Les enjeux transatlantiques du RGPD à l’heure du Cloud act

Alors que l’accord dit du « Privacy Shield » fait aujourd’hui l’objet d’un nouvel assaut judiciaire, analogue à celui qui avait coûté son existence au feu « Safe Harbor », de la part du désormais célèbre Max Schrems, il est intéressant de se pencher sur les enjeux posés par les implications internationales des règles RGPD, en particulier d’évaluer le degré de prééminence juridique de ce texte.

En effet, c’est un fait qu’aujourd’hui, les administrations d’Etat américaines jouissent d’un pouvoir exorbitant en matière d’accès aux données stockées sur le cloud, pouvoir qui se déduit de la répartition même du marché du cloud et de l’hébergement en faveur des entreprises américaines, GAFA en tête.

Revenons donc sur les principaux enjeux transatlantiques en matière de protection des données personnelles.

Ils sont doubles.

Tout d’abord, se pose le problème de la difficile équation transatlantique en matière de protection des données personnelles. En effet, l’effectivité réelle, et la prééminence même du cadre juridique protecteur offert aux personnes physiques installées sur le territoire de l’Union européenne par le RGPD sont directement altérées par le transfert massif de données en direction des Etats-Unis d’Amérique, dans le cadre des chaînes de sous-traitance. La législation américaine en la matière relève clairement d’un moins disant juridique, et les données ainsi transférées sont à la merci d’un pillage par la NSA, dans le cadre du Foreign Intelligence Surveillance Amendment Act (FISA),

A ce titre, les question soulevées à l’occasion de l’examen de la conventionnalité du « Safe Harbor », et qui avaient abouti à la censure de ce texte par la CJUE sont loin d’avoir été réglées par l’accord du « Privacy Shield ».

Ensuite, se pose la question spécifique du fameux « Cloud act », lequel a fait couler beaucoup d’encre, et qui étend encore le contrôle des institutions fédérales et de ladite NSA, cette fois-ci munie d’un mandat, aux personne morales étrangères (« non-US persons »).

Ce sont ces deux questions, étroitement liées l’une à l’autre, que l’on va étudier ici successivement.

Equivalence en matière de protection des données : la difficile équation transatlantique

L’échec du Safe Harbor

L’accord actuel relatif aux transferts de données entre l’Union européenne et les Etats-Unis succède à une première décision de la Commission de l’Union européenne, du 26 juillet 2000, qui entérinait l’accord dit du « Safe Harbor ». D’une manière assez analogue au « Privacy Shield », le « Safe Harbor » était censé garantir un niveau équivalent de protection des données personnelle entre les Etats-Unis et l’Union européenne, non pas de plein droit, mais via une liste d’entreprises déclarées auprès du « Department of Commerce, DoC », après s’être auto-certifiées.

Ce premier régime a été très sévèrement critiqué à partir de 2013, après qu’Edward Snowden ait révélé que la NSA (« National Security Agency »), procédait à une collecte indifférenciée, dite en vrac, des données d’utilisateurs européens de différents réseaux sociaux, sans condition de nécessité ou de proportionnalité… De telles pratiques ont conduit la Cour de justice de l’Union européenne à censurer l’accord, dans un arrêt retentissant, Schrems, du 6 octobre 2015.

En effet, le Foreign Intelligence Surveillance Amendment Act (FISA), une loi fédérale de 1978, telle que modifiée en 2008, par le FISA amendment Act, autorise les administrations américaines à collecter, à des fins d’ordre public, les données personnelles détenues par des personnes morales de droit américain (ou « US persons »), même lorsque celles-ci concernent des non-américains…

Le Privacy Shield et ses limites

Suite à cette invalidation, la Commission et le gouvernement des Etats-Unis ont initié de nouvelles négociations, lesquelles ont débouché sur un nouvel accord, sanctionné par une décision de la Commission « EU-US Privacy Shield », du 12 juillet 2016. Le gouvernement américain s’y engage, notamment via un règlement présidentiel, à revoir ses pratiques de collecte de données à des fins d’ordre public, celle-ci étant désormais soumise à un principe de minimisation, et la collecte en vrac devenant l’exception.

Le gouvernement américain s’est également engagé par l’institution d’un médiateur ou « ombudsperson » sur le modèle du célèbre « ombudsman » suédois, ce dernier étant censé pallier la carence en voies recours juridictionnelles contre les décisions de collecte des données à des fins d’ordre public, dont pâtissent les européens — ces derniers n’étant pas citoyens américains, ils ne peuvent bénéficier des garanties offertes par le quatrième amendement de la Constitution des Etats-Unis.

L’on peut toutefois légitimement s’interroger sur le caractère suffisant des garanties offertes par le gouvernement américain.

Ainsi, pour (feu) le G 29, les prétendues améliorations en matière matière de protection des données introduites par le « EU-US Privacy Shield » sont largement de nature déclarative, aucun dispositif juridique véritablement contraignant ne limitant l’ingérence des administrations américaines.

Cette critique est d’ailleurs partagée par d’autres institutions, notamment la commission « Libé » du Parlement européen, qui n’a pas manqué de reformuler une telle critique, dans le contexte de l’adoption du « Cloud act », qui est l’objet du présent article, et qui augmente le champ d’action extraterritorial des mandats délivrés aux administrations américaines.

Un tel procédé se heurte frontalement aux cadre juridique institué par le RGPD et censé garantir la prééminence de ce texte sur les ordres publics des Etats tiers. En effet les divulgations exigées au nom d’un tel ordre public ne peuvent être exigées que dans la mesure où celles-ci sont prévues par les traités, ou par d’autres dispositions spécifiques du règlement, conformément à l’article 48 du RGPD. Une décision d’une juridiction ou d’une autorité publique étrangère à l’UE ne suffit pas, de plein droit, à justifier une divulgation de données protégées par le texte européen, tant que celle-ci n’est pas préalablement encadrée par un traité, comme l’a d’ailleurs rappelé la Commission de l’Union européenne dans un amicus curiae, présenté à la Cour suprême, dans l’affaire Microsoft Ireland.

L’article 28 du RGPD confirme quant à lui cette prééminence, n’autorisant le Sous-traitant à ne traiter les données hors instruction de son Responsable du traitement que lorsque cela ressort d’une obligation du droit de l’Union ou du droit d’un Etat membre, c’est à dire, non pas d’un Etat tiers.

Le Cloud act: cheval de Troie des administrations américaines?

Le Cloud act, entre menaces réelles et supposées

Le « Clarifying Lawful Overseas Use of Data Act or CLOUD Act (H.R. 4943) » (ou « CLOUD Act ») désigne une loi fédérale américaine, adoptée le 23 mars 2018. Ce texte modifie le « Stored Communications Act » (SCA), une partie du « United States code », en y adjoignant des dispositions autorisant la police américaine, disposant d’un mandat à cette fin, dans le cas d’une enquête criminelle, (en cas de « serious crime »), à procéder à des perquisitions sur des serveurs situés à l’étranger, d’entreprises, même non-américaines.

Cette loi fédérale intervient notamment en réaction à un Per curiam de la Cour suprême des Etats-Unis du 17 avril 2018, dans l’affaire Microsoft Ireland, par lequel la Cour avait censuré le mandat délivré par un juge new-yorkais autorisant la police américaine à perquisitionner des serveurs situés en Irlande, et appartenant à la filiale irlandaise du groupe Microsoft.

A la différence du FISA, le champ d’application du Cloud act ne se limite pas simplement aux personne morales de droit américain, ou « US persons », mais il s’étend aussi à des « non US persons ». Le texte permet encore, à l’instar du RGPD, d’atteindre, via un critère de ciblage,  les entreprises qualifiées de « providers of electronic communications services or remote computing services » dont le marché américain constitue la cible, c’est à dire, éventuellement certaines entreprises européennes, situées sur le territoire de l’Union — soit qu’elles soient des filiales européennes d’entreprise américaines, soit, au contraire, qu’elles ciblent un public américain, par exemple, via leurs filiales implantées aux Etats-Unis.

Ici, la question de la compatibilité de l’accès aux données, avec les dispositions de l’article 48 RGPD, se pose à peu près dans les mêmes termes que pour les données personnelles détenues par des « US persons », dont la divulgation est exigée au nom du FISA, à la différence près qu’il est ici aussi question de données concernant des personnes protégées par le RGPD, et détenues par des entreprises européennes sur le territoire de l’UE…

Certes, le Cloud act accorde aux entreprises un droit d’opposition lorsqu’elle démontrent que la divulgation en cause violerait le droit d’un Etat tiers « qualifié », ou « Qualifying foreign government », c’est-à-dire ayant conclu un accord en ce sens avec les Etats-Unis. Toutefois, à ce jour, les traités de coopération judiciaire conclus entre l’Union européenne, ses Etats-membres, et les Etats-Unis ne comporte aucune stipulation dans ce sens, pas plus qu’ils n’articulent avec la prééminence du droit de l’Union avec l’exigence de divulgation au nom de l’ordre public d’un Etat tiers.

L’on comprend donc les craintes qui ont pu être formulées à l’encontre de la législation américaine…

Une menace qui mérite d’être relativisée

De telles craintes méritent toutefois d’être nettement relativisées.

En effet, le poids des acteurs américains dans le domaine du stockage de données est si exorbitant (65% de ce marché est dominé par Amazon, 15% par Microsoft et 5% par Google), et le recours des entreprises française aux solutions informatiques d’hébergement et autres outils CRM développés par ces acteurs (AWS, Google Cloud, Salesforce, etc.) est si généralisé que, bien avant le Cloud act, les administrations américaines avaient déjà la possibilité d’accéder indirectement aux données personnelles de personnes protégées par le droit de l’Union, en application du FISA, précédemment évoqué — et cela d’ailleurs, potentiellement sans mandat, dans la mesure où ces personnes ne sont pas nécessairement des citoyens américains protégés par le quatrième amendement…

A ce sujet, il est d’ailleurs intéressant de constater qu’en violation caractérisée des dispositions de l’article 28 du RGPD précitées, le « Data processing addendum », proposé par Amazon (AWS) à l’attention de ses clients européen dans le cadre de son offre de sous-traitance se garde bien de limiter les possibilités de divulgation aux seuls cas où cela est requis par le droit de l’Union ou d’un Etat membre, mais l’étend à toute décision d’une autorité gouvernementale (« governmental body », voir articles 3 et 12)…

Dans un tel contexte, le recours à un mandat pour accéder aux données d’une entreprise française dont les données sont hébergées sur le cloud américain aux Etats-Unis apparaît alors comme une formalité dérisoire… Paradoxalement, héberger ses données dans la filiale européenne d’une entreprise américaine pourrait offrir une meilleur garantie face à l’ingérence américaine, que de les confier à une entreprise française, dans la mesure où cette dernière n’est pas protégée par le quatrième amendement.

***

Bien évidemment, l’élaboration d’un traité transatlantique, propre à la fois à conférer à l’Union européenne ou à ses Etats membres la qualité de « Qualifying foreign government » au sens du Cloud act, ainsi qu’à assurer la bonne articulation de ce texte avec le RGPD, dans le respect du principe de prééminence exposé à l’article 48 apparaît comme une nécessité.

Toutefois, plus qu’une révision des traités d’entraide judiciaire dans le sillage du « Cloud act », c’est à une véritable renégociation en profondeur du « Privacy Shield » que devrait urgemment se livrer l’Union européenne, afin de contrer effectivement l’influence du FISA, véritable outil des administrations américaines dans les données personnelles des européens, à moins que celui-ci ne soit tout bonnement censuré par la CJUE, comme l’a été son prédécesseur le « Safe Harbor » .

In fine c’est à une vraie souveraineté numérique que devrait aspirer l’Union européenne… Force est de constater que l’on se situe encore loin d’un tel objectif…

Sur le même thème