Non, le CLOUD Act n'est pas ce que vous croyez. Vraiment pas.
Adopté en mars 2018, le CLOUD Act fait encore régulièrement parler de lui. Pas parce que les accords bilatéraux qu’il permet de conclure pourraient poser certains problèmes (voir ci-dessous), mais surtout parce qu’on dit beaucoup de choses inexactes à son sujet. Encore récemment, on pouvait lire ceci dans un article de l’Agefi, désormais indisponible :
L’une des sources d’inquiétude des Européens vient du “Cloud Act”, la législation américaine qui permet aux puissantes agences de sécurité des Etats-Unis d’avoir accès dans certains cas aux données hébergées par les fournisseurs américains, où qu’elles se trouvent sur la planète.
Tout n’est pas erroné dans ce passage, mais cette rhétorique est propice à générer une certaine psychose, en particulier en entreprise. Je vous propose donc de démêler le vrai du faux.
N.B. En 2018, j’avais écrit ici une opinion dans laquelle je partageais un certain scepticisme à l’égard du CLOUD Act. Le présent article vient corriger et compléter cette opinion.
Avant le CLOUD Act
Stored Communications Act
Le SCA est une loi américaine qui est en vigueur depuis 1986 et qui se trouve au titre 18 du Code américain. Ce titre concerne les crimes et délits ainsi que la procédure pénale. Le SCA s’étend de la section 2701 à la section 2713.
En résumé, il régit la confidentialité des communications sur Internet stockées aux États-Unis. Cette loi protège les informations personnelles qui sont stockées par certains fournisseurs (voir ci-dessous). Elle interdit à ces fournisseurs de divulguer sciemment le contenu des communications électroniques des utilisateurs, mais ceux-ci peuvent y être contraints par les autorités si elles obtiennent au préalable un mandat de perquisition.
La section 2701 prévoit une sanction pénale pour la personne qui “accède intentionnellement et sans autorisation à une installation par laquelle un service de communication électronique est fourni ou […] dépasse intentionnellement une autorisation d’accès à cette installation ; et obtient, modifie ou empêche ainsi l’accès autorisé à une communication électronique pendant qu’elle est stockée électroniquement dans ce système”. On peut voir cette section comme l’équivalent de l’art. 143bis du Code pénal suisse.
La section 2702 indique que le SCA ne vise que deux types de services en ligne : les “services de communication électronique” et les “services informatiques à distance”.
- Un service de communication électronique est défini comme “tout service qui fournit à ses utilisateurs la possibilité d’envoyer ou de recevoir des communications électroniques”.
- Un service informatique à distance est défini comme “la fourniture au public de services de stockage ou de traitement informatique au moyen d’un système de communications électroniques”.
Cette section décrit aussi à quelles conditions un ISP (Internet Service Provider, ou fournisseur de services Internet) peut volontairement divulguer des informations sur ses utilisateurs. A l’instar de nombreux pays où existe le secret des télécommunications, les ISPs américains n’ont en principe pas le droit de divulguer à quiconque (y compris les autorités) le contenu des communications qui sont acheminées ou stockées sur ce service. En revanche, il leur est possible de partager des informations non liées aux contenus, sauf avec des entités gouvernementales.
La section 2703 décrit à quelles conditions le gouvernement peut obliger un ISP à divulguer des informations sur le contenu et les informations non liées au contenu. En règle générale, il lui faut un mandat de perquisition.
La perquisition de fournisseurs américains dont les données d’utilisateurs sont à l’étranger
Les ISPs (en général) ne stockent pas forcément les données de leurs utilisateurs dans le pays où ils ont leur siège, leur centre d’opération, etc. Ils disposent de fermes de serveurs (server farms) et de centres de données (data centers) où sont stockées les données de leurs utilisateurs, et ce dans le monde entier. Cela permet notamment d’améliorer les performances des échanges entre les utilisateurs d’une région si des serveurs sont proches d’eux ; c’est également un argument de vente, les utilisateurs préférant souvent que leurs données soient stockées dans leur pays.
Les autorités américaines ont craint que cette situation ne les empêche d’accéder aux données détenues par un fournisseur américain (ou de fournisseurs soumis à leur juridiction), mais qui seraient localisées hors des Etats-Unis. Cette crainte n’était pas fondée, car les tribunaux américains ont retenu une règle de droit qui consiste à considérer que si le Congrès américain promulgue une loi dont la matière a été jusque là réglée par la common law, on présume que le Congrès a voulu conserver la substance des règles de common law. Par conséquent, lorsque le Congrès américain a adopté le SCA, il l’a fait dans le respect des principes établis par la common law : le destinataire d’une assignation à produire des documents aux États-Unis doit produire tous les documents indiqués qui sont sous son contrôle, même s’il choisit de les stocker à l’étranger.
Les cours d’appel américaines ont appliqué ce dernier principe dans différentes situations. Ainsi, une citation à comparaitre exigeant d’une entreprise faisant des affaires aux États-Unis qu’elle produise des documents est exécutoire, que l’entreprise doive ou non récupérer ces documents à l’étranger. Dans une affaire concernant la Suisse, la Cour d’appel du District de Columbia a décidé qu’une assignation à produire des documents localisés en Suisse est exécutoire si le tribunal de district est compétent vis-à-vis des sociétés dont les documents sont demandés.
Microsoft vs Etats-Unis
Puis, l’affaire Microsoft Corporation contre les États-Unis a éclaté.
Le 4 décembre 2013, les autorités américaines ont obtenu un mandat de perquisition visant à obtenir de Microsoft des e-mails stockés sur ses serveurs en Irlande. Microsoft a contesté ce mandat, argüant qu’un mandat délivré en vertu de la section 2703 du SCA ne pouvait pas contraindre les entreprises américaines à produire des données stockées dans des serveurs en dehors des États-Unis. Microsoft a essuyé un revers en première instance, le tribunal ayant rappelé qu’un tel mandat n’est pas soumis à des limitations territoriales dès lors qu’il vise une entreprise soumise à la juridiction américaine.
Microsoft a fait appel, et a obtenu gain de cause en deuxième instance, deux fois : le 14 juillet 2016, puis le 24 janvier 2017.
Le gouvernement a alors fait appel devant la Cour suprême des États-Unis en juin 2017. Il a fait valoir que le jugement de deuxième instance a conduit Microsoft, Google et Yahoo à refuser de fournir aux autorités les informations stockées sur des serveurs situés en dehors des États-Unis, ce qui aurait entravé de nombreuses enquêtes pénales. De son côté, Microsoft a fait valoir que la Cour suprême ne devait pas se saisir de l’affaire, et qu’il revenait plutôt au Congrès de mettre à jour le SCA.
Microsoft a été entendue par le Congrès : alors que l’affaire était en cours de jugement par la Cour suprême, le Congrès a présenté le CLOUD Act. Parmi ses nombreuses dispositions, le CLOUD Act visait à modifier le SCA pour inclure spécifiquement les considérations relatives au stockage de données à l’étranger. En mars 2018, le Congrès a adopté le CLOUD Act et le président Trump l’a fait entrer en vigueur. Le 17 avril 2018, la Cour suprême a indiqué que l’affaire était devenue sans objet.
CLOUD Act
La lecture du Clarifying Lawful Overseas Use of Data Act (CLOUD Act) permet de constater qu’il modifie non seulement le SCA, mais aussi d’autres lois. Surtout, le CLOUD Act contient deux parties : la mise à jour du SCA suite à l’affaire Microsoft, et l’ajout de dispositions sur l’accès des autorités non américaines aux données détenues par des fournisseurs américains.
1re partie : modification du SCA suite à l’affaire Microsoft
La section 2713 a été ajoutée afin d’indiquer clairement que la remise aux autorités (sur mandat) des données conservées ne dépend pas du lieu de stockage de ces données.
[…] regardless of whether such communication, record, or other information is located within or outside of the United States.
L’affaire Microsoft ayant empêché les autorités américaines de poursuite pénale d’accéder aux preuves dont elles avaient besoin pour leurs enquêtes, simplement parce que ces preuves n’étaient pas localisées aux Etats-Unis, le CLOUD Act a permis de corriger cette situation. En effet, lorsque les autorités demandent un mandat de perquisition envers un ISP, elles ne savent pas (et ne peuvent pas savoir) où celui-ci stocke ses données. En outre, les ISPs transfèrent souvent leurs données entre leurs data centers, parfois aussi entre pays, sans qu’il n’y ait de logique particulière à ces transferts, hormis des impératifs techniques que les autorités ignorent.
Les obligations des ISPs n’ont pas été modifiées par le CLOUD Act, ceux-ci ne devant répondre à un mandat de perquisition que
- s’ils répondent à la définition de la section 2702 (voir ci-dessus),
- s’ils sont soumis à la juridiction des tribunaux américains (ce qui peut être le cas d’ISPs étrangers ayant des activités aux Etats-Unis),
- s’ils sont en possession des données, ou que celles-ci sont sous leur garde ou contrôle.
On peut donc déduire de ce qui précède que le CLOUD Act n’étend pas les pouvoirs des autorités américaines de poursuite pénale en matière de perquisition, et que l’étendue du droit américain reste inchangée à cet égard. Il ne fait que codifier une pratique qui dure depuis que le SCA a été adopté en 1986. Afin de lever tout doute, j’ajouterai que cette partie du CLOUD Act ne permet pas aux autorités américaines de poursuite pénale d’obtenir des preuves détenues par une entreprise suisse ou européenne qui n’aurait pas de liens avec les Etats-Unis (autrement dit : qui n’est pas active économiquement aux Etats-Unis).
Les ISPs qui sont contraints de fournir des données aux autorités américaines ont le droit d’en avertir les personnes physiques ou morales détentrices du compte utilisateur visé, à moins que les autorités n’aient obtenu une restriction à cet égard. Ce genre de restriction est généralement limité dans le temps et n’est disponible qu’en présence de circonstances particulières (risque pour la santé ou la vie d’un individu, risque de fuite, risque d’intimidation de témoins, risque de destruction de preuves, etc.).
En outre, un ISP qui recevrait l’ordre de divulguer des données a le droit de contester cet ordre devant les tribunaux. Il peut le faire pour plusieurs motifs, notamment parce que l’ordre n’est pas autorisé par la loi, qu’il est fastidieux à mettre en œuvre, qu’il viole des privilèges (p. ex. secret professionnel), etc.
La deuxième partie du CLOUD Act (voir ci-dessous) a complété la section 2703 SCA de sorte qu’un ISP peut déposer une requête visant à modifier ou à annuler l’ordre lorsqu’il a des raisons de croire que
- l’utilisateur n’est pas un citoyen américain et qu’il ne réside pas aux Etats-Unis, et que
- l’ordre pourrait créer un risque pour l’ISP de violer des lois d’un Etat étranger.
Enfin, il est peut-être utile de rappeler à ce stade que le CLOUD Act n’a pas pour but et ne peut pas être utilisé pour des activités liées au renseignement (NSA, CIA), à l’espionnage économique, au vol de secrets d’affaires, etc.
2e partie : les accords bilatéraux
Introduction historique
La section 2702 SCA interdit aujourd’hui encore aux ISPs américains de divulguer le contenu des communications (“communications content”) à des autorités étrangères. En revanche, il n’interdit pas la divulgation des données qui ne concernent pas le contenu, p. ex. les metadata. Cette interdiction s’applique aussi dans le cas où ces autorités recherchent des preuves concernant l’un de leurs ressortissants, ou qu’elles ont obtenu un mandat de perquisition (en règle) selon leur droit interne.
Seule une “entité gouvernementale” américaine peut contraindre un ISP à divulguer le contenu des communications. Les conditions pour y parvenir sont les suivantes :
- un mandat de perquisition signé par un juge américain indépendant est nécessaire ;
- le juge doit estimer qu’il existe une “cause probable” (des indices sérieux)
- qu’un crime spécifique a été commis ou est en train de l’être ; et
- que le lieu à perquisitionner, tel qu’un compte de messagerie électronique, contient des preuves de ce crime spécifique ;
- le mandat doit décrire avec précision les données à saisir.
Jusqu’au CLOUD Act, les autorités d’un pays étranger ne pouvaient demander la divulgation des données détenues par un ISP américain que s’il existait un traité bilatéral d’assistance judiciaire (MLAT, Mutual Legal Assistance Treaty) entre ce pays et les Etats-Unis. La globalisation des échanges de données a progressivement augmenté le nombre de traités avec les Etats-Unis, ainsi que le nombre de demandes de divulgation. Le système est devenu lourd pour de nombreuses raisons, certaines ayant été évoquées par le Département américain de la Justice (DOJ) lui-même en avril 2019 :
[…] the impetus for the CLOUD Act came from our foreign law enforcement partners, who expressed a need for increased speed in obtaining evidence held by U.S. providers – evidence which is normally obtained through the Mutual Legal Assistance Treaty – or “MLA” – process. The U.S. government has heard repeatedly that the production of evidence must be facilitated and expedited to avoid criminal investigations being stymied. The exponential rise in demand for electronic evidence also places extraordinary demands on the existing MLA process.
Les critiques envers les Etats-Unis s’étant faites de plus en plus pressantes, ils ont proposé une alternative aux accords d’entraide judiciaire dont la mise en pratique était compliquée, lente et ouvertement critiquée.
Accords bilatéraux et conditions
L’innovation première du CLOUD Act est de permettre que des accords bilatéraux entre les Etats-Unis et des pays étrangers suppriment les interdictions susmentionnées et ensuite de permettre aux autorités de ces pays d’accéder au contenu des communications en s’adressant directement aux ISPs basés aux États-Unis, sous réserve que de nombreuses conditions soient réunies. Ces accords bilatéraux sont régis par la section 2523.
La liste des conditions est très (très) longue. En voici une sélection :
- le droit interne du pays étranger, y compris la mise en œuvre de ce droit, offre des protections substantielles et procédurales solides pour la vie privée et les libertés civiles ;
- le pays étranger
- dispose d’un droit matériel et procédural adéquat en matière de cybercriminalité et de preuve électronique (le fait d’être partie à la Convention de Budapest sur la cybercriminalité permet de remplir cette condition) ;
- démontre le respect de l’État de droit et des principes de non-discrimination ;
- adhère aux obligations et engagements internationaux applicables en matière de droits de l’homme ou démontre le respect des droits de l’homme universels internationaux, y compris
- des mandats et des procédures juridiques clairs régissent les entités du gouvernement étranger qui sont autorisées à rechercher des données en vertu de l’accord bilatéral ;
- le pays étranger ne peut pas cibler intentionnellement un citoyen américain ou une personne située aux États-Unis ; il ne peut pas non plus cibler une personne non américaine située en dehors des États-Unis si le but est d’obtenir des informations concernant un citoyen américain ou une personne située aux États-Unis ;
- un ordre émis par le pays étranger doit
- avoir pour but d’obtenir des informations relatives à la prévention, à la détection, aux enquêtes ou aux poursuites concernant des infractions graves (la liste des infractions graves devrait être définie dans l’accord) ;
- identifier une personne, un compte, une adresse ou un dispositif personnel spécifique, ou tout autre identifiant spécifique ;
- être conforme au droit interne de ce pays ;
- être fondé notamment sur des faits crédibles et la gravité du comportement faisant l’objet de l’enquête ;
- être soumis à l’examen ou au contrôle d’un tribunal, d’un juge, d’un magistrat ou d’une autre autorité indépendante.
Réciprocité
Les Etats-Unis ont prévu une condition (en plus de toutes les autres) dans le CLOUD Act : en signant l’accord bilatéral avec les Etats-Unis, le pays étranger accorde la réciprocité. Cela implique que les Etats-Unis pourraient utiliser un mandat de perquisition délivré par un juge américain pour accéder aux données de communications détenues par un ISP soumis au droit du pays étranger en question.
[…] the foreign government shall afford reciprocal rights of data access, to include, where applicable, removing restrictions on communications service providers, including providers subject to United States jurisdiction, and thereby allow them to respond to valid legal process sought by a governmental entity (as defined in section 2711) if foreign law would otherwise prohibit communications-service providers from disclosing the data. […]
Comme le CLOUD Act n’interdit pas que des conditions supplémentaires soient ajoutées à ces accords bilatéraux, un pays étranger pourrait également prévoir des protections pour ses propres ressortissants, p. ex. l’interdiction pour les autorités américaines de cibler des ressortissants du pays étranger.
Protection des données, enregistrement et surveillance
Ces accords bilatéraux ne sont pas destinés à permettre aux Etats-Unis d’enregistrer ou de surveiller des raccordements téléphoniques ou Internet hors de leur territoire. Un tribunal américain ne pourrait pas délivrer un mandat qui ordonne la surveillance en Suisse ou en Europe de tels raccordements. En revanche, les pays étrangers peuvent faire figurer dans l’accord bilatéral que des ISPs américains surveillent des raccordements sur mandat du pays étranger, aux conditions prévues à la section 2523(b)(4)(D)(vi).
Le Règlement général sur la protection des données (RGPD) en Europe et la Loi fédérale sur la protection des données en Suisse devront être respectés au cas où l’Europe ou la Suisse signent un tel accord bilatéral avec les Etats-Unis. Cependant, concernant le transfert des données aux Etats-Unis, l’art. 48 RGPD prévoit que des données personnelles peuvent être transférées à l’étranger si un accord international le prévoit ; la question de savoir si un accord bilatéral fondé sur le CLOUD Act répond à la notion d’accord international semble encore débattue. Quant à la Suisse, l’art. 6 LPD sur les transferts à l’étranger ne prévoit rien à cet égard ; il faut cependant rappeler que, dans le cadre d’une procédure d’entraide judiciaire, la LPD n’est pas applicable (art. 2 al. 2 let. c LPD).
L’accord bilatéral US-UK
Le Royaume-Uni a signé un accord bilatéral avec les Etats-Unis tel que prévu par le CLOUD Act. Cet accord a généré beaucoup de commentaires et de peurs. A tort. Comme l’explique cet article dont je ne citerai et traduirai que la conclusion,
[…] ce nouvel accord contient un certain nombre de garanties en matière de vie privée et de libertés civiles qui vont au-delà du texte du CLOUD Act […].
Un accord bilatéral US-CH ?
Les effets d’un tel accord, s’il venait à être signé, seraient hautement problématiques. Il faut avant toute chose garder à l’esprit que les Etats-Unis n’octroieront pas plus de droits, de garanties ou de prérogatives à la Suisse qu’ils n’en ont donné au Royaume-Uni.
Tout d’abord, la Suisse devra certainement renoncer à appliquer l’art. 271 du Code pénal qui prévoit une peine privative de liberté pour celui qui, sans y être autorisé, aura procédé sur le territoire suisse pour un État étranger à des actes qui relèvent des pouvoirs publics. Cette disposition pénale a protégé plutôt efficacement les entreprises sises suisses contre des ordres provenant d’autorités étrangères et qui leur étaient directement adressées (au lieu de passer par le canal de l’entraide judiciaire).
Comme les accords bilatéraux du CLOUD Act prévoient la réciprocité, les Etats-Unis pourraient plus facilement ordonner à des entreprises suisses de leur fournir les contenus de communications concernant leurs ressortissants, et ce au mépris (sans doute) de certains secrets professionnels ou bancaires. A cet égard, les conditions posées par l’Association suisse des banquiers en 2019 à la conclusion d’un accord bilatéral n’auront que peu de chances d’être respectées.
Notes sur le droit européen à venir
En 2018, la Commission européenne a proposé de nouvelles règles concernant l’obtention de preuves électroniques par les autorités de poursuite pénale. Ces règles prendraient la forme d’un nouveau Règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale et d’une Directive établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale.
En résumé, ces règles auraient pour buts de :
- permettre à une autorité judiciaire d’un État membre d’obtenir des preuves électroniques (telles que des courriels, des textes ou des messages dans des applications, ainsi que des informations permettant d’identifier un auteur dans un premier temps) directement auprès d’un prestataire de services ou de son représentant légal dans un autre État membre, qui sera tenu de répondre dans un délai de 10 jours, et dans les 6 heures en cas d’urgence ;
- permettre à une autorité judiciaire d’un État membre de demander qu’un prestataire de services ou son représentant légal dans un autre État membre conserve des données spécifiques en vue d’une demande ultérieure de production de ces données par le biais de l’entraide judiciaire, d’une ordonnance d’enquête européenne ou d’une ordonnance de production européenne ;
- garantir une protection solide des droits fondamentaux, y compris des garanties pour le droit à la protection des données personnelles. Les prestataires de services et les personnes dont les données sont recherchées bénéficieront de diverses garanties et auront droit à des recours juridiques ;
- obligent les prestataires de services à désigner un représentant légal dans l’Union : pour garantir que tous les prestataires qui offrent des services dans l’Union soient soumis aux mêmes obligations, même si leur siège est dans un pays tiers, ils sont tenus de désigner un représentant légal dans l’Union pour la réception, le respect et l’exécution des décisions et des injonctions.
Le Contrôleur européen de la protection des données a d’ailleurs donné son avis, empreint d’un certain scepticisme, sur la proposition de la Commission.
Notes sur le droit actuel applicable en Suisse
Ce que le CLOUD Act permet de faire est, grosso modo, d’implémenter ce que le Convention de Budapest sur la cybercriminalité (CCC) permet déjà de faire. Pour rappel, la Suisse a ratifié cette convention en 2011 et elle est entrée en vigueur pour la Suisse en 2012, plusieurs années avant le CLOUD Act. L’art. 18 CCC prévoit ceci :
Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour habiliter ses autorités compétentes à ordonner : a. à une personne présente sur son territoire de communiquer les données informatiques spécifiées, en sa possession ou sous son contrôle, qui sont stockées dans un système informatique ou un support de stockage informatique ; et b. à un fournisseur de services offrant des prestations sur le territoire de la Partie, de communiquer les données en sa possession ou sous son contrôle relatives aux abonnés et concernant de tels services.
Légalement, la Suisse comme les autres parties à la CCC (dont l’Europe) ont les mêmes prérogatives que les Etats-Unis sous l’empire du SCA tel que modifié par le CLOUD Act.
Vous avez quand même peur du CLOUD Act ? Analysons les risques
Si vous êtes une entreprise sise en Suisse et que vous avez un projet informatique impliquant du cloud, vous ne manquerez pas de vous faire dire qu’il faut à tout prix éviter les fournisseurs américains. Il y a du vrai en raison de l’actualité récente relative au Privacy Shield européen, mais le CLOUD Act ne devrait pas vous alarmer tant que la Suisse n’a pas conclu d’accord bilatéral avec les Etats-Unis.
En effet, la probabilité que votre fournisseur de service cloud se voie appliquer le SCA modifié par le CLOUD Act dépendra principalement de ces trois critères :
- Vous devez utiliser les services d’un fournisseur de services cloud qui est soumis à la juridiction américaine, d’une manière ou d’une autre.
- Votre entreprise ou l’un de vos clients devez être soupçonnés d’avoir commis un crime qui tombe sous la juridiction américaine.
- L’autorité de poursuite pénale américaine doit rendre vraisemblable que des preuves de ce crime se trouvent parmi les informations que vous faites traiter chez votre fournisseur de services cloud.
S’il y a des chances que la première condition soit remplie, les deux suivantes le seront plus rarement.
Résumé
On (a) dit beaucoup de choses sur le CLOUD Act, moi le premier. Cependant, il faut regarder au-delà de cette hystérie collective en analysant les faits. Nous ne sommes pas face à une loi qui autorise la surveillance à des fins de renseignement, ou de vol de secrets commerciaux. Nous sommes dans le cadre très règlementé et procédurier (dans le bon sens du terme) de la justice pénale, qu’il serait malvenu d’empêcher de récolter des preuves.
J’espère que ce long article vous aura éclairé et rassuré autant qu’il m’a permis d’en apprendre davantage sur le système américain et international de la recherche de preuves (électroniques).