Contenu

CLOUD Act : l'hébergement des données "en Suisse" n'est plus suffisant

En début d’année, la Cour Suprême des Etats-Unis a tenu audience pour entendre les arguments des parties dans l’affaire United States v. Microsoft. La Cour était amenée à trancher la question de savoir si des autorités peuvent forcer des sociétés privées américaines à fournir des données qui sont détenues par lesdites sociétés mais sont stockées hors des Etats-Unis.

Clarifying Lawful Overseas Use of Data (CLOUD ACT)

Si le passé est utilisé ici, c’est parce que les Etats-Unis viennent d’adopter une nouvelle réglementation, le CLOUD Act (Clarifying Lawful Overseas Use of Data), par le biais d’une procédure accélérée, ce qui signifie très certainement que l’affaire devant la Cour Suprême, qui aurait mené à un débat juridique des plus intéressants, sera rayée du rôle sans être jugée. Certes, la majorité des juges de la Cour sont républicains et peu de juges étaient du côté de Microsoft (qui refusait de se soumettre à un ordre d’un tribunal exigeant qu’il mette à disposition des données stockées à l’étranger). En outre, les juges avaient préalablement estimé que la solution à ce genre de questions devait venir du Congrès et pas de la Cour Suprême. Il n’empêche… On ne s’attendait pas tellement à ce que le CLOUD Act figure parmi les 2232 pages de réglementation sur les dépenses de l’Etat.

L’Etat américain a donc demandé à la Cour Suprême de rayer du rôle l’affaire qui l’oppose à Microsoft. Ce dernier a déclaré à la Cour qu’il ne s’opposerait pas à la demande du gouvernement (pourquoi le ferait-il, d’ailleurs, puisqu’il soutient le CLOUD Act). Le gouvernement a d’ailleurs déjà fait parvenir un nouveau mandat pour obtenir, grâce au nouveau droit, les données qu’il avait requises auparavant.

Les Etat-Unis vont donc, dès à présent, pouvoir aller chercher légalement les données détenues par les sociétés américaines, quel que soit l’endroit où ces données se trouvent dans le monde. On peut donc s’attendre à ce que les Etats-Unis en profitent pour faire de l’ingérence dans les affaires d’autres pays, et ouvrent la voie à ce que ces pays fassent de même. Le CLOUD Act permettra d’ailleurs à l’Etat américain et à ses entités de signer des accords avec d’autres Etats pour accéder aux informations stockées chez les uns et les autres, quel que soit l’endroit où se trouvent ces informations.

Réactions au CLOUD Act

Il est surprenant cependant de constater que Microsoft, Apple, Google et Facebook (entre autres) ont collaboré à l’élaboration du CLOUD Act et s’en félicitent. Le Chief Legal Officer de Microsoft a même considéré que cette nouvelle réglementation était un bon compromis.

The proposed CLOUD Act creates a modern legal framework for how law enforcement agencies can access data across borders. It’s a strong statute and a good compromise that reflects recent bipartisan support in both chambers of Congress, as well as support from the Department of Justice, the White House, the National Association of Attorneys General and a broad cross section of technology companies.

It also responds directly to the needs of foreign governments frustrated about their inability to investigate crimes in their own countries. The CLOUD Act addresses all of this, while ensuring appropriate protections for privacy and human rights. And it gives tech companies like Microsoft the ability to stand up for the privacy rights of our customers around the world.

Les associations actives dans la protection des libertés civiles (dont la vie privée fait partie) ont manifesté leur désaccord et leurs craintes vis-à-vis du CLOUD Act qu’elles considèrent comme un dangereux abandon de responsabilité par le gouvernement américain et les sociétés technologiques susmentionnées.

The legislation purports to provide clarity regarding the legal standards that should apply in cases where governments seek data that is not stored within their jurisdiction. Under current U.S. law, such requests for stored information are generally governed by Mutual Legal Assistance Treaties (MLATs), which allow for the exchange of information between the U.S. and foreign governments. The CLOUD Act proposes allowing the U.S. and foreign governments to bypass the MLAT framework.

However, the alternative framework created by the bill fails to protect the rights of Americans and individuals abroad, and would place too much authority in the hands of the executive branch with few mechanisms to prevent abuse. As described in more detail below, among other things, the legislation would:

  • Allow foreign governments to wiretap on U.S. soil under standards that do not comply with U.S. law;

  • Give the executive branch the power to enter into foreign agreements without Congressional approval;

  • Possibly facilitate foreign government access to information that is used to commit human rights abuses, like torture; and

  • Allow foreign governments to obtain information that could pertain to individuals in the U.S. without meeting constitutional standards.

Commentaire

Sur un plan formel, le CLOUD Act n’a pas eu droit à un examen complet au Congrès et a été ajouté à la réglementation sur le budget 2018 de l’Etat américain. Vu les implications sur la vie privée, qui est un droit fondamental aux Etats-Unis comme chez nous, la procédure adoptée par le Congrès a de quoi inquiéter.

J’ai toujours milité pour que les citoyens, les sociétés et autorités suisses évitent d’utiliser des services de stockages appartenant à des sociétés étrangères, quand bien même celles-ci hébergent leurs données chez nous. Par exemple, Microsoft a récemment annoncé qu’il allait ouvrir un centre de stockage en Suisse. D’aucuns ont pris cette nouvelle avec ravissement. De mon côté, je n’y vois qu’un leurre puisqu’avec le CLOUD Act, la localisation des données n’a plus aucune importance tant qu’elles sont détenues par une société américaine.

Il est donc impératif aujourd’hui de se tourner vers des acteurs locaux qui hébergent nos données dans notre pays. Cela nous assure d’ailleurs, au niveau contractuel comme judiciaire, d’être soumis aux mêmes lois et juridictions, ce qui facilitent la résolution des litiges. Cela permet aussi, en principe, une restitution rapide des données, un service personnalisé et adapté aux exigences de l’activité économique menée, et une meilleure discussion entre partenaires. En outre, cela nous préserve (a priori) d’un éventuel espionnage économique étranger, et stimule le secteur technologique local.