2016/679, dit règlement général sur la protection des données.
[8]. Règlement UE 2016/679 du 27 avril 2016 devant entrer en application le 25 mai 2018 (article 99).
[9]. C’était l’avis du président du Syntec numérique, Godefroy de Bentzmann, qui l’a écrit dans une tribune intitulée « Cloud Act : halte à la désinformation ! », Les Échos du 2 octobre 2018.
[10]. Nous avons répondu à la tribune précédente par cet article : « Cloud Act, halte à la propagande ! » : https://www.eurocloud.fr/cloud-act-halte-a-la-propagande/.
